JP2007265170A - 識別情報生成装置、シード情報管理サーバ及び認証サーバ - Google Patents
識別情報生成装置、シード情報管理サーバ及び認証サーバ Download PDFInfo
- Publication number
- JP2007265170A JP2007265170A JP2006091144A JP2006091144A JP2007265170A JP 2007265170 A JP2007265170 A JP 2007265170A JP 2006091144 A JP2006091144 A JP 2006091144A JP 2006091144 A JP2006091144 A JP 2006091144A JP 2007265170 A JP2007265170 A JP 2007265170A
- Authority
- JP
- Japan
- Prior art keywords
- information
- seed
- identification information
- seed information
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】ワンタイムパスワードによる認証方式を用いた認証システムにおいて、シード情報の運用、利用に係る利便性を向上させる。
【解決手段】識別情報(ワンタイムパスワード)を生成するためのシード情報を複数記憶する記憶手段と、ユーザ操作に応じて、前記記憶手段に記憶された複数のシード情報から一のシード情報を選択する選択手段と、前記選択手段により選択されたシード情報を元に所定のアルゴリズムに基づいて識別情報を生成する生成手段と、前記生成手段により生成された識別情報を出力する出力手段と、を備える。
【選択図】図18
【解決手段】識別情報(ワンタイムパスワード)を生成するためのシード情報を複数記憶する記憶手段と、ユーザ操作に応じて、前記記憶手段に記憶された複数のシード情報から一のシード情報を選択する選択手段と、前記選択手段により選択されたシード情報を元に所定のアルゴリズムに基づいて識別情報を生成する生成手段と、前記生成手段により生成された識別情報を出力する出力手段と、を備える。
【選択図】図18
Description
本発明は、識別情報生成装置、シード情報管理サーバ及び認証サーバに関する。
コンピュータや通信ネットワークにアクセスする際のセキュリティ確保の方法として、パスワード認証に基づいた種々の認証方式が実用化されている。使用されるパスワードとして固定パスワードやワンタイムパスワード(One Time Password;以下、OTPという)があるが、固定パスワードを用いた認証方式では、パスワードクラッキングツールなどを利用してパスワードが破られてしまい、不正アクセスされやすいという欠点がある。これに対して、OTPによる認証方式では、時刻等と共に変化するテンポラリなパスワードで認証を行うため、より不正アクセスがされにくいという特徴があり、種々の方法が提案されている(例えば、特許文献1参照)。
OTP認証方式も用いた認証システムは、OTPを生成するOTP生成器(所謂、トークン)と、認証を行う認証サーバとから構成される。OTP生成器は、内蔵するROM(Read Only Memory)等の記憶手段に、一のユニークなコード情報(以下、シード情報という)を記憶しており、このシード情報と内蔵する計時手段により計時された現在の時刻情報とを、所定のコード化アルゴリズムにより演算することで識別情報、即ち、OTPを生成する。認証システムの利用者たるユーザは、所望するサーバやシステムにログインする際に、ログインID(ユーザID)とともに、生成されたOTPをPC(Personal Computer)等の端末装置を用いて入力することになる。
一方、認証サーバには、OTP生成器に記憶されたシード情報と同一のシード情報が記憶されている。つまり、一のシード情報を、OTP生成器と認証サーバとが夫々記憶するようになっており、認証サーバには、ユーザに配布されたOTP生成器の数のシード情報が記憶される。認証サーバは、ログインを行ったユーザのOTP生成器に対応するシード情報と、内蔵する計時手段により計時された現在の時刻情報とを、該OTP生成器と同一のコード化アルゴリズムにより演算することで、照合用のOTPを生成し、この照合用OTPとユーザから入力されたOTPとを照合することで、ユーザ認証を行っている。
特開2000−357156号公報
上述したように、従来のOTP認証方式を用いた認証システムでは、OTP生成器に記憶されたシード情報を、認証サーバに記憶させる必要がある。例えば、企業内で社員が自社又は他社の企業サーバにアクセスする場合等には、企業サーバと社員の端末との間に認証サーバを置き、社員毎に固有のシード情報を生成し、このシード情報をOTP生成器と認証サーバとに予め設定するような運用が行われている。
しかしながら、上記認証システムを利用するユーザ数が不特定多数であるような場合、その運用に係る手続きが煩雑となり、実用性に欠けるという問題がある。例えば、一般のユーザがネットショッピングでクレジット決済をするような場面において、本人認証の要求にOTP認証方式で応えようとすると、ユーザの数に対応した不特定多数のシード情報の夫々を、各OTP生成器とクレジット会社の認証サーバに予め設定する必要があるため、その運用・管理にかかる手続きは著しく煩雑となる。
また、通常ログイン先となる各サービス提供会社のサーバ又はシステム毎にシード情報は異なるため、ユーザはログイン先に応じた数のシード情報、即ち、OTP生成器を所有する必要がある。そのため、ユーザは、ログイン先に応じてOTP生成器を使い分ける必要があり、その利用に係る手続きは煩雑となっている。
また、通常ログイン先となる各サービス提供会社のサーバ又はシステム毎にシード情報は異なるため、ユーザはログイン先に応じた数のシード情報、即ち、OTP生成器を所有する必要がある。そのため、ユーザは、ログイン先に応じてOTP生成器を使い分ける必要があり、その利用に係る手続きは煩雑となっている。
本発明の課題は、ワンタイムパスワードによる認証方式を用いた認証システムにおいて、シード情報の運用、利用に係る利便性を向上させることである。
上記課題を解決するために,請求項1記載の発明は、
識別情報を生成するためのシード情報を複数記憶する記憶手段と、
ユーザ操作に応じて、前記記憶手段に記憶された複数のシード情報から一のシード情報を選択する選択手段と、
前記選択手段により選択されたシード情報を元に所定のアルゴリズムに基づいて識別情報を生成する生成手段と、
前記生成手段により生成された識別情報を出力する出力手段と、
を備えたことを特徴とする。
識別情報を生成するためのシード情報を複数記憶する記憶手段と、
ユーザ操作に応じて、前記記憶手段に記憶された複数のシード情報から一のシード情報を選択する選択手段と、
前記選択手段により選択されたシード情報を元に所定のアルゴリズムに基づいて識別情報を生成する生成手段と、
前記生成手段により生成された識別情報を出力する出力手段と、
を備えたことを特徴とする。
なお、請求項1記載の発明は次のようなものであってもよい。
前記記憶手段は、前記複数のシード情報の夫々に対応する複数の選択情報を記憶し、
前記選択手段は、前記ユーザ操作により指定された選択情報に対応するシード情報を選択する(請求項2記載の発明)。
前記記憶手段は、前記複数のシード情報の夫々に対応する複数の選択情報を記憶し、
前記選択手段は、前記ユーザ操作により指定された選択情報に対応するシード情報を選択する(請求項2記載の発明)。
表示手段を更に備え、
前記選択手段は、前記表示手段に前記複数の選択情報を表示させ、この表示された複数の選択情報から前記ユーザ操作により指定された選択情報に対応するシード情報を選択する(請求項3記載の発明)。
前記選択手段は、前記表示手段に前記複数の選択情報を表示させ、この表示された複数の選択情報から前記ユーザ操作により指定された選択情報に対応するシード情報を選択する(請求項3記載の発明)。
表示手段を更に備え、
前記出力手段は、前記生成された識別情報を前記表示手段に表示させる(請求項4記載の発明)。
前記出力手段は、前記生成された識別情報を前記表示手段に表示させる(請求項4記載の発明)。
前記出力手段は、前記識別情報の生成元となったシード情報に対応する選択情報を前記表示手段に表示させる(請求項5記載の発明)。
通信手段を更に備え、
前記出力手段は、前記生成された識別情報を前記通信手段により外部に送信させる(請求項6記載の発明)。
前記出力手段は、前記生成された識別情報を前記通信手段により外部に送信させる(請求項6記載の発明)。
前記出力手段は、前記識別情報の元となったシード情報に対応する選択情報を前記通信手段により外部に送信させる(請求項7記載の発明)。
各識別情報生成装置に固有の固有IDを予め記憶する固有ID記憶手段を更に備え、
前記出力手段は、前記固有ID記憶手段に記憶された固有IDを出力する(請求項8記載の発明)。
前記出力手段は、前記固有ID記憶手段に記憶された固有IDを出力する(請求項8記載の発明)。
表示手段を更に備え、
前記出力手段は、前記記憶された固有IDを前記表示手段に表示させる(請求項9記載の発明)。
前記出力手段は、前記記憶された固有IDを前記表示手段に表示させる(請求項9記載の発明)。
通信手段を更に備え、
前記出力手段は、前記記憶された固有IDを前記通信手段により外部に送信させる(請求項10記載の発明)。
前記出力手段は、前記記憶された固有IDを前記通信手段により外部に送信させる(請求項10記載の発明)。
また、上記課題を解決するために,請求項11記載の発明は、
一のシード情報を元に識別情報生成装置により生成された識別情報と、前記シード情報と同一のシード情報を元に生成された照合用の識別情報と、を照合し認証を行う複数の認証サーバに通信回線を介して接続されたシード情報管理サーバであって、
複数の前記識別情報生成装置毎に割り当てられた固有IDと、各識別情報生成装置が記憶する複数のシード情報と、当該複数のシード情報の夫々に対応する複数の選択情報と、を対応付けて記憶するシード情報記憶手段と、
前記認証サーバから特定の固有IDと、当該認証サーバに予め割り当てられた選択情報とを検索キーとする指示情報を受信する受信手段と、
