JP2009031940A - ワンタイムパスワードの発行システム - Google Patents
ワンタイムパスワードの発行システム Download PDFInfo
- Publication number
- JP2009031940A JP2009031940A JP2007193788A JP2007193788A JP2009031940A JP 2009031940 A JP2009031940 A JP 2009031940A JP 2007193788 A JP2007193788 A JP 2007193788A JP 2007193788 A JP2007193788 A JP 2007193788A JP 2009031940 A JP2009031940 A JP 2009031940A
- Authority
- JP
- Japan
- Prior art keywords
- mobile phone
- password
- request
- identification information
- license code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】導入に必要な情報を一括して管理し、高いセキュリティを確保しながら、導入が容易なワンタイムパスワードの発行技術を提供する。
【解決手段】 携帯電話のキャリア側装置が、携帯電話からの接続要求を受信し、 前記接続要求から前記携帯電話の識別情報を検出し、前記携帯電話からライセンスコードの要求を受信し、前記識別情報と対応するライセンスコードをデータベースから読み出して当該携帯電話に送信し、前記携帯電話が、受信した前記ライセンスコードを記憶手段に記憶し、ユーザの操作によるパスワード要求を受信し、前記パスワード要求を契機に前記ライセンスコードと所定変数とに基づいてワンタイムパスワードを生成する。
【選択図】 図1
【解決手段】 携帯電話のキャリア側装置が、携帯電話からの接続要求を受信し、 前記接続要求から前記携帯電話の識別情報を検出し、前記携帯電話からライセンスコードの要求を受信し、前記識別情報と対応するライセンスコードをデータベースから読み出して当該携帯電話に送信し、前記携帯電話が、受信した前記ライセンスコードを記憶手段に記憶し、ユーザの操作によるパスワード要求を受信し、前記パスワード要求を契機に前記ライセンスコードと所定変数とに基づいてワンタイムパスワードを生成する。
【選択図】 図1
Description
本発明は、パスワードを用いて認証を行う技術に関するものであり、特に携帯電話をトークンとして認証に必要なワンタイムパスワードを生成する技術に関する。
近年、インターネット等のネットワークを利用した情報技術(IT)の進展が目覚しく、職場や家庭等の至る所でITの利用が可能になってきている。
例えば、インターネットを介した銀行振込みといったバンキングシステムへのアクセスや、社内システムへのリモートアクセスなどが広く利用されている。
このようにネットワークを介してシステムへのログインを行う際には、IDとパスワードによる認証を行うのが一般的である。
しかし、パスワードの漏洩や推定、総当り攻撃によってシステムに不正アクセスされる問題もあり、高いセキュリティの確保が望まれている。
このため、ハードウェアトークンやワンタイムパスワードを用いてセキュリティを向上させる技術が種々提案されている。
また、本願発明に関連する先行技術として、例えば、下記の特許文献1、非特許文献1に開示される技術がある。
特表2004−524605号公報
インターネット、http://japan.rsa.com/products/securid/securid.html、RSA SecurID社、2007/6/19検索
上記特許文献1、非特許文献1に記載されているように、ハードウェアトークンによって生成されるワンタイムパスワードを用いれば、パスワードの漏洩や推定、総当り攻撃に対するセキュリティは向上する。
しかし、セキュリティは向上するものの全ての利用者にハードウェアトークンを配布しなければならず、導入コストが高くなってしまう。特にバンキングシステムの利用者全員にハードウェアトークンを配布するには膨大なコストが必要であった。
また、システムを利用するためには常に、このハードウェアを携行しなければならず、煩わしいという問題点があった。更に、ユーザが、このハードウェアを携行中に紛失した場合、当該ハードウェアトークンを無効にし、新しいハードウェアを用意して再びユーザへ物理的に渡さなくてはならず、システム管理者の手間が必要になると共に、当該ユーザは新しいハードウェアトークンを物理的に受け取るまでの長い間、システムを利用出来ない。
一方、パーソナルコンピュータ(PC)や携帯電話にインストールしたアプリケーションソフトウェアでワンタイムパスワードを生成させる所謂ソフトウェアトークンといった方式もある。
この場合、もともとユーザが使用しているPCや携帯電話を利用できるので、別途トークンを携行する煩わしさや、ハードウェアの導入コストが生じない。
しかし、ソフトウェアトークンをインストールする場合には、ユーザ毎に固有の情報(ライセンスコード等)を入力する必要がある。このため各ユーザにライセンスコード等を配布することになり、セキュリティ上問題がある。
また、複雑なコードの入力やソフトウェアの設定をユーザ自身で行う必要があると、ユーザに敬遠される問題もある。
