JP2009032070A - 認証システム及び認証方法 - Google Patents

認証システム及び認証方法 Download PDF

Info

Publication number
JP2009032070A
JP2009032070A JP2007196102A JP2007196102A JP2009032070A JP 2009032070 A JP2009032070 A JP 2009032070A JP 2007196102 A JP2007196102 A JP 2007196102A JP 2007196102 A JP2007196102 A JP 2007196102A JP 2009032070 A JP2009032070 A JP 2009032070A
Authority
JP
Japan
Prior art keywords
client
server
data
identifier
challenge
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007196102A
Other languages
English (en)
Inventor
Toshiyuki Tsutsumi
俊之 堤
Takeaki Endo
健聡 遠藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP2007196102A priority Critical patent/JP2009032070A/ja
Priority to CNA2008100860534A priority patent/CN101355555A/zh
Priority to US12/049,563 priority patent/US20090031405A1/en
Priority to EP08004930A priority patent/EP2023262A3/en
Publication of JP2009032070A publication Critical patent/JP2009032070A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】チャレンジレスポンス方式の認証機能を既存のシステムに追加して構成したチャレンジレスポンス方式を使用する認証システム及び方法を提供する。
【解決手段】クライアントPC101の利用者が所持し、独立して前記サーバ103に接続可能な携帯端末を備える。サーバ103は、認証処理のためにクライアントPC101に識別子付チャレンジデータを送信し、クライアントPC101からの識別子付レスポンスデータ受信して対応するチャレンジデータを抽出し、抽出したチャレンジデータ及び受信したレスポンスデータにより認証を行う機能を有する。クライアントPC101は、前記サーバ103からの識別子付チャレンジデータを受信して表示する機能を有し、携帯端末は、クライアントPC101が受信した別子付チャレンジデータを取得し、取得した識別子付チャレンジデータから識別子付レスポンスデータを生成して、サーバに送信する機能を有する。
【選択図】図1