前記受信された指示情報に対応するシード情報を前記シード情報記憶手段に記憶された複数のシード情報から検索し、該当するシード情報を読み出す読出手段と、
前記読み出されたシード情報を前記認証サーバに送信する送信手段と、
を備えたことを特徴とする。
一のシード情報を元に識別情報生成装置により生成された識別情報と、前記シード情報と同一のシード情報を元に生成された照合用の識別情報と、を照合し認証を行う複数の認証サーバに通信回線を介して接続されたシード情報管理サーバであって、
複数の前記識別情報生成装置毎に割り当てられた固有IDと、各識別情報生成装置が記憶する複数のシード情報と、当該複数のシード情報の夫々に対応する複数の選択情報と、を対応付けて記憶するシード情報記憶手段と、
前記認証サーバから特定の固有IDと、当該認証サーバに予め割り当てられた選択情報とを検索キーとする指示情報を受信する受信手段と、
前記受信された指示情報に対応するシード情報を前記シード情報記憶手段に記憶された複数のシード情報から検索し、該当するシード情報を読み出す読出手段と、
前記読み出されたシード情報を前記認証サーバに送信する送信手段と、
を備えたことを特徴とする。
なお、請求項11記載の発明は次のようなものであってもよい。
前記認証サーバに予め割り当てられた選択情報と、当該認証サーバに関する事業者関連情報とを対応付けて記憶する事業者情報記憶手段を備える(請求項12記載の発明)。
前記認証サーバに予め割り当てられた選択情報と、当該認証サーバに関する事業者関連情報とを対応付けて記憶する事業者情報記憶手段を備える(請求項12記載の発明)。
前記シード情報を暗号化する暗号化手段を備え、
前記送信手段は、前記暗号化手段により暗号化されたシード情報を前記認証サーバに送信する(請求項13記載の発明)。
前記送信手段は、前記暗号化手段により暗号化されたシード情報を前記認証サーバに送信する(請求項13記載の発明)。
また、上記課題を解決するために,請求項14記載の発明は、
複数の識別情報生成装置の夫々に記憶された複数のシード情報を前記識別情報生成装置毎に固有の固有IDと対応付けて記憶管理するシード情報管理サーバと、アクセス端末とに通信回線を介して接続され、前記識別情報生成装置に記憶された複数のシード情報のうち、一のシード情報を元に生成された識別情報と、当該シード情報と同一のシード情報を元に生成された照合用の識別情報とを照合し認証を行う認証サーバであって、
前記識別情報生成装置に固有の固有IDと当該識別情報生成装置を所持するユーザに関するユーザ情報とを、前記アクセス端末から受信する固有ID受信手段と、
前記認証サーバが所属する事業者毎に予め割り当てられた選択情報を記憶する選択情報記憶手段と、
前記受信された固有IDを前記選択情報とともに前記シード情報管理サーバに送信する送信手段と、
前記送信された固有ID及び選択情報に対応する一のシード情報を、前記シード情報管理サーバから受信するシード情報受信手段と、
前記受信されたシード情報を前記ユーザ情報と対応付けて記憶するユーザ別シード情報記憶手段と、
前記アクセス端末から前記ユーザ情報及び識別情報が送信された場合に、前記ユーザ情報に対応するシード情報をユーザ別シード情報記憶手段から読み出し、この読み出したシード情報を元に前記照合用の識別情報を生成する生成手段と、
前記生成された照合用の識別情報と前記送信された識別情報とを照合し、ユーザ認証を行う認証手段と、
を備えたことを特徴とする。
複数の識別情報生成装置の夫々に記憶された複数のシード情報を前記識別情報生成装置毎に固有の固有IDと対応付けて記憶管理するシード情報管理サーバと、アクセス端末とに通信回線を介して接続され、前記識別情報生成装置に記憶された複数のシード情報のうち、一のシード情報を元に生成された識別情報と、当該シード情報と同一のシード情報を元に生成された照合用の識別情報とを照合し認証を行う認証サーバであって、
前記識別情報生成装置に固有の固有IDと当該識別情報生成装置を所持するユーザに関するユーザ情報とを、前記アクセス端末から受信する固有ID受信手段と、
前記認証サーバが所属する事業者毎に予め割り当てられた選択情報を記憶する選択情報記憶手段と、
前記受信された固有IDを前記選択情報とともに前記シード情報管理サーバに送信する送信手段と、
前記送信された固有ID及び選択情報に対応する一のシード情報を、前記シード情報管理サーバから受信するシード情報受信手段と、
前記受信されたシード情報を前記ユーザ情報と対応付けて記憶するユーザ別シード情報記憶手段と、
前記アクセス端末から前記ユーザ情報及び識別情報が送信された場合に、前記ユーザ情報に対応するシード情報をユーザ別シード情報記憶手段から読み出し、この読み出したシード情報を元に前記照合用の識別情報を生成する生成手段と、
前記生成された照合用の識別情報と前記送信された識別情報とを照合し、ユーザ認証を行う認証手段と、
を備えたことを特徴とする。
なお、請求項14記載の発明は次のようなものであってもよい。
前記シード情報管理サーバにより暗号化されたシード情報を復号化する復号化手段を備え、
前記ユーザ別シード情報記憶手段は、前記復号化されたシード情報を前記ユーザ情報と対応付けて記憶する(請求項15記載の発明)。
前記シード情報管理サーバにより暗号化されたシード情報を復号化する復号化手段を備え、
前記ユーザ別シード情報記憶手段は、前記復号化されたシード情報を前記ユーザ情報と対応付けて記憶する(請求項15記載の発明)。
前記ユーザ別シード情報記憶手段は、前記識別情報生成装置の固有IDを、当該識別情報生成装置を所持するユーザのユーザ情報に対応付けて記憶する(請求項16記載の発明)。
請求項1記載の発明によれば、複数のシード情報から識別情報を生成する一のシード情報を選択することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
請求項2記載の発明によれば、複数の選択情報から一の選択情報を指定することで、この指定された選択情報に対応する一のシード情報を選択することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
請求項3記載の発明によれば、表示手段に表示された複数の選択情報から一の選択情報を指定することで、この指定された選択情報に対応する一のシード情報を選択することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
請求項4記載の発明によれば、表示手段に生成された識別情報を表示するため、生成された識別情報をユーザが視認可能な状態で通知することができる。
請求項5記載の発明によれば、表示手段に生成された識別情報の生成元となったシード情報に対応する選択情報を表示するため、生成された識別情報に関係する選択情報をユーザが視認可能な状態で通知することができる。
請求項6記載の発明によれば、通信手段に生成された識別情報を外部に送信させるため、生成された識別情報を外部に出力することができる。
請求項7記載の発明によれば、通信手段に生成された識別情報の生成元となったシード情報に対応する選択情報を外部に送信させるため、生成された識別情報に関係する選択情報を外部に出力することができる。
請求項8記載の発明によれば、識別情報生成装置に予め記憶された固有IDを出力することができる。
請求項9記載の発明によれば、表示手段に識別情報生成装置に予め記憶された固有IDを表示するため、識別情報生成装置に予め記憶された固有IDをユーザが視認可能な状態で通知することができる。
請求項10記載の発明によれば、通信手段に識別情報生成装置に予め記憶された固有IDを外部に送信させるため、識別情報生成装置に予め記憶された固有IDを外部に出力することができる。
請求項11記載の発明によれば、複数のシード情報が一の識別情報生成装置に記憶された場合であっても、これら複数のシード情報夫々に対応する認証サーバに応じたシード情報を各認証サーバに送信することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
請求項12記載の発明によれは、認証サーバに予め割り当てられた選択情報と、当該認証サーバに関する事業者関連情報とを対応付けて記憶することができる。
請求項13記載の発明によれば、暗号化されたシード情報を認証サーバに送信するため、シード情報に係るセキュリティを向上させることができる。
請求項14記載の発明によれば、複数のシード情報が一の識別情報生成装置に記憶された場合であっても、これら複数のシード情報のうち、自己の認証サーバに応じた一のシード情報を記憶し、このシード情報に基づいて認証することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
請求項15記載の発明によれば、シード情報管理サーバにより暗号化されたシード情報を復号化し、この復号化されたシード情報をユーザ情報と対応付けて記憶するため、シード情報に係るセキュリティを向上させることができる。
請求項16記載の発明によれば、識別情報生成装置の固有IDを、当該識別情報生成装置を所持するユーザのユーザ情報に対応付けて記憶することができる。
以下、図面を参照して本発明を実施するための最良の形態について詳細に説明する。ただし、発明の範囲は図示例に限定されないものとする。
まず、図1を参照して本実施の形態における認証システム100の構成を説明する。図1に示すとおり、認証システム100は、OTP生成器10、アクセス端末20、事業者認証サーバ30、シード情報管理サーバ40等から構成され、少なくともアクセス端末20と事業者認証サーバ30、事業者認証サーバ30とシード情報管理サーバ40が、ネットワークNを介して相互にデータの送受信が可能に接続されている。なお、認証システム100を構成する各機器の数量は、図示例に限定されないものとし、例えば、夫々事業者の異なる複数の事業者認証サーバ30を備えた態様としてもよい。また、各機器がなすネットワーク構成は、図示例に限定されないものとし、例えば、事業者認証サーバ30とシード情報管理サーバ40とが他のネットワークを介して接続される態様としてもよい。