そこで本発明は、導入に必要な情報を一括して管理し、高いセキュリティを確保しながら、導入が容易なワンタイムパスワードの発行技術を提供する。
上記課題を解決するため、本発明は、以下の構成を採用した。
即ち、本発明のパスワード発行システムは、
携帯電話と、携帯網を介して該携帯電話と通信するキャリア側装置とを有し、
キャリア側装置が、
携帯電話からの接続要求を受信する接続手段と、
前記接続要求から前記携帯電話の識別情報を検出するID検出手段と、
前記携帯電話からライセンスコードの要求を受信する受信手段と、
前記識別情報と対応するライセンスコードをデータベースから読み出して当該携帯電話に送信する送信手段と、を備え、
前記携帯電話が、
受信した前記ライセンスコードを記憶する記憶手段と、
ユーザの操作によるパスワード要求を受信する受信手段と、
前記パスワード要求を契機に前記ライセンスコードと所定変数とに基づいてワンタイムパスワードを生成するパスワード生成手段と、を備える。
即ち、本発明のパスワード発行システムは、
携帯電話と、携帯網を介して該携帯電話と通信するキャリア側装置とを有し、
キャリア側装置が、
携帯電話からの接続要求を受信する接続手段と、
前記接続要求から前記携帯電話の識別情報を検出するID検出手段と、
前記携帯電話からライセンスコードの要求を受信する受信手段と、
前記識別情報と対応するライセンスコードをデータベースから読み出して当該携帯電話に送信する送信手段と、を備え、
前記携帯電話が、
受信した前記ライセンスコードを記憶する記憶手段と、
ユーザの操作によるパスワード要求を受信する受信手段と、
前記パスワード要求を契機に前記ライセンスコードと所定変数とに基づいてワンタイムパスワードを生成するパスワード生成手段と、を備える。
前記パスワードの発行システムは、前記パスワード要求を受信した時間を前記変数としても良い。
前記携帯電話は、耐タンパ手段を備えたROMに識別情報を記憶し、
該ROMから読み出した識別情報を前記接続要求に加えてキャリア側装置に送信しても良い。
該ROMから読み出した識別情報を前記接続要求に加えてキャリア側装置に送信しても良い。
また、本発明のワンタイムパスワードの発行方法は、
携帯電話のキャリア側装置が、
携帯電話からの接続要求を受信するステップと、
前記接続要求から前記携帯電話の識別情報を検出するステップと、
前記携帯電話からライセンスコードの要求を受信するステップと、
前記識別情報と対応するライセンスコードをデータベースから読み出して当該携帯電話に送信するステップと、を実行し、
前記携帯電話が、
受信した前記ライセンスコードを記憶手段に記憶するステップと、
ユーザの操作によるパスワード要求を受信するステップと、
前記パスワード要求を契機に前記ライセンスコードと所定変数とに基づいてワンタイムパスワードを生成するステップと、
携帯電話のキャリア側装置が、
携帯電話からの接続要求を受信するステップと、
前記接続要求から前記携帯電話の識別情報を検出するステップと、
前記携帯電話からライセンスコードの要求を受信するステップと、
前記識別情報と対応するライセンスコードをデータベースから読み出して当該携帯電話に送信するステップと、を実行し、
前記携帯電話が、
受信した前記ライセンスコードを記憶手段に記憶するステップと、
ユーザの操作によるパスワード要求を受信するステップと、
前記パスワード要求を契機に前記ライセンスコードと所定変数とに基づいてワンタイムパスワードを生成するステップと、
前記パスワード要求を受信した時間を前記変数としても良い。
前記携帯電話は、前記識別情報を記憶した耐タンパ手段を備えたROMを有し、
該ROMから読み出した識別情報を前記接続要求に加えてキャリア側装置に送信しても良い。
該ROMから読み出した識別情報を前記接続要求に加えてキャリア側装置に送信しても良い。
また、本発明は、上記パスワードの発行方法をコンピュータに実行させるプログラムであっても良い。更に、本発明は、このプログラムをコンピュータが読み取り可能な記録媒体に記録したものであっても良い。コンピュータに、この記録媒体のプログラムを読み込ませて実行させることにより、その機能を提供させることができる。
ここで、コンピュータが読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータから読み取ることができる記録媒体をいう。このような記録媒体の内コンピュータから取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD-ROM、CD-R/W、DVD、DAT、8mmテープ、メモリカード等がある。
また、コンピュータに固定された記録媒体としてハードディスクやROM(リードオンリーメモリ)等がある。
本発明によれば、導入に必要な情報を一括して管理し、高いセキュリティを確保しながら、導入が容易な認証技術を提供できる。
以下、図面を参照して本発明を実施するための最良の形態について説明する。以下の実施の形態の構成は例示であり、本発明は実施の形態の構成に限定されない。
§1.全体構成
図1は、本発明に係るシステムの全体構成を示す図である。本例のシステム10は、認証サーバ1や、移動通信網(キャリヤ側装置)2、携帯電話3等を有し、携帯電話3でワンタイムパスワードを生成し、該パスワードで認証サーバ1の認証を受けるシステムである。
§1.全体構成
図1は、本発明に係るシステムの全体構成を示す図である。本例のシステム10は、認証サーバ1や、移動通信網(キャリヤ側装置)2、携帯電話3等を有し、携帯電話3でワンタイムパスワードを生成し、該パスワードで認証サーバ1の認証を受けるシステムである。