Description

本発明は、認証システムに係り、特に、既存のネットワークアプリケーションのログイン等の認証部分にチャレンジレスポンス方式を使用する認証システム及び認証方法に関する。
近年、フィッシング等の攻撃により、ネットワークアプリケーションのユーザ認証等で使用するユーザIDやパスワードが盗まれる危険性が高くなっている。そのため、ネットワークアプリケーションは、認証時に固定パスワードではなく、使い捨てパスワードを利用するようになってきている。
このような使い捨てパスワードを使用する認証方法に関する従来技術として、例えば、非特許文献1等に記載されたS/Keyと呼ばれる技術が知られている。S/Keyは、リモートログインアプリケーションのユーザ認証をチャレンジレスポンス方式と呼ばれる認証方式により強化した認証技術である。
S/Keyを利用する認証技術は、リモートログインクライアントがユーザ認証時にユーザIDとパスワードとの入力画面を表示する際に、チャレンジデータを表示し、利用者が、表示されているチャレンジデータからレスポンスデータを計算し、このレスポンスデータを使い捨てパスワードとしてリモートログインサーバに送信して認証を受けるというものである。その際、リモートログインサーバは、リモートログインクライアントにチャレンジデータを送信した時点から、クライアントとの間で通信コネクションを確立し、チャレンジデータとレスポンスデータとの送受信を行い、送信したチャレンジデータから計算する検証データと受信したレスポンスデータとを比較して認証を行っている。
このような従来技術による認証方法は、1つの通信コネクション上で、チャレンジデータとレスポンスデータとを交換しているので、サーバプログラムは、送信したチャレンジデータと受信したレスポンスデータとの対応付けを容易に行うことができ、スムーズに認証処理を行うことができる。
「The S/KEY One-Time Password System」, RFC1760, N.Haller, 1995/2
前述した従来技術による認証方法は、その方法を既存の製品であるサーバクライアントシステムに適用する場合、システムを構成するサーバクライアントアプリケーションを変更して、S/Key等の認証機能を組み込む必要がある。しかし、一般的なサーバクライアントシステムは、アプリケーションが実行(バイナリー)形式で提供されているため、アプリケーションそのものの変更を行うことができず、認証機能を組み込むことが困難であり、組み込むことができた場合にも、同一通信コネクション上でチャレンジデータとレスポンスデータとを交換することが困難であるという問題点を生じさせてしまう。
また、前述した従来技術による認証方法は、サーバアプリケーションが、レスポンスデータとの対応付けのために、チャレンジデータを保持しておく必要があり、クライアントアプリケーションからのアクセス毎にチャレンジデータを新しく生成するため、アクセスが増加すると保持するチャレンジデータも多くなり、保持用のリソースを大量に消費してしまい、認証を行うサーバによるサービスが停止してしまう可能性が高くなるという問題点を有している。このことは、DoS攻撃等によりアクセス数が多発した場合に極めて顕著になり、サービスを停止しなければならない状態に陥ってしまう。
本発明の目的は、前述した従来技術の問題点を解決し、新たなサーバ等を必要とすることなく、チャレンジレスポンス方式の認証機能を既存のシステムに追加して構成したチャレンジレスポンス方式を使用する認証システム及び認証方法を提供することにある。
本発明によれば前記目的は、サーバと、サーバと、該サーバによるサービスを利用するクライアントPCとがネットワークを介して接続されて構成され、前記クライアントPCの認証を行う認証システムにおいて、前記クライアントPCの利用者が所持し、前記ネットワークを介して、あるいは、別の通信回線を介して前記サーバに接続可能な携帯端末を備え、前記サーバは、認証処理のために識別子付チャレンジデータを発行して前記クライアントPCに送信する手段と、前記クライアントPCからの識別子付レスポンスデータ受信して対応するチャレンジデータを抽出する手段と、抽出したチャレンジデータ及び受信したレスポンスデータによりクライアントPCの認証を行う手段とを有し、前記クライアントPCは、前記サーバからの識別子付チャレンジデータを受信して表示する手段を有し、前記携帯端末は、前記クライアントPCが受信した前記識別子付チャレンジデータを取得する手段と、取得した識別子付チャレンジデータから識別子付レスポンスデータを生成して、該レスポンスデータを前記サーバに送信する手段とを有し、前記サーバから前記識別子付きチャレンジデータを前記クライアントPCに送信する通信路と、前記携帯端末から前記レスポンスデータを前記サーバに送信する通信路とが互いに独立であることにより達成される。
本発明によれば、新たなサーバ等を必要とせずに、ブラウザプログラムとサーバプログラムとに僅かな機能を追加するだけで、フィッシング詐欺等を防ぐことができるチャレンジレスポンス方式を使用する認証システムを提供することができる。
以下、本発明による認証システム及び認証方法の実施形態を図面により詳細に説明する。
図1は本発明の一実施形態による認証システムの構成を示すブロック図である。図1に示す認証システムは、クライアントPC101と、携帯端末102と、サーバ103とがネットワーク104に接続されて構成されている。なお、図1には、ネットワーク104に接続される機器をそれぞれ1台ずつ示しているが、これらの機器は、複数台ネットワーク104に接続されていてよい。
前述において、クライアントPC101は、利用者が使用するデスクトップPCやノートPC、PDA(Personal Digital Assistant)等の情報処理機器であり、本発明の実施形態においては、サーバ103による認証を受けた後に、サーバ103によるサービスを受ける等の通常の処理を行い、あるいは、ネットワーク104に接続された他の図示しないサービスサーバ等によるサービスを受けることが可能となるものである。
携帯端末102は、認証時に、利用者がクライアント端末101と共に利用するもので、携帯電話やPHS等のクライアントPC101の利用者本人が所持する情報処理機器であり、クライアントPC101と認証サービスを提供するサーバ103との通信コネクションとは別の通信コネクションによりサーバ103に接続可能である。従って、携帯端末102とサーバ103との接続は、ネットワーク104を利用しなくてもよく、例えば、携帯電話やPHS等のサービスに利用されている別の通信回線により接続可能であればよい。
サーバ103は、本発明の実施形態において、クライアントPC101に認証サービスを提供するものであり、デスクトップPCやブレードPC等の情報処理機器である。
そして、クライアントPC101やサーバ103は、公衆回線網やインターネット網等で構成されるネットワーク104を介してデータ通信を行うことができる。
図2はクライアントPC101の構成例を示すブロック図である。クライアントPC101は、図2に示すように、プログラムの実行を行うCPU201と、プログラムやデータをロードするメモリ202と、他の通信ノードとコネクションを確立する通信部203と、命令やデータの入力を行う入力部204と、システムの状態等を出力する出力部205と、既存のクライアントプログラム206、チャレンジ表示プログラム207が記憶されているHDD等による記憶部208とがバス209により接続されて構成されている。
通信部203は、インターネットの標準プロトコルであるTCPのようにネットワーク104に接続されているサーバ103、図示しない他のサーバとの間でコネクションを確立し、データ通信を行う機能を有している。
入力部204は、キーボード、マウス、ペン入力、音声入力、ボタン、ジョグダイヤル、十字キー等の入力手段を持つものであり、出力部205は、ディスプレイ、音声出力装置、プリンタ等の出力手段を持つものである。
既存クライアントプログラム206は、サーバ103のアプリケーションが提供するサービスを利用するために、通信コネクションを確立し、データ通信を行うプログラムであり、チャレンジ表示プログラム207は、本発明のためにサーバ103から送られるチャレンジデータを表示するプログラムである。
図3は携帯端末102の構成例を示すブロック図である。携帯端末102は、図3に示すように、プログラムの実行を行うCPU301と、プログラムやデータをロードするメモリ302と、他の通信ノードとコネクションを確立する通信部303と、命令やデータの入力を行う入力部304と、システムの状態等を出力する出力部305と、レスポンス生成プログラム306及び共有秘密データ307が記憶されている記憶部308とがバス309により接続されて構成されている。
レスポンス生成プログラム306及び共有秘密データ307は、本発明のために備えられるものであり、レスポンス生成プログラム306は、クライアントPC101からチャレンジデータを取得し、取得したチャレンジデータからサーバ103に送信するレスポンスデータを生成するプログラムである。また、共有秘密データ307は、サーバ102との間で予め取り決めてサーバ103とだけ共有している秘密データである。
図4はサーバ103の構成例を示すブロック図である。サーバ103は、図4に示すように、プログラムの実行を行うCPU401と、プログラムやデータをロードするメモリ402と、他の通信ノードとコネクションを確立する通信部403と、命令やデータの入力を行う入力部404と、システムの状態等を出力する出力部405と、既存サーバプログラム406、認証プログラム407、チャレンジ発行プログラム408、アカウントDB409、チャレンジDB410の記憶されているHDD等による記憶部411とがバス