ネットワークNは、例えば、WAN(Wide Area Network)であるが、LAN(Local Area Network)を含んでもよく、電話回線網、ISDN(Integrated Services Digital Network)回線網、広帯域通信回線網、専用線、移動体通信網、通信衛星回線、CATV(Community Antenna TeleVision)回線、光通信回線、無線通信回線と、それらを接続するインターネットサービスプロバイダ等を含む構成としてもよい。なお、各装置の間のデータ通信プロトコルは、特に限らないものとするが、例えば、TLS/SSL、S/MIME、IPsec等のセキュリティを考慮したプロトコルを使用することが好ましい。また、独自のプロトコルを使用することとしてもよい。
OTP生成器10は、各ユーザに配布される所謂トークンであって、操作部12を介ししたユーザからの操作に応じ、シード情報及び時刻情報から認証システム100におけるユーザの識別情報となるOTPを生成する。
図2は、OTP生成器10の内部構成を示したブロック図である。図2に示すとおり、OTP生成器10は、CPU11、操作部12、表示部13、ROM14、RAM15、計時部16、記憶部17、I/F部18等により構成され、各部はバス19を介して接続される。
CPU11は、RAM15を作業領域として、ROM14に予め記憶された各種プログラムとの協働により各種処理を実行し、OTP生成器10を構成する各部の動作を統括的に制御する。
操作部12は、各種入力キー等を備え、ユーザからの操作により入力される入力信号をCPU11に出力する。表示部13は、LCD(Liquid Crystal Display)やELD(Electro Luminescence Display)パネル等により構成され、CPU11からの表示信号に基づいて各種情報を表示する。また、表示部13は、操作部12と一体的にタッチパネルを構成する態様としてもよい。
ROM14は、OTP生成器10の動作に必要なプログラム及び当該プログラムの実行に係るデータを記憶する。ROM14は、図2に示すように、システムプログラム141、OTP生成プログラム142、シード番号管理プログラム143、シードテーブル144、OTP生成器固有ID145を記憶する。
システムプログラム141は、OTP生成器としての基本的な諸機能を実現させるためのプログラムである。CPU11は、このシステムプログラム141との協働により、例えば、記憶部17への各種データの読み書き制御、表示部13への表示制御、操作部12の所定の入力キーに所定の機能の実行を割り当てる入力制御等を実現する。
OTP生成プログラム142は、OTPの生成に係る諸機能を実現させるためのプログラムである。CPU11は、このOTP生成プログラム142との協働により、一のシード情報及び計時部16から入力される時刻情報を元に所定のアルゴリズムに基づいてOTPを生成する。
シード番号管理プログラム143は、記憶部17に記憶されるシード番号管理テーブル171の登録・管理に係る諸機能を実現させるためのプログラムである。CPU11は、このシード番号管理プログラム143との協働により、後述するシード番号管理処理(図21参照)を実行する。
シードテーブル144には、複数のシード情報が当該複数のシード情報の夫々に対応する複数のシード番号(選択情報)と対応付けて登録されている。
図3は、ROM14に記憶されたシードテーブル144の一例を示した図である。図3に示すように、シードテーブル144には、複数のシード情報(1234567890等)と、当該複数のシード情報の夫々に対応する複数のシード番号(1〜20)とが対応付けて登録されている。なお、シードテーブル144に登録されるシード情報の数量は、図示例に限定されず、特に問わないものとする。CPU11は、ユーザから操作部12を介して特定のシード番号が選択されると、選択されたシード番号に対応するシード情報をシードテーブル144から読み出し、上述したOTP生成プログラム142との協働により、この読み出したシード情報に基づいてOTPを生成する。また、CPU11は、操作部12を介した所定のユーザ操作に応じて、この生成したOTPをI/F部18を介して外部機器に送信又は表示部13に表示させる。
OTP生成器固有ID145は、各OTP生成器10に割り当てられた製造番号等の固有IDである。CPU11は、操作部12を介した所定のユーザ操作に応じて、ROM14からOTP生成器固有ID145を読み出し、このOTP生成器固有ID145をI/F部18を介して外部機器に送信又は表示部13に表示させる。
RAM15は、CPU11により実行制御される各種処理において、ROM14から読み出されたプログラム、入力、若しくは出力データ及びパラメータ等の一時的な格納領域となる。
計時部16は、常時一定周波数を発信する不図示の水晶発振器によるクロック信号を基準に現在時刻を計測し、この計測した時刻情報をCPU11に出力する。
記憶部17は、磁気的、光学的記録媒体若しくは半導体メモリで構成される不揮発性の記憶媒体を備え、後述するシード番号管理処理(図21参照)に係るシード番号管理テーブル171を記憶する。なお、この記憶媒体は、OTP生成器10に着脱自在に装着可能な構成としてもよい。
シード番号管理テーブル171には、シードテーブル144に格納された各シード情報に対応するシード番号が、各シード情報を元に生成されるOTPの認証を行う事業者サーバに関する事業者識別情報と対応付けて登録されている。ここで、事業者識別情報は、後述するシード番号管理処理(図21参照)においてユーザから操作部12を介して入力される情報であって、例えば、各事業者サーバが所属する事業者名等を入力することができるようになっている。
図4は、シード番号管理テーブル171の一例を示した図である。図4に示すように、シード番号管理テーブル171には、シード番号と、当該シード番号にかかる事業者識別情報とが対応付けて登録されている。CPU11は、操作部12からのユーザ操作に応じて、シード番号管理テーブル171を参照し、特定のシード番号と当該シード番号に対応付けられた事業者名をI/F部18を介して外部機器に送信又は表示部13に表示させる。
I/F部18は、CPU11の制御の下、OTP生成器10とアクセス端末20等の外部の機器との間で授受さされる各種情報の通信制御を行う通信インターフェイスである。I/F部18としては、例えば、USB(Universal Serial Bus)ポートやRS−232C端子をはじめとするシリアル入出力端子、パラレル入出力端子、SCSIインターフェイス、IrDA(Infrared Data Association)規格に準じた赤外線通信装置、BlueTooth規格に準じた無線通信装置等が挙げられ、有線または無線通信手段によりアクセス端末20のI/F部27と接続することが可能となっている。具体的には、I/F部18を介して、OTP生成器10からシード番号やOTP生成器固有ID、OTP等の各種情報がアクセス端末20に送信される。
アクセス端末20は、認証システム100を利用するユーザが操作するPC等の端末であって、操作部22を介して入力されるOTP生成器固有IDやOTP、ログイン名等の情報を事業者認証サーバ30に送信することで、当該事業者認証サーバ30とのアクセスを行う。
図5は、アクセス端末20の内部構成を示したブロック図である。図5に示すとおり、アクセス端末20は、CPU21、操作部22、表示部23、記憶部24、RAM25、通信部26、I/F部27等により構成され、各部はバス28を介して接続される。
CPU21は、RAM25を作業領域として、記憶部24に予め記憶された各種プログラムとの協働により各種処理を実行し、アクセス端末20を構成する各部の動作を統括的に制御する。
操作部22は、各種入力キー等を備え、ユーザからの操作により入力される入力信号をCPU21に出力する。表示部23は、LCDやELDパネル等により構成され、CPU21からの表示信号に基づいて各種情報を表示する。また、表示部23は、操作部22と一体的にタッチパネルを構成する態様としてもよい。
記憶部24は、磁気的、光学的記録媒体若しくは半導体メモリで構成される不揮発性の記憶媒体を備え、アクセス端末20の動作に必要なプログラム及び当該プログラムの実行に係るデータを記憶する。記憶部24は、図5に示すように、システムプログラム241を記憶する。
システムプログラム241は、アクセス端末としての基本的な諸機能を実現させるためのプログラムであって、CPU21は、このシステムプログラム241との協働により、例えば、記憶部24への各種データの読み書き制御、表示部23への表示制御、操作部22の所定の入力キーに所定の機能の実行を割り当てる入力制御等を実現する。また、CPU21は、システムプログラム241との協働により、事業者認証サーバ30にアクセス(接続)し、認証に供する画面や情報等を享受する情報享受機能を実現し、例えば、Webクライアントとしての機能を実現する。
RAM25は、CPU21により実行制御される各種処理において、記憶部24から読み出されたプログラム、入力、若しくは出力データ及びパラメータ等の一時的な格納領域となる。
通信部26は、モデム(MODEM:MOdulator/DEModulator)、ターミナルアダプタ(Terminal Adapter)、LANアダプタ等のネットワークインターフェースであって、CPU11の制御の下、ネットワークNに接続された他の機器(事業者認証サーバ30等)との間で授受される各種情報の通信制御を行う。
I/F部27は、CPU21の制御の下、アクセス端末20とOTP生成器10等の外部の機器との間で授受さされる各種情報の通信制御を行う通信インターフェイスである。I/F部27としては、例えば、USBポートやRS−232C端子をはじめとするシリアル入出力端子、パラレル入出力端子、SCSIインターフェイス、IrDA規格に準じた赤外線通信装置、BlueTooth規格に準じた無線通信装置等が挙げられ、有線又は無線通信手段によりOTP生成器10のI/F部18と接続することが可能となっている。なお、OTP生成器10のI/F部18と接続する場合、両I/F部は共通する規格に準じた通信インターフェイスを用いることが好ましい。
事業者認証サーバ30は、各事業者に所属する認証サーバである。事業者認証サーバ30は、アクセス端末20から送信されるログイン情報に基づいて、当該アクセス端末20のユーザが、後述するユーザ登録処理(図18参照)により登録されたユーザか否かを判定し、アクセス制御を行う。