移動通信網2には、携帯電話3からの電波を受信すると共に、携帯電話3へ電波を出力して、無線通信を行う無線通信機21や、該無線通信機21で受信した通話信号を通話先へ中継する中継機22、無線通信機21を介して携帯電話3とのデータ(パケット)通信を行う為のデータ通信網で受信したデータ信号に応じてメールやコンテンツを該携帯電話へ提供する為のパケット網23、携帯電話のUIDと対応付けた携帯電話番号等の情報(加入者情報)を記憶している加入者情報記憶部(HLR:Home Location Register)を有している。
無線通信機21は、携帯電話3からの電波を受信する受信部211と、受信した電波を電気信号に復調する復調部212と、該電気信号が通話信号であれば中継機22へ送信し、データ信号であればデータ通信網23へ送信するように制御する制御部213を備えている。
無線通信機21から送出された通話信号は、加入者系移動通信制御局(MCC)や中継系移動通信制御局(MGC)の中継機22を介して通話先へ伝送される。
一方、無線通信機21から送出されたデータ信号は、ルータ221によって、メールサーバ222や、コンテンツサーバ223、インターネット等の他のネットワークに転送さ
れる。
れる。
コンテンツサーバ223は、交通情報や、天気、ニュース、着メロ、アプリケーションソフトウェア(以下単にアプリとも称す)等、携帯電話向けのコンテンツを提供する。特に、本実施形態では、ワンタイムパスワード生成用のアプリのダウンロードや、該アプリに設定するライセンスコードの発行を行っている。
§2.コンテンツサーバ
図2は、コンテンツサーバ223の概略図である。同図に示すように、コンテンツサーバ223は、CPU(central processing unit)やメインメモリ等よりなる演算処理部
32、演算処理の為のデータやソフトウェアを記憶した記憶部(ハードディスク)33、入出力ポート34、通信制御部(CCU:Communication Control Unit)35等を備えたコンピュータである。
図2は、コンテンツサーバ223の概略図である。同図に示すように、コンテンツサーバ223は、CPU(central processing unit)やメインメモリ等よりなる演算処理部
32、演算処理の為のデータやソフトウェアを記憶した記憶部(ハードディスク)33、入出力ポート34、通信制御部(CCU:Communication Control Unit)35等を備えたコンピュータである。
該入出力ポート34には、キーボードやマウス、CD−ROMドライブ等の入力デバイス、そして表示装置やプリンター等の出力デバイスを備えたコンソールが適宜接続される。
CCU15は、ネットワークを介した他のコンピュータとの通信を制御するものである。
CCU15は、ネットワークを介した他のコンピュータとの通信を制御するものである。
記憶部33には、オペレーティングシステム(OS)やアプリケーションソフトがインストールされている。また、各携帯電話の電話番号とライセンスコードとを対応付けて記憶したデータベース241を有している。
演算処理部32は、前記OSやアプリケーションプログラムを記憶部33から適宜読み出して実行し、入出力ポート34やCCU35から入力された情報、及び記憶部33から読み出した情報を演算処理することにより、接続制御手段、ライセンス送信手段や、アプリ提供手段、識別情報検出手段としても機能する。
アプリ提供手段としては、携帯電話からアプリケーションソフトウェアのダウンロード要求(信号)を受信した場合に、当該アプリケーションソフトウェアの
アプリ提供手段としては、携帯電話からアプリケーションソフトウェアのダウンロード要求(信号)を受信した場合に、当該アプリケーションソフトウェアの
この接続制御手段(接続手段)としては、無線通信機21やルータ221を介して携帯電話3からのデータ信号を受信し、このデータ信号が接続要求であれば、これに応じて携帯電話3との接続を確立する。
なお、無線通信機21は、携帯電話3から各携帯電話固有の識別情報(例えばUID)を受信し、復調したデータ信号をパケット網へ送出する際に前記UID或はUIDを特定できる情報を送信元情報として当該データ信号に加えて送出する。
識別情報検出手段としては、この受信したデータ信号から識別情報(UID)或はUIDを特定できる情報を検出し、UID或はUIDを特定できる情報と対応する電話番号を前記HLRから索出する。
ライセンス送信手段としては、前記電話番号と対応するライセンスコードをデータベースから読み出して当該携帯電話に送信する。
キャリア側サーバ240は、認証用のライセンス等を販売する販売サイトとしてのウエブサーバとして機能するコンピュータである。キャリア側サーバ240は、ライセンスキーとユーザの携帯電話番号とを対応付けて記憶する記憶部(データベース)241を備えている。
§3.携帯電話
図3は、本発明に係る携帯電話3のブロック図である。
同図に示すように本形態の携帯電話3は、アンテナ301、無線回路部302、通信制御部303、記憶部304、キー操作部306、音声コーデック307、音声出力部(受話部)308、音声入力部(送話部)309、メール制御部311、表示部312、演算処理部313、ROM314等を備えている。
図3は、本発明に係る携帯電話3のブロック図である。
同図に示すように本形態の携帯電話3は、アンテナ301、無線回路部302、通信制御部303、記憶部304、キー操作部306、音声コーデック307、音声出力部(受話部)308、音声入力部(送話部)309、メール制御部311、表示部312、演算処理部313、ROM314等を備えている。
アンテナ301は、無線基地局BSと通信を行う際の電波の送受信に使用される。無線回路部302は、アンテナ301で受信した電波の復調を行って受信信号を生成すると共に、送信信号を所定の周波数へ変調してアンテナ301を介して変調信号を出力する。
通信制御部303は、無線回路部302で生成された復調信号を復号化するとともに、符号化した送信信号を無線回路部302へ出力して通信を行わせる等の制御を行う。
記憶部304は、フラッシュメモリやSRAM(Static Random Access Memory)、N
VRAM(Nonvolatile Random Access Memory)等から構成され、電話帳データ(通話先リスト)や、送受信したメールのデータ、伝言のデータ、アプリケーションプログラム等を記憶する。
VRAM(Nonvolatile Random Access Memory)等から構成され、電話帳データ(通話先リスト)や、送受信したメールのデータ、伝言のデータ、アプリケーションプログラム等を記憶する。
キー操作部306は、電話番号や文字を入力する操作キー361や、選択メニューを選択するための操作キー362等よりなっている。キー操作部306としては、この他、入力用のダイヤル(ジョグダイヤル)やタッチパネル等を利用しても良い。
音声コーデック307は、通信制御部303により復号化された音声データを受け付けて音声符号化方式の仕様で復号化した後にアナログ変換し、音声信号として音声出力部308に出力する。また、音声コーデック307は、音声入力部309から入力された音声信号をデジタル変換した後に音声符号化方式の仕様で符号化して音声データとして通信制御部303へ出力する。
音声出力部308は、スピーカおよびアンプからなり、前記音声信号を音声として出力する。音声入力部309は、マイクおよびアンプからなり、話者の音声を前記音声信号として入力する。
メール制御部311は、通信制御部303により復号化されたメールデータを受信して所定の仕様で復号化し、記憶部304に記憶する。また、メール制御部41は、キー操作部306からの入力に基づいてメールデータを生成し、通信制御部303に出力する。これにより該メールデータを通信制御部が符号化し、無線回路部302によって送信し、無線基地局を介して通信相手に電子メールを送信する。また、メール制御部311は、受信したメールデータを記憶部304から読み出して該メールの内容を表示部312に表示させる。
表示部312は、LCD(Liquid Crystal Display)やELディスプレイなどからなり、電話番号やメールの内容、待ち受け画像等の表示を行う。
演算処理部313は、CPU(central processing unit)やメインメモリ等からなっ
ている。該演算処理部313は、上記各部からの情報やアプリケーションソフトに基づいて演算処理を行うことにより、前記要求受付手段や、パスワード生成手段、表示制御手段等の機能を実現している。
ている。該演算処理部313は、上記各部からの情報やアプリケーションソフトに基づいて演算処理を行うことにより、前記要求受付手段や、パスワード生成手段、表示制御手段等の機能を実現している。
要求受付手段(受信手段)の機能としては、ユーザの操作によって、パスワードやライセンスコードの要求を受信する。例えば、ユーザによってキー操作部306のメニューキー360が押されると、表示部312に選択メニューを表示し、該選択メニューから「パスワード取得」や「ライセンスコード取得」等の選択を受付ける。
また、パスワード生成手段は、前記パスワード要求を契機に前記ライセンスコードと所定変数とに基づいてワンタイムパスワードを生成する。
表示制御手段としては、パスワード生成手段で生成したワンタイムパスワードを表示部312に表示させる。
ROM314は、耐タンパ手段を有した読み出し専用のメモリであり、携帯電話の識別情報(UID等)を記憶している。このROM314の耐タンパ手段とは、パッケージを開封した場合に内部の回路も壊れて解析できなくする保護構造や、通信制御部303による特定アルゴリズム以外の読み出しには応じない回路等である。
§4.認証装置
図4は、本実施形態における認証サーバ1の概略構成図である。認証装置1は、同図に示すように、認証装置1は、CPU(central processing unit)やメインメモリ等より
なる演算処理部12、演算処理の為のデータやソフトウェアを記憶した記憶部(ハードディスク)13、入出力ポート14、通信制御部(CCU:Communication Control Unit)15等を備えた所謂コンピュータである。
図4は、本実施形態における認証サーバ1の概略構成図である。認証装置1は、同図に示すように、認証装置1は、CPU(central processing unit)やメインメモリ等より
なる演算処理部12、演算処理の為のデータやソフトウェアを記憶した記憶部(ハードディスク)13、入出力ポート14、通信制御部(CCU:Communication Control Unit)15等を備えた所謂コンピュータである。
該入出力ポート14には、操作部(入力釦)やメモリリーダ等の入力デバイス、そして表示装置やプリンター等の出力デバイスが適宜接続される。