図6は、事業者認証サーバ30の内部構成を示したブロック図である。図6に示すとおり、事業者認証サーバ30は、CPU31、操作部32、表示部33、記憶部34、RAM35、計時部36、通信部37等により構成され、各部はバス38を介して接続される。
CPU31は、RAM35を作業領域として、記憶部34に予め記憶された各種プログラムとの協働により各種処理を実行し、事業者認証サーバ30を構成する各部の動作を統括的に制御する。
操作部32は、各種入力キー等を備え、ユーザからの操作により入力される入力信号をCPU31に出力する。表示部33は、LCDやELDパネル等により構成され、CPU31からの表示信号に基づいて各種情報を表示する。また、表示部33は、操作部32と一体的にタッチパネルを構成する態様としてもよい。
記憶部34は、磁気的、光学的記録媒体若しくは半導体メモリで構成される不揮発性の記憶媒体を備え、事業者認証サーバ30の動作に必要なプログラム及び当該プログラムの実行に係るデータを記憶する。
記憶部34は、図6に示すように、システムプログラム341、OTP生成プログラム342、ユーザ別シード情報テーブル343、事業者固有シード番号344、秘密鍵345を記憶する。
システムプログラム341は、事業者認証サーバ30としての基本的な諸機能を実現させるためのプログラムである。CPU31は、このシステムプログラム341との協働により、例えば、記憶部34への各種データの読み書き制御、表示部33への表示制御、操作部32の所定の入力キーに所定の機能の実行を割り当てる入力制御等を実現する。また、CPU31は、システムプログラム341との協働により、認証に供する画面や情報等をアクセス端末20に提供する情報提供機能を実現し、例えば、Webサーバとしての機能を実現する。
OTP生成プログラム342は、OTPの生成に係る諸機能を実現させるためのプログラムである。CPU31は、このOTP生成プログラム342との協働により、一のシード情報及び計時部36から入力される時刻情報を元に所定のアルゴリズムに基づいてOTPを生成する。
ユーザ別シード情報テーブル343には、アクセス端末20を介して登録された各ユーザのユーザ情報が登録される。ここで、ユーザ情報は、各ユーザを識別するログインID(ユーザID)、ユーザ登録処理時に入力されたOTP生成器固有ID、OTP生成の元となるシード情報、ユーザの氏名等の個人情報を含み、これら各情報がユーザ(ログインID)毎に対応付けて登録されている。
図7は、記憶部34に記憶されたユーザ別シード情報テーブル343の一例を示した図である。図7に示すように、ユーザ別シード情報テーブル343には、一のユーザ(ログインID:XYZ123)に関係する、OTP生成器固有ID(ABCD1234)、シード情報(1234567890)、氏名(鈴木太郎)等の情報が、対応付けて登録されている。
事業者固有シード番号344は、各事業者に予め割り当てられたシード番号(選択情報)であって、事業者毎に固有のシード番号が割り当てられている。事業者固有シード番号344は、各OTP生成器10のシードテーブル144に登録されたシード番号と対応しており、事業者固有シード番号344が示す数値と同値となるシードテーブル144のシード番号に対応付けられたシード情報が、この事業者固有シード番号344の事業者認証サーバ30にログインする際に生成されるOTPの元となる。
秘密鍵345は、公開鍵暗号方式における「秘密鍵」に相当する情報である。なお、秘密鍵345に対応する公開鍵は、シード情報管理サーバ40の記憶部44に予め記憶される。CPU31は、公開鍵により暗号化されたシード情報をシード情報管理サーバ40から受信すると、この暗号化されたシード情報を当該公開鍵に対応する秘密鍵345により復号化し、この復号化されたシード情報を当該シード情報に係るユーザ情報に対応付けてユーザ別シード情報テーブル343に登録する。
RAM35は、CPU31により実行制御される各種処理において、記憶部34から読み出されたプログラム、入力、若しくは出力データ及びパラメータ等の一時的な格納領域となる。
計時部36は、常時一定周波数を発信する不図示の水晶発振器によるクロック信号を基準に現在時刻を計測し、この計測した時刻情報をCPU31に出力する。なお、計時部16と計時部36とが計時する時刻は同期しているものとする。
通信部37は、モデム、ターミナルアダプタ、LANアダプタ等のネットワークインターフェースであって、CPU31の制御の下、ネットワークNに接続された他の機器(アクセス端末20、シード情報管理サーバ40等)との間で授受される各種情報の通信制御を行う。
シード情報管理サーバ40は、各OTP生成器10に記憶された複数のシード情報を記憶し、各事業者に対応したシード番号のシード情報を、事業者認証サーバ30に提供する。
図8は、シード情報管理サーバ40の内部構成を示したブロック図である。図8に示すとおり、シード情報管理サーバ40は、CPU41、操作部42、表示部43、記憶部44、RAM45、通信部46等により構成され、各部はバス47を介して接続される。
CPU41は、RAM45を作業領域として、記憶部44に予め記憶された各種プログラムとの協働により各種処理を実行し、シード情報管理サーバ40を構成する各部の動作を統括的に制御する。
操作部42は、各種入力キー等を備え、ユーザからの操作により入力される入力信号をCPU41に出力する。表示部43は、LCDやELDパネル等により構成され、CPU41からの表示信号に基づいて各種情報を表示する。また、表示部43は、操作部42と一体的にタッチパネルを構成する態様としてもよい。
記憶部44は、磁気的、光学的記録媒体若しくは半導体メモリで構成される不揮発性の記憶媒体を備え、シード情報管理サーバ40の動作に必要なプログラム及び当該プログラムの実行に係るデータを記憶する。
記憶部44は、図8に示すように、システムプログラム441、事業者情報テーブル442、シード情報管理テーブル443を記憶する。
システムプログラム441は、シード情報管理サーバ40としての基本的な諸機能を実現させるためのプログラムである。CPU41は、このシステムプログラム441との協働により、例えば、記憶部44への各種データの読み書き制御、表示部43への表示制御、操作部42の所定の入力キーに所定の機能の実行を割り当てる入力制御等を実現する。
事業者情報テーブル442には、認証システム100に係る各事業者に関する事業者情報が事業者毎に対応付けて登録されている。ここで、事業者情報には、各事業者に予め割り当てられたシード番号(事業者固有シード番号)、事業者名、各事業者に所属する事業者認証サーバ30に記憶された秘密鍵345に対応する公開鍵、事業者認証サーバ30のドメイン名、IPアドレス等が含まれており、これら各情報が事業者毎に対応付けて登録されている。
図9は、記憶部44に記憶された事業者情報テーブル442の一例を示した図である。図9に示すように、事業者情報テーブル442には、事業者毎に、シード番号と、事業者名等の事業者関連情報と、公開鍵とが対応付けて登録されている。ここで、登録されたシード番号は、OTP生成器10のROM14に記憶されたシードテーブル144のシード番号と対応しており、このシード番号に対応するシード情報を元に生成されたOTPが、当該シード番号に対応する事業者の事業者認証サーバ30へのログイン時に用いられるようになっている。
シード情報管理テーブル443には、各OTP生成器10のROM14に記憶されたシードテーブル144(シード情報とシード番号)とOTP生成器固有ID145とが対応付けて登録されている。
図10は、記憶部44に記憶されたシード情報管理テーブル443の一例を示した図である。図10に示すように、シード情報管理テーブル443には、各OTP生成器10に係るOTP生成器固有IDとシード情報とシード番号とが対応付けて格納されている。
RAM45は、CPU41により実行制御される各種処理において、記憶部44から読み出されたプログラム、入力、若しくは出力データ及びパラメータ等の一時的な格納領域となる。
通信部46は、モデム、ターミナルアダプタ、LANアダプタ等のネットワークインターフェースであって、CPU41の制御の下、ネットワークNに接続された他の機器(事業者認証サーバ30等)との間で授受される各種情報の通信制御を行う。
<認証システム100の環境設定>
次に、図11〜15を参照して、認証システム100を構成する各機器において、認証に係る環境が設定されるまでの工程を説明する。
次に、図11〜15を参照して、認証システム100を構成する各機器において、認証に係る環境が設定されるまでの工程を説明する。
図11は、OTP生成器10、事業者認証サーバ30及びシード情報管理サーバ40において、認証に係る環境が設定されるまでの工程を模式的に示した図である。
図11に示すように、OTP生成器10を製造するOTP生成器製造メーカ1では、OTP生成器10の製造工程において、各OTP生成器10のROMにシードテーブル144及びOTP生成器固有ID145をROM14に記憶させると、各OTP生成器10に記憶させたシードテーブル144及びOTP生成器固有ID145を対応付けてシード情報管理サーバ40に通知する。
図11に示すように、OTP生成器10を製造するOTP生成器製造メーカ1では、OTP生成器10の製造工程において、各OTP生成器10のROMにシードテーブル144及びOTP生成器固有ID145をROM14に記憶させると、各OTP生成器10に記憶させたシードテーブル144及びOTP生成器固有ID145を対応付けてシード情報管理サーバ40に通知する。
図12は、OTP生成器製造メーカ1にて行われる、OTP生成器の製造に係る処理の手順を示したフローチャートである。
OTP生成器の製造工程において、OTP生成器本体の製造が完了すると(ステップS11)、このOTP生成器10のROM14に、複数のシード情報と当該複数のシード情報の夫々に対応する複数のシード番号とを対応付けたシードテーブル144が記憶されるとともに(ステップS12)、当該OTP生成器10に固有の製造番号等の固有IDがOTP生成器固有ID145として記憶される(ステップS13)。
OTP生成器の製造工程において、OTP生成器本体の製造が完了すると(ステップS11)、このOTP生成器10のROM14に、複数のシード情報と当該複数のシード情報の夫々に対応する複数のシード番号とを対応付けたシードテーブル144が記憶されるとともに(ステップS12)、当該OTP生成器10に固有の製造番号等の固有IDがOTP生成器固有ID145として記憶される(ステップS13)。
次いで、ステップS12及びS13で記憶されたシードテーブル144及びOTP生成器固有ID145が対応付けて、シード情報管理サーバ40に通知され(ステップS14)、本処理は終了する。
なお、ステップS12において一のOTP生成器10に記憶される複数のシード情報は、互いに異なるものとし、より好ましくは、他のOTP生成器に記憶される複数のシード情報の何れとも異なることが好ましい。
図11に戻り、OTP生成器製造メーカ1からシードテーブル144及びOTP生成器固有ID145を通知されたシード情報管理サーバ40では、このOTP生成器固有ID145とシードテーブル144とを対応付け、記憶部44のシード情報管理テーブル443に登録する。
図13は、シード情報管理サーバ40にて行われる、シード情報管理テーブル443の登録に係る処理の手順を示したフローチャートである。なお、本処理は、CPU41と、記憶部44に記憶された各種プログラムとの協働により実行される処理を示している。
OTP生成器製造メーカ1からシードテーブル144及びOTP生成器固有ID145が操作部42、通信部46等を介して通知(入力)されると(ステップS21)、このOTP生成器固有ID145とシードテーブル144とを対応付け、シード情報管理サーバ40の記憶部44に、シード情報管理テーブル443として記憶され(ステップS22)、本処理は終了する。
図11に戻り、各事業者3(事業者A〜C)にシード番号の使用権が割り当てられると、シード情報管理サーバ40では、シード番号と、当該シード番号に割り当てられた事業者名、事業者認証サーバ30のドメイン名、IPアドレス等の事業者に関する事業者関連情報と、当該事業者に所属する事業者認証サーバ30に記憶された秘密鍵345に対応する公開鍵とを対応付け、事業者情報テーブル442に登録する。
図14は、シード情報管理サーバ40にて行われる、事業者情報テーブル442の登録に係る処理の手順を示したフローチャートである。なお、本処理は、CPU41と、記憶部44に記憶された各種プログラムとの協働により実行される処理を示している。
まず、各事業者に割り当てられたシード番号が操作部42、通信部46等を介して通知(入力)される(ステップS31)。次いで、各事業者に関する関連情報が入力され(ステップS32)、各事業者に所属する事業者認証サーバ30に記憶された公開鍵が入力されると(ステップS33)、入力されたシード番号、公開鍵、事業者関連情報とが、事業者毎に対応付けられ、記憶部44の事業者情報テーブル442に登録されて(ステップS34)、本処理は終了する。
一方、シード番号を割り当てられた事業者に所属する事業者認証サーバ30では、当該事業者に割り当てられたシード番号を、事業者固有シード番号344として記憶部44に記憶する。
上述したように、シード情報管理サーバ40(事業者情報テーブル442)と事業者認証サーバ30とに各事業者に応じたシード番号が定義付けられることにより、各OTP生成器10に記憶された各シード番号は、特定の事業者用と定義付けられることになる。例えば、シード番号「2」を事業者名「ABC銀行」に割り当て、事業者情報テーブル442に対応付けて記憶した場合には、図15に示すように、各OTP生成器10に記憶されたシード番号「2」は「ABC銀行」用と定義される。即ち、シード番号「2」に対応するシード情報を元に生成されるOTPを、「ABC銀行」に所属する事業者認証サーバ30へのアクセス時に用いることになる。
<ユーザ登録時の動作について>
次に、図16〜20を参照して、事業者認証サーバ30にユーザ情報の登録を行う際の動作について説明する。
次に、図16〜20を参照して、事業者認証サーバ30にユーザ情報の登録を行う際の動作について説明する。
図16は、ユーザ情報の登録時において、OTP生成器10で実行される処理を示したフローチャートである。なお、本処理は、CPU11と、ROM14に記憶された各種プログラムとの協働により実行される処理を示している。
まず、操作部12を介して、OTP生成器10のOTP生成器固有IDの表示を指示する旨の操作信号が入力されると(ステップS41)、ROM14に記憶されたOTP生成器固有ID145が読み出される(ステップS42)。そして、この読み出されたOTP生成器固有ID145が、図17に示すように表示部13に表示され(ステップS43)、本処理を終了する。
なお、本実施の形態では、OTP生成器固有ID145を表示部13に出力することとしたが、これに限らず、I/F部18にアクセス端末20が接続されている場合には、当該I/F部18を介してアクセス端末20に出力する態様としてもよい。
図18は、ユーザ情報の登録に係る処理(ユーザ登録処理)の手順を示したラダーチャートである。なお、同図においてステップS51〜S56の各処理は、アクセス端末20のCPU21と記憶部24に記憶された各種プログラムとの協働により実行される処理を示しており、ステップS61〜S68の各処理は、事業者認証サーバ30のCPU31と記憶部34に記憶された各種プログラムとの協働により実行される処理を示しており、ステップS71〜S73の各処理は、シード情報管理サーバ40のCPU41と記憶部44に記憶された各種プログラムとの協働により実行される処理を示している。
まず、アクセス端末20では、操作部22を介した所定のユーザ操作に応じて、特定の事業者認証サーバ30にユーザ情報の登録を行う旨の指示情報(ユーザ登録要求情報)が送信される(ステップS51)。
事業者認証サーバ30では、アクセス端末20からユーザ登録要求情報が受信されると(ステップS61)、ユーザの氏名やログインID、OTP生成器固有ID等を含んだユーザ情報の入力を促す画面の表示を指示する指示情報(登録画面表示情報)がアクセス端末20に送信される(ステップS62)。
一方、アクセス端末20では、事業者認証サーバ30から登録画面表示情報が受信されると(ステップS52)、この登録画面表示情報に基づき、表示部13にユーザ情報の入力を促す画面が表示される(ステップS53)。続いて、表示部13に表示された画面に基づき、操作部12を介してユーザの氏名やログインID、OTP生成器固有ID等のユーザ情報が入力されると、この入力されたユーザ情報が事業者認証サーバ30へと送信される(ステップS54)。ここで、ユーザ情報として入力されるOTP生成器固有IDは、図16の処理においてOTP生成器10の表示部13に表示されたOTP生成器固有IDが入力されるものとするが、その入力態様は特に問わず、ユーザから操作部22を介して入力される態様としてもよいし、I/F部27にOTP生成器10が接続されている場合には、当該OTP生成器10から入力される態様としてもよい。
事業者認証サーバ30では、アクセス端末20からユーザ情報が受信されると(ステップS63)、本事業者認証サーバ30に割り当てられた事業者固有シード番号344が記憶部34から読み出され(ステップS64)、ユーザ情報に含まれたOTP生成器固有IDと、読み出された事業者固有シード番号とが検索キーとして、シード情報管理サーバ40に送信される(ステップS65)。
シード情報管理サーバ40では、事業者認証サーバ30から検索キーが受信されると(ステップS71)、シード情報検索処理(ステップS72)へと移行する。以下、図19を参照して、ステップS72のシード情報検索処理について説明する。
図19は、シード情報検索処理の手順を示したフローチャートである。
まず。検索キーに含まれたOTP生成器固有ID及び事業者固有シード番号に対応するシード情報がシード情報管理テーブル443から検索され(ステップS721)、該当するシード情報がシード情報管理テーブル443から読み出される(ステップS722)。次いで、検索キーに含まれた事業者固有シード番号に対応する公開鍵が事業者情報テーブル442から検索され(ステップS723)、該当する公開鍵が事業者情報テーブル442から読み出されると(ステップS724)、この公開鍵に基づいてステップS722で読み出されたシード情報が暗号化され(ステップS725)、ステップS73へと移行する。
まず。検索キーに含まれたOTP生成器固有ID及び事業者固有シード番号に対応するシード情報がシード情報管理テーブル443から検索され(ステップS721)、該当するシード情報がシード情報管理テーブル443から読み出される(ステップS722)。次いで、検索キーに含まれた事業者固有シード番号に対応する公開鍵が事業者情報テーブル442から検索され(ステップS723)、該当する公開鍵が事業者情報テーブル442から読み出されると(ステップS724)、この公開鍵に基づいてステップS722で読み出されたシード情報が暗号化され(ステップS725)、ステップS73へと移行する。
図18に戻り、ステップS725で暗号化されたシード情報(以下、暗号化済シード情報という)が、この検索キーを送信した事業者認証サーバ30に送信され(ステップS73)、シード情報管理サーバ40の処理は終了する。
このように、暗号化されたシード情報を事業者認証サーバ30に送信するため、シード情報に係るセキュリティを向上させることができる。
一方、事業者認証サーバ30では、シード情報管理サーバ40から暗号化済シード情報が受信されると(ステップS66)、ユーザ情報登録処理(ステップS67)へと移行する。以下、図20を参照して、ステップS67のユーザ情報登録処理について説明する。
図20は、ユーザ情報登録処理の手順を示したフローチャートである。
まず、記憶部34に記憶された秘密鍵345が読み出され(ステップS671)、この秘密鍵345に基づいて暗号化済シード情報からシード情報が復号化される(ステップS672)。続いて、復号化されたシード情報が、ステップS63で受信したユーザ情報と対応付けてユーザ別シード情報テーブル343に登録され(ステップS673)、ステップS68へと移行する。
まず、記憶部34に記憶された秘密鍵345が読み出され(ステップS671)、この秘密鍵345に基づいて暗号化済シード情報からシード情報が復号化される(ステップS672)。続いて、復号化されたシード情報が、ステップS63で受信したユーザ情報と対応付けてユーザ別シード情報テーブル343に登録され(ステップS673)、ステップS68へと移行する。