CCU15は、ネットワークを介した他のコンピュータとの通信を制御するものである。
記憶部13には、オペレーティングシステム(OS)やアプリケーションソフト(セキュリティ情報通知プログラム)がインストールされている。
記憶部13には、オペレーティングシステム(OS)やアプリケーションソフト(セキュリティ情報通知プログラム)がインストールされている。
演算処理部12は、前記OSやアプリケーションプログラムを記憶部13から適宜読み出して実行し、入出力ポート14やCCU15から入力された情報、及び記憶部13から読み出した情報を演算処理することにより、認証受付手段や、認証処理手段、結果通知手段、中継手段としても機能する。
認証受付手段の機能としては、ゲートウェイ(エッジルータ)を介してユーザ端末から社内システムへのアクセス要求信号(パケット)を受信した場合に、送信元の端末が認証前であれば、認証用のメッセージを表示させ、ユーザの識別情報(PIN)とワンタイムパスワードの入力を促す。
認証処理手段の機能としては、該認証受付手段で受信したPINと対応する登録情報をデータベースから読出し、所定の登録情報を参照して、ユーザ端末から受信したユーザIDとワンタイムパスワードが正当であるか否かを判定する。このとき認証処理手段は、PINと対応する登録情報と所定変数とから正当なパスワードを算出し、受信したパスワードとの一致を判定する。該所定関数は、算出する毎にパスワードを変化させる、即ちワンタイムパスワードを生成するため、万一、通信経路で盗聴されたとしても、このパスワードで第三者が次回に利用することはできない。また、毎回違うパスワードとなるので、推定されることもない。
本実施形態では、この所定変数として時刻を採用しており、認証サーバ1と携帯電話3とが独立にパスワードを算出しても、算出時刻が同じであれば同一の結果が得られる。なお、携帯電話3と認証サーバ1の算出時刻は、厳密に同一とせずに、通信にかかる時間やユーザ端末への入力にかかる時間等を補正して同期させても良い。
結果通知手段としては、認証受付手段や中継手段へ認証結果、例えばパスワードが一致して正当なアクセスと認証した端末のアドレスを通知する。
中継手段としては、ユーザ端末から受信したアクセス要求信号のヘッダ等を参照し、該結果通知手段から通知された正当な端末からのアクセスであれば社内システムへ中継し、正当な端末からのアクセスでなければ当該アクセス要求信号を遮断する。
なお、本実施形態では、認証装置1がアクセス要求信号の認証および中継を行ったが、これに限らず、認証装置1が認証を行い、結果通知手段によって他の装置へ認証結果を通知し、該結果に基づきルータや、プロキシサーバ、ファイヤウォール等の他の装置がアクセス要求信号の中継或いは遮断を行っても良い。
§5.パスワード発行方法および認証方法
これら構成のシステム10におけるパスワードの発行方法および認証方法について図5を用いて説明する。
これら構成のシステム10におけるパスワードの発行方法および認証方法について図5を用いて説明する。
5−1.事前登録
法人A社のシステム管理者は、管理者端末からキャリア側販売サイトのサーバ240に対し、ユーザ数分のパスワードのシードコードを注文する(S1)。
法人A社のシステム管理者は、管理者端末からキャリア側販売サイトのサーバ240に対し、ユーザ数分のパスワードのシードコードを注文する(S1)。
該サーバは、注文に応じ、パスワードの生成に用いるシードコードをリスト化したシードコードファイルを管理者端末へ返信する(S2)。
システム管理者は、社内システムの認証装置1にネットワークを介してシードコードファイルを入力すると共に、各ユーザの携帯電話番号を入力する(S3)。
認証装置1は、入力されたシードコードを展開して各ユーザの登録情報を記憶部に記憶すると共に、該登録情報と各ユーザの携帯電話番号を対応付けて記憶する。更に、認証装置1は、該登録情報をリスト化したファイル(stdidファイル)及び該登録情報を特定する
コードと携帯電話番号とを対応つけたcsv形式のファイル(マッピングファイル)を出力す
る(S4)。該出力されたstdidファイル及びマッピングファイルは、ネットワークを介
して管理者端末で受信される。
コードと携帯電話番号とを対応つけたcsv形式のファイル(マッピングファイル)を出力す
る(S4)。該出力されたstdidファイル及びマッピングファイルは、ネットワークを介
して管理者端末で受信される。
これらファイルを受信したシステム管理者は、これらファイルをキャリア側サーバ240へ送信する(S5)。なお、システム管理者を介さず認証装置1が、キャリア側サーバへ送信しても良い。
キャリア側サーバ240は、stdidファイル及びマッピングファイルに基づき登録情報
(ライセンスキー)とユーザの携帯電話番号とを対応付けてデータベース241に記憶する(S6)。
(ライセンスキー)とユーザの携帯電話番号とを対応付けてデータベース241に記憶する(S6)。
5−2.ライセンスキーの取得
ユーザ(法人Aの社員)の操作に応じ、携帯電話3は、アプリのダウンロードサーバ(コンテンツサーバ)223に接続し、パスワード発行用アプリのダウンロードを要求する。これに応じダウンロードサーバ223が該アプリを記憶部から読み出して携帯電話3へ
送信する(S7)。
ユーザ(法人Aの社員)の操作に応じ、携帯電話3は、アプリのダウンロードサーバ(コンテンツサーバ)223に接続し、パスワード発行用アプリのダウンロードを要求する。これに応じダウンロードサーバ223が該アプリを記憶部から読み出して携帯電話3へ
送信する(S7)。
携帯電話3は、ダウンロードしたアプリを起動し、自動でライセンスアクティベーションサーバ(コンテンツサーバ)223へアクセス(ライセンスコードを要求する特定のhttpリクエスト)を行う(S8)。このとき携帯電話3は、ROMから読み出した識別情報(UID)をhttpリクエストと共にアクティベーションサーバ223へ送信する。なお、ダウンロードサーバとアクティベーションサーバとは一体であっても別体であっても良い。
該ライセンスコードの要求を受けたアクティベーションサーバ223は、HLRを参照して当該携帯電話のUIDと対応する携帯電話番号を取得し、該携帯電話番号と対応するライセンスキーを読み出して携帯電話3へ送信する(S9)。
そして、携帯電話3は、アクティベーションサーバ223から受信したライセンスキーを記憶部のアプリケーション領域(アプリがアクセス可能な領域)に記憶させる。
5−3.パスワードの発行方法及び認証方法
ユーザが社内システムへアクセスする際、アプリの起動操作(パスワード要求)をすると、携帯電話3は、記憶部からアプリを読み出して実行する(S10)。
ユーザが社内システムへアクセスする際、アプリの起動操作(パスワード要求)をすると、携帯電話3は、記憶部からアプリを読み出して実行する(S10)。
該アプリを実行した携帯電話3のパスワード生成手段は、により、前記パスワード要求を契機に記憶部に記憶した前記ライセンスコードと該パスワード要求の時刻(所定変数)を一方向性ハッシュ関数により変換し、ワンタイムパスワードを生成(算出)する。また、携帯電話3は、生成したワンタイムパスワードを図6のように表示部312に表示させる。
そして、ユーザが社内システムへのアクセスをユーザ端末に指示し、ユーザ端末が認証装置1へアクセス要求を送信すると、認証装置1の認証受付手段は、ユーザのPINとワンタイムパスワードの入力を求める。
ユーザが携帯電話3に表示された前記ワンタイムパスワードを読み、ユーザ端末3にPINとワンタイムパスワードを入力すると、ユーザ端末3はこれらを認証装置1へ送信する。
認証装置1は、記憶部13を参照し、受信したPINと対応するライセンスキーを読み出し、アクセス要求の時刻(現在時刻或いは現在時刻を通信の遅延時間等で補正した時刻)と該ライセンスキーとを一方向性ハッシュ関数により変換し、ワンタイムパスワードを算出する。そして、認証装置1は、算出したワンタイムパスワードと、受信したワンタイムパスワードが一致するか否かを判定し、一致すれば正当な端末として認証する(S11)。
認証装置1が認証した端末から社内システムへのアクセス要求及び社内システムから当該端末への返信を中継することにより、ユーザ端末は、ネットワークを介して社内システムへリモートアクセス可能となる。
このように、本実施形態によれば、各ユーザにライセンスコードを配布して、各ユーザが入力(設定)する必要がないなので、高いセキュリティを維持しつつ、容易にワンタイムパスワードを利用できる。
このように、本実施形態によれば、各ユーザにライセンスコードを配布して、各ユーザが入力(設定)する必要がないなので、高いセキュリティを維持しつつ、容易にワンタイムパスワードを利用できる。
また、キャリア側のコンテンツサーバ223が、ユーザや法人A社のシステム管理者が知ることのない、UIDに基づいてライセンスキーを払い出すので、漏洩の危険を更に抑
えることができる。
えることができる。
〈その他〉
本発明は、上述の図示例にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加え得ることは勿論である。
たとえば、携帯電話3及び認証装置1がNTP(Network Time Protocol)により、ネ
ットワーク上のタイムサーバから正しい時刻を取得するようにしても良い。
本発明は、上述の図示例にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加え得ることは勿論である。
たとえば、携帯電話3及び認証装置1がNTP(Network Time Protocol)により、ネ
ットワーク上のタイムサーバから正しい時刻を取得するようにしても良い。
これにより、携帯電話3及び認証装置1が常に正しい時刻に更正されるので、補正処理の簡略化や、ワンタイムパスワードの有効期間の短縮化が図れる。
また、本実施形態では、所定変数として時刻を用いたが、算出の度に異なる値を算出でき、携帯電話3及び認証装置1が独立して一致した値を算出できれば、これに限らず、アクセス要求回数と揺らぎ関数、擬似乱数等であっても良い。
10 システム(パスワード発行システム)
1 認証サーバ
2 移動通信網(キャリヤ側装置)
3 携帯電話
1 認証サーバ
2 移動通信網(キャリヤ側装置)
3 携帯電話
Claims (6)
- 携帯電話と、携帯網を介して該携帯電話と通信するキャリア側装置とを有するパスワードの発行システムであって、
キャリア側装置が、
携帯電話からの接続要求を受信する接続手段と、
前記接続要求から前記携帯電話の識別情報を検出するID検出手段と、
前記携帯電話からライセンスコードの要求を受信する受信手段と、
前記識別情報と対応するライセンスコードをデータベースから読み出して当該携帯電話に送信する送信手段と、を備え、
前記携帯電話が、
受信した前記ライセンスコードを記憶する記憶手段と、