図18に戻り、本事業者認証サーバ30に割り当てられた事業者固有シード番号344及び登録完了の表示を指示する指示情報(登録完了情報)が、アクセス端末20に送信され(ステップS68)、事業者認証サーバ30の処理は終了する。
アクセス端末20では、事業者認証サーバ30から登録完了情報が受信されると(ステップS55)、この登録完了情報に基づき、表示部13に事業者固有シード番号及び登録完了を通知する画面が表示され(ステップS57)、アクセス端末20の処理は終了する。
上記の処理により、事業者認証サーバ30にユーザ情報が登録され、これ以降、このユーザ情報に係るユーザは、アクセス端末20から事業者認証サーバ30にログインすることが可能となる。
上述したとおり、OTP生成器10の記憶部17には、シード番号管理テーブル171が記憶されており、ユーザは操作部12を介して、シード番号と当該シード番号に割り当てられた事業者に関する情報とをシード番号管理テーブル171に登録する指示をCPU11に入力することが可能となっている。この場合、ステップS56で表示された事業者固有シード番号に対応するシード番号に、ユーザ情報の登録を行った事業者認証サーバ30に関する情報(以下、事業者識別情報という)を登録する態様が好ましく、これにより、後述する事業者認証サーバ30へのログイン時において、各事業者認証サーバ30への接続の便宜を向上させることができる。
図21は、シード番号管理テーブル171への登録に係る処理(シード番号管理処理)の手順を示したフローチャートである。なお、本処理は、CPU11と、ROM14に記憶された各種プログラムとの協働により実行される処理を示している。
まず、操作部12を介した所定のユーザ操作により、事業者識別情報の登録を行う旨の指示信号が入力されると(ステップS81)、シードテーブル144に登録された全てのシード番号が読み出され(ステップS82)、この読み出された全てのシード番号が、操作部12を介して選択可能な態様で表示部13に表示される(ステップS83)。
ここで、操作部12を介した所定のユーザ操作により、特定のシード番号が選択され、その指示信号が入力されると(ステップS84)、続いて、事業者識別情報の入力を促す画面が表示部13に表示される(ステップS85)。
続いて、操作部12を介した所定のユーザ操作により、事業者識別情報が入力され、その指示信号が入力されると(ステップS86)、この入力された事業者識別情報と、ステップS84で選択されたシード番号とが対応付けて、シード番号管理テーブル171に登録され(ステップS87)、本処理を終了する。
なお、本実施の形態では、シードテーブル144に登録された全てのシード番号から事業者識別情報を対応付けるシード番号を選択する態様としたが、これに限らず、例えば、上述したユーザ登録処理のステップS57においてOTP生成器10の表示部13に表示された事業者固有シード番号をOTP生成器10におけるシード番号とし、このシード番号と事業者識別情報とを対応付けてシード番号管理テーブル171に登録する態様としてもよい。
このように、シード情報管理サーバ40では、複数のシード情報が一のOTP生成器10に記憶された場合であっても、これら複数のシード情報夫々に対応する事業者認証サーバ30に適切なシード情報を送信することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
また、事業者認証サーバ30では、複数のシード情報が一のOTP生成器10に記憶された場合であっても、これら複数のシード情報のうち、自己の事業者認証サーバ30に応じた一のシード情報を記憶し、このシード情報に基づいて認証することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
また、事業者認証サーバ30では、複数のシード情報が一のOTP生成器10に記憶された場合であっても、これら複数のシード情報のうち、自己の事業者認証サーバ30に応じた一のシード情報を記憶し、このシード情報に基づいて認証することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
<ログイン時の動作について>
次に、図22〜24を参照して、アクセス端末20から事業者認証サーバ30にログインを行う際の動作について説明する。
次に、図22〜24を参照して、アクセス端末20から事業者認証サーバ30にログインを行う際の動作について説明する。
図22は、ログイン時において、OTP生成器10で実行される処理を示したフローチャートである。なお、本処理は、CPU11と、ROM14に記憶された各種プログラムとの協働により実行される処理を示している。
まず、操作部12を介した所定のユーザ操作により、OTPの生成を行う旨の指示情報が入力されると(ステップS91)、シードテーブル144に格納された全てのシード番号が読み出され(ステップS92)、この読み出された全てのシード番号が、操作部12を介して選択可能な態様で表示部13に表示される(ステップS93)。なお、読み出されたシード番号のうち、シード番号管理テーブル171に登録されたシード番号については、各シード番号に対応付けられた事業者識別情報をシード番号管理テーブル171から読み出し、対応するシード情報と併せて表示する態様としてもよい。
次いで、操作部12を介した所定のユーザ操作により、特定のシード番号が選択され、その指示信号が入力されると(ステップS94)、この入力されたシード番号に対応するシード情報がシードテーブル144から読み出され(ステップS95)、このシード情報及び計時部16から入力される時刻情報を元にOTPが生成される(ステップS96)。このように、表示部13に表示された複数のシード番号から一のシード番号を指定することで、この指定されたシード番号に対応する一のシード情報を選択することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
続いて、ステップS94で選択されたシード番号に対応する事業者識別情報がシード番号管理テーブル171から読み出され(ステップS97)、ステップS94で選択されたシード番号、ステップS97で読み出された事業者識別情報及びステップS96で生成されたOTPが、表示部13に表示され(ステップS98)、本処理は終了する。
このように、OTP生成器10では、複数のシード情報からOTPを生成する一のシード情報を選択することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
図23は、表示部13に表示された、シード番号、事業者識別情報及びOTPの一例を示した図である。図23に示すように、上記した処理により、OTP生成器10の表示部13に、シード番号「1」、事業者識別情報「aaaa−bank」、OTP「1072502002」が表示される。このように、表示部13に生成されたOTP、このOTPの生成元となったシード情報に対応するシード番号を表示するため、OTP及びシード番号をユーザが視認可能な状態で通知することができる。
ユーザは、表示部13に表示された各種情報を、操作部22を介してアクセス端末20に入力し、所望する事業者認証サーバ30に送信することで、当該事業者認証サーバ30へのログインを行う。
ユーザは、表示部13に表示された各種情報を、操作部22を介してアクセス端末20に入力し、所望する事業者認証サーバ30に送信することで、当該事業者認証サーバ30へのログインを行う。
図24は、アクセス端末20から事業者認証サーバ30へのログインに係る処理の手順を示したラダーチャートである。なお、同図において、ステップS101〜S106の各処理は、アクセス端末20のCPU21と記憶部24に記憶された各種プログラムとの協働により実行される処理を示しており、ステップS111〜S121の各処理は、事業者認証サーバ30のCPU31と記憶部34に記憶された各種プログラムとの協働により実行される処理を示している。
まず、アクセス端末20において、操作部22を介した所定のユーザ操作に応じ、ログインを行う旨の指示情報(ログイン要求情報)が特定の事業者認証サーバ30に送信される(ステップS101)。
事業者認証サーバ30では、アクセス端末20からログイン要求情報が受信されると(ステップS111)、ログインID、OTP等のログイン情報の入力を促す画面の表示を指示する指示情報(ログイン画面表示情報)がアクセス端末20に送信される(ステップS112)。
一方、アクセス端末20では、事業者認証サーバ30からログイン画面表示情報が受信されると(ステップS102)、このログイン画面表示情報に基づき、表示部23にログイン情報の入力を促す画面(図25参照)が表示される(ステップS103)。続いて、表示部23に表示された画面に基づき、操作部12を介してログインID、OTP等のログイン情報が入力されると、この入力されたログイン情報が事業者認証サーバ30へと送信される(ステップS104)。
ここで、ログイン情報として入力されるOTPは、図19の処理においてOTP生成器10の表示部13に表示されたOTP(例えば、1072502002)が入力されるものとするが、その入力態様は特に問わず、ユーザから操作部22を介して入力される態様としてもよいし、I/F部27にOTP生成器10が接続されている場合には、当該OTP生成器10から入力される態様としてもよい。
事業者認証サーバ30では、アクセス端末20からログイン情報が受信されると(ステップS113)、このログイン情報に含まれたログインIDに対応するシード情報がユーザ別シード情報テーブル343から検索され(ステップS114)、該当するシード情報がユーザ別シード情報テーブル343から読み出される(ステップS115)。次いで、このシード情報及び計時部36から入力される時刻情報を元に照合用のOTPが生成され(ステップS116)、この照合用のOTPと、ログイン情報に含まれたOTPとが比較・照合される(ステップS117)。
続いて、両OTPが一致するか否かが判定され、両OTPが一致すると判定された場合には(ステップS118;Yes)、本事業者認証サーバ30へのログインが許可され(ステップS119)、ステップS121へと移行する。一方、ステップS118において、両OTPが一致しないと判定された場合には(ステップS118;No)、本事業者認証サーバ30へのログインは許可されず(ステップS120)、ステップS121へと移行する。