ユーザの操作によるパスワード要求を受信する受信手段と、
前記パスワード要求を契機に前記ライセンスコードと所定変数とに基づいてワンタイムパスワードを生成するパスワード生成手段と、
を備えるワンタイムパスワードの発行システム。 - 前記パスワード要求を受信した時間を前記変数とする請求項1に記載のワンタイムパスワードの発行システム。
- 前記携帯電話が、
耐タンパ手段を備えたROMに識別情報を記憶しており、
該ROMから読み出した識別情報を前記接続要求に加えてキャリア側装置に送信する請求項1に記載のワンタイムパスワードの発行システム。 - 携帯電話のキャリア側装置が、
携帯電話からの接続要求を受信するステップと、
前記接続要求から前記携帯電話の識別情報を検出するステップと、
前記携帯電話からライセンスコードの要求を受信するステップと、
前記識別情報と対応するライセンスコードをデータベースから読み出して当該携帯電話に送信するステップと、を実行し、
前記携帯電話が、
受信した前記ライセンスコードを記憶手段に記憶するステップと、
ユーザの操作によるパスワード要求を受信するステップと、
前記パスワード要求を契機に前記ライセンスコードと所定変数とに基づいてワンタイムパスワードを生成するステップと、
を実行するワンタイムパスワードの発行方法。 - 前記パスワード要求を受信した時間を前記変数とする請求項4に記載のワンタイムパスワードの発行方法。
- 前記携帯電話が、
前記識別情報を記憶した耐タンパ手段を備えたROMと、
該ROMから読み出した識別情報を前記接続要求に加えてキャリア側装置に送信する送信手段とを有する請求項4に記載のワンタイムパスワードの発行方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007193788A JP2009031940A (ja) | 2007-07-25 | 2007-07-25 | ワンタイムパスワードの発行システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007193788A JP2009031940A (ja) | 2007-07-25 | 2007-07-25 | ワンタイムパスワードの発行システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009031940A true JP2009031940A (ja) | 2009-02-12 |
Family
ID=40402394
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007193788A Pending JP2009031940A (ja) | 2007-07-25 | 2007-07-25 | ワンタイムパスワードの発行システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009031940A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021533504A (ja) * | 2018-08-09 | 2021-12-02 | 株式会社センストーンSsenstone Inc. | 仮想コードを生成及び提供するスマートカードとその方法及びプログラム |
| JP7455731B2 (ja) | 2020-01-06 | 2024-03-26 | InsuRTAP株式会社 | 処理装置、処理方法及びプログラム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002132728A (ja) * | 2000-10-30 | 2002-05-10 | K Laboratory Co Ltd | ワンタイムパスワード認証システム |
| JP2002259344A (ja) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | ワンタイムパスワード認証システム及び携帯電話及びユーザ認証サーバ |
| JP2003259009A (ja) * | 2002-02-28 | 2003-09-12 | Kddi Corp | 音声入力装置 |
| JP2005011239A (ja) * | 2003-06-20 | 2005-01-13 | Ntt Docomo Inc | チケット授受システム、チケット確認装置、及びチケット授受方法 |
-
2007
- 2007-07-25 JP JP2007193788A patent/JP2009031940A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002132728A (ja) * | 2000-10-30 | 2002-05-10 | K Laboratory Co Ltd | ワンタイムパスワード認証システム |
| JP2002259344A (ja) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | ワンタイムパスワード認証システム及び携帯電話及びユーザ認証サーバ |
| JP2003259009A (ja) * | 2002-02-28 | 2003-09-12 | Kddi Corp | 音声入力装置 |
| JP2005011239A (ja) * | 2003-06-20 | 2005-01-13 | Ntt Docomo Inc | チケット授受システム、チケット確認装置、及びチケット授受方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021533504A (ja) * | 2018-08-09 | 2021-12-02 | 株式会社センストーンSsenstone Inc. | 仮想コードを生成及び提供するスマートカードとその方法及びプログラム |
| JP7192089B2 (ja) | 2018-08-09 | 2022-12-19 | 株式会社センストーン | 仮想コードを生成及び提供するスマートカードとその方法及びプログラム |
| US11922411B2 (en) | 2018-08-09 | 2024-03-05 | SSenStone Inc. | Smart card for generating and providing virtual code, and method and program therefor |
| JP7455731B2 (ja) | 2020-01-06 | 2024-03-26 | InsuRTAP株式会社 | 処理装置、処理方法及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1969880B1 (en) | System and method for dynamic multifactor authentication | |
| KR101482564B1 (ko) | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 | |
| US8213583B2 (en) | Secure access to restricted resource | |
| JP5844471B2 (ja) | インターネットベースのアプリケーションへのアクセスを制御する方法 | |
| JP2007102778A (ja) | ユーザ認証システムおよびその方法 | |
| US9344896B2 (en) | Method and system for delivering a command to a mobile device | |
| US11910194B2 (en) | Secondary device authentication proxied from authenticated primary device | |
| JP5764501B2 (ja) | 認証装置、認証方法、及び、プログラム | |
| KR20070077569A (ko) | 휴대폰을 이용한 일회용 패스워드 서비스 시스템 및 방법 | |
| US20100082982A1 (en) | Service control system and service control method | |
| CN101507233A (zh) | 用于提供对于应用程序和基于互联网的服务的可信单点登录访问的方法和设备 | |
| JP2007267120A (ja) | 無線端末、認証装置、及び、プログラム | |
| JP7404907B2 (ja) | 位置認識を持った2要素認証のためのシステム及び方法、コンピュータが実行する方法、プログラム、及びシステム | |
| JP5453785B2 (ja) | 認証システム、認証サーバ、認証方法、及び、プログラム | |
| CN104767740A (zh) | 用于来自用户平台的可信认证和接入的方法 | |
| JP5368044B2 (ja) | クライアント認証システム | |
| KR102171377B1 (ko) | 로그인 제어 방법 | |
| KR100858146B1 (ko) | 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치 | |
| JP2009031940A (ja) | ワンタイムパスワードの発行システム | |
| JP5584102B2 (ja) | 認証システム、クライアント端末、サーバ、被認証方法、認証方法、認証クライアントプログラム、及び認証サーバプログラム | |
| JP6115884B1 (ja) | サービス提供システム、認証装置、及びプログラム | |
| JP5775589B2 (ja) | 移動通信端末、加入者認証モジュール、通信システムおよび通信方法 | |
| JP7051930B2 (ja) | 情報処理システム、情報処理装置、及び情報処理方法 | |
| JP2001282998A (ja) | サービスシステム | |
| JP2012138729A (ja) | データ処理装置、プログラム、およびデータ処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100810 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101005 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101206 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110405 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110726 |