ステップS121では、ステップS119又はステップS120で決定されたログイン結果を示す指示情報(ログイン結果情報)が、アクセス端末20へと送信され(ステップS121)、事業者認証サーバ30の処理は終了する。
一方、アクセス端末20では、事業者認証サーバ30からログイン結果情報が受信されると(ステップS105)、このログイン結果情報に基づいてログイン結果を通知する画面が表示部23に表示され(ステップS106)、アクセス端末20の処理は終了する。
以上のように、複数のシード情報が一のOTP生成器10に記憶された場合であっても、これら複数のシード情報夫々に対応する事業者認証サーバ30に応じたシード情報を各事業者認証サーバ30に記憶させることができ、このシード情報に基づいてOTP生成器10を所有するユーザを認証することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
なお、本発明の適用は、上述した例に限らず、本発明の趣旨を逸脱しない範囲で適宜変更可能である。
例えば、上記実施形態では、シード情報管理テーブルをOTP生成器10が記憶する態様としたが、これに限らず、アクセス端末20の記憶部24に記憶する態様としてもよい。この場合、シード番号管理プログラムも記憶部24に記憶し、このアカウント情報管理プログラムとCPU21との協働により、シード番号管理テーブルの記憶・管理に係る諸機能が実現されるものとする。
また、上記実施形態では、OTP生成器10とアクセス端末20とが、夫々が独立した状態で認証システム100を構成する態様としたが、これに限らないものとする。例えば、OTP生成器10とアクセス端末20とをI/F部18及びI/F部27を介して接続し、OTP生成器10から送信される各種情報をアクセス端末20が事業者認証サーバ30に直接送信する態様としてもよく、これにより、ログインに係るユーザの労力を省力化することができる。
100 認証システム
10 OTP生成器
11 CPU
12 操作部
13 表示部
14 ROM
141 システムプログラム
142 OTP生成プログラム
143 シード番号管理プログラム
144 シードテーブル
145 OTP生成器固有ID
15 RAM
16 計時部
17 記憶部
171 シード番号管理テーブル
18 I/F部
19 バス
20 アクセス端末
21 CPU
22 操作部
23 表示部
24 記憶部
241 システムプログラム
25 RAM
26 通信部
27 I/F部
28 バス
30 事業者認証サーバ
31 CPU
32 操作部
33 表示部
34 記憶部
341 システムプログラム
342 OTP生成プログラム
343 ユーザ別シード情報テーブル
344 事業者固有シード番号
345 秘密鍵
35 RAM
36 計時部
37 通信部
38バス
40 シード情報管理サーバ
41 CPU
42 操作部
43 表示部
44 記憶部
441 システムプログラム
442 事業者情報テーブル
443 シード情報管理テーブル
45 RAM
46 通信部
47 バス
10 OTP生成器
11 CPU
12 操作部
13 表示部
14 ROM
141 システムプログラム
142 OTP生成プログラム
143 シード番号管理プログラム
144 シードテーブル
145 OTP生成器固有ID
15 RAM
16 計時部
17 記憶部
171 シード番号管理テーブル
18 I/F部
19 バス
20 アクセス端末
21 CPU
22 操作部
23 表示部
24 記憶部
241 システムプログラム
25 RAM
26 通信部
27 I/F部
28 バス
30 事業者認証サーバ
31 CPU
32 操作部
33 表示部
34 記憶部
341 システムプログラム
342 OTP生成プログラム
343 ユーザ別シード情報テーブル
344 事業者固有シード番号
345 秘密鍵
35 RAM
36 計時部
37 通信部
38バス
40 シード情報管理サーバ
41 CPU
42 操作部
43 表示部
44 記憶部
441 システムプログラム
442 事業者情報テーブル
443 シード情報管理テーブル
45 RAM
46 通信部
47 バス
Claims (16)
- 識別情報を生成するためのシード情報を複数記憶する記憶手段と、
ユーザ操作に応じて、前記記憶手段に記憶された複数のシード情報から一のシード情報を選択する選択手段と、
前記選択手段により選択されたシード情報を元に所定のアルゴリズムに基づいて識別情報を生成する生成手段と、
前記生成手段により生成された識別情報を出力する出力手段と、
を備えたことを特徴とする識別情報生成装置。 - 前記記憶手段は、前記複数のシード情報の夫々に対応する複数の選択情報を記憶し、
前記選択手段は、前記ユーザ操作により指定された選択情報に対応するシード情報を選択することを特徴とする請求項1に記載の識別情報生成装置。 - 表示手段を更に備え、
前記選択手段は、前記表示手段に前記複数の選択情報を表示させ、この表示された複数の選択情報から前記ユーザ操作により指定された選択情報に対応するシード情報を選択することを特徴とする請求項2に記載の識別情報生成装置。 - 表示手段を更に備え、
前記出力手段は、前記生成された識別情報を前記表示手段に表示させることを特徴とする請求項1に記載の識別情報生成装置。 - 前記出力手段は、前記識別情報の生成元となったシード情報に対応する選択情報を前記表示手段に表示させることを特徴とする請求項4に記載の識別情報生成装置。
- 通信手段を更に備え、
前記出力手段は、前記生成された識別情報を前記通信手段により外部に送信させることを特徴とする請求項1に記載の識別情報生成装置。 - 前記出力手段は、前記識別情報の元となったシード情報に対応する選択情報を前記通信手段により外部に送信させることを特徴とする請求項6に記載の識別情報生成装置。
- 各識別情報生成装置に固有の固有IDを予め記憶する固有ID記憶手段を更に備え、
前記出力手段は、前記固有ID記憶手段に記憶された固有IDを出力することを特徴とする請求項1に記載の識別情報生成装置。 - 表示手段を更に備え、
前記出力手段は、前記記憶された固有IDを前記表示手段に表示させることを特徴とする請求項8に記載の識別情報生成装置。 - 通信手段を更に備え、
前記出力手段は、前記記憶された固有IDを前記通信手段により外部に送信させることを特徴とする請求項8に記載の識別情報生成装置。 - 一のシード情報を元に識別情報生成装置により生成された識別情報と、前記シード情報と同一のシード情報を元に生成された照合用の識別情報と、を照合し認証を行う複数の認証サーバに通信回線を介して接続されたシード情報管理サーバであって、
複数の前記識別情報生成装置毎に割り当てられた固有IDと、各識別情報生成装置が記憶する複数のシード情報と、当該複数のシード情報の夫々に対応する複数の選択情報と、を対応付けて記憶するシード情報記憶手段と、
前記認証サーバから特定の固有IDと、当該認証サーバに予め割り当てられた選択情報とを検索キーとする指示情報を受信する受信手段と、
前記受信された指示情報に対応するシード情報を前記シード情報記憶手段に記憶された複数のシード情報から検索し、該当するシード情報を読み出す読出手段と、
前記読み出されたシード情報を前記認証サーバに送信する送信手段と、
を備えたことを特徴とするシード情報管理サーバ。 - 前記認証サーバに予め割り当てられた選択情報と、当該認証サーバに関する事業者関連情報とを対応付けて記憶する事業者情報記憶手段を備えたことを特徴とする請求項11に記載のシード情報管理サーバ。
- 前記シード情報を暗号化する暗号化手段を備え、
前記送信手段は、前記暗号化手段により暗号化されたシード情報を前記認証サーバに送信することを特徴とする請求項11又は12に記載のシード情報管理サーバ。 - 複数の識別情報生成装置の夫々に記憶された複数のシード情報を前記識別情報生成装置毎に固有の固有IDと対応付けて記憶管理するシード情報管理サーバと、アクセス端末とに通信回線を介して接続され、前記識別情報生成装置に記憶された複数のシード情報のうち、一のシード情報を元に生成された識別情報と、当該シード情報と同一のシード情報を元に生成された照合用の識別情報とを照合し認証を行う認証サーバであって、
前記識別情報生成装置に固有の固有IDと当該識別情報生成装置を所持するユーザに関するユーザ情報とを、前記アクセス端末から受信する固有ID受信手段と、
前記認証サーバが所属する事業者毎に予め割り当てられた選択情報を記憶する選択情報記憶手段と、
前記受信された固有IDを前記選択情報とともに前記シード情報管理サーバに送信する送信手段と、
前記送信された固有ID及び選択情報に対応する一のシード情報を、前記シード情報管理サーバから受信するシード情報受信手段と、
前記受信されたシード情報を前記ユーザ情報と対応付けて記憶するユーザ別シード情報記憶手段と、
前記アクセス端末から前記ユーザ情報及び識別情報が送信された場合に、前記ユーザ情報に対応するシード情報をユーザ別シード情報記憶手段から読み出し、この読み出したシード情報を元に前記照合用の識別情報を生成する生成手段と、
前記生成された照合用の識別情報と前記送信された識別情報とを照合し、ユーザ認証を行う認証手段と、
を備えたことを特徴とする認証サーバ。 - 前記シード情報管理サーバにより暗号化されたシード情報を復号化する復号化手段を備え、
前記ユーザ別シード情報記憶手段は、前記復号化されたシード情報を前記ユーザ情報と対応付けて記憶することを特徴とする請求項14に記載の認証サーバ。 - 前記ユーザ別シード情報記憶手段は、前記識別情報生成装置の固有IDを、当該識別情報生成装置を所持するユーザのユーザ情報に対応付けて記憶することを特徴とする請求項14又は15に記載の認証サーバ。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006091144A JP4857857B2 (ja) | 2006-03-29 | 2006-03-29 | シード情報管理サーバ及び認証システム |
| PCT/JP2007/057510 WO2007119667A1 (en) | 2006-03-29 | 2007-03-28 | Identification information output device |
| US11/729,416 US20070234064A1 (en) | 2006-03-29 | 2007-03-28 | Identification information output device |
| EP07740946A EP1999678A1 (en) | 2006-03-29 | 2007-03-28 | Identification information output device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006091144A JP4857857B2 (ja) | 2006-03-29 | 2006-03-29 | シード情報管理サーバ及び認証システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007265170A true JP2007265170A (ja) | 2007-10-11 |
| JP4857857B2 JP4857857B2 (ja) | 2012-01-18 |
Family
ID=38638078
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006091144A Active JP4857857B2 (ja) | 2006-03-29 | 2006-03-29 | シード情報管理サーバ及び認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4857857B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008269342A (ja) * | 2007-04-20 | 2008-11-06 | Sakura Information Systems Co Ltd | ワンタイムパスワード装置およびシステム |
| JP2010503912A (ja) * | 2006-09-15 | 2010-02-04 | イニテック カンパニー リミテッド | 複数の方式による使い捨てパスワードのユーザー登録、認証方法及び該方法を行うプログラムが記録されたコンピュータにて読取り可能な記録媒体 |
| JP2011197985A (ja) * | 2010-03-19 | 2011-10-06 | Dainippon Printing Co Ltd | ロイヤリティ管理システム,ロイヤリティ管理方法及びトークン |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000357156A (ja) * | 1999-05-04 | 2000-12-26 | Rsa Security Inc | 認証シード配布のためのシステムおよび方法 |
| JP2004295271A (ja) * | 2003-03-26 | 2004-10-21 | Renesas Technology Corp | カード及びパスコード生成器 |
| US20050067485A1 (en) * | 2002-01-17 | 2005-03-31 | Michel Caron | Apparatus and method of identifying the user thereof by means of a variable identification code |
-
2006
- 2006-03-29 JP JP2006091144A patent/JP4857857B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000357156A (ja) * | 1999-05-04 | 2000-12-26 | Rsa Security Inc | 認証シード配布のためのシステムおよび方法 |
| US20050067485A1 (en) * | 2002-01-17 | 2005-03-31 | Michel Caron | Apparatus and method of identifying the user thereof by means of a variable identification code |
| JP2004295271A (ja) * | 2003-03-26 | 2004-10-21 | Renesas Technology Corp | カード及びパスコード生成器 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010503912A (ja) * | 2006-09-15 | 2010-02-04 | イニテック カンパニー リミテッド | 複数の方式による使い捨てパスワードのユーザー登録、認証方法及び該方法を行うプログラムが記録されたコンピュータにて読取り可能な記録媒体 |
| JP2008269342A (ja) * | 2007-04-20 | 2008-11-06 | Sakura Information Systems Co Ltd | ワンタイムパスワード装置およびシステム |
| JP4663676B2 (ja) * | 2007-04-20 | 2011-04-06 | さくら情報システム株式会社 | ワンタイムパスワード装置およびシステム |
| JP2011197985A (ja) * | 2010-03-19 | 2011-10-06 | Dainippon Printing Co Ltd | ロイヤリティ管理システム,ロイヤリティ管理方法及びトークン |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4857857B2 (ja) | 2012-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20070234064A1 (en) | Identification information output device | |
| JP4413774B2 (ja) | 電子メールアドレスとハードウェア情報とを利用したユーザ認証方法及びシステム | |
| JP6286504B2 (ja) | 多数のネットワークサイトのためのアカウント管理 | |
| JP4800377B2 (ja) | 認証システム、ce機器、携帯端末、鍵証明発行局および鍵証明取得方法 | |
| CN102804200B (zh) | 双因素用户认证***及其方法 | |
| JP5365512B2 (ja) | ソフトウェアicカードシステム、管理サーバ、端末、サービス提供サーバ、サービス提供方法及びプログラム | |
| US20050050330A1 (en) | Security token | |
| JP4533935B2 (ja) | ライセンス認証システム及び認証方法 | |
| CN103929307A (zh) | 密码输入方法、智能密钥设备以及客户端装置 | |
| JP2005209038A (ja) | 情報記憶装置、セキュリティシステム、アクセス許可方法、ネットワークアクセス方法及びセキュリティ処理実行許可方法 | |
| US20070255951A1 (en) | Token Based Multi-protocol Authentication System and Methods | |
| JP6609788B1 (ja) | 情報通信機器、情報通信機器用認証プログラム及び認証方法 | |
| CN105684483A (zh) | 注册表装置、代理设备、应用提供装置以及相应的方法 | |
| JP2014531659A (ja) | ユーザ認証のためのシステムおよび方法 | |
| JP4820342B2 (ja) | ユーザ認証方法、ユーザ認証装置、プログラム及び記録媒体 | |
| JP2005284985A (ja) | ネットワーク対応機器、ネットワーク対応機器を保守する保守方法、プログラム、プログラムが記録された媒体及び保守システム | |
| JP2011238036A (ja) | 認証システム、シングルサインオンシステム、サーバ装置およびプログラム | |
| JP4857857B2 (ja) | シード情報管理サーバ及び認証システム | |
| Conners et al. | Let’s authenticate: Automated certificates for user authentication | |
| JP4611988B2 (ja) | 端末装置 | |
| JP2002157226A (ja) | パスワード集中管理システム | |
| JP2012015712A (ja) | データバックアップシステム、サーバ、無線親機、及び、プログラム | |
| JP4899580B2 (ja) | 中継サーバ及び認証システム | |
| CN109428725B (zh) | 信息处理设备、控制方法和存储介质 | |
| JPWO2017029708A1 (ja) | 個人認証システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080604 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110705 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110901 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110901 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111004 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111017 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4857857 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141111 Year of fee payment: 3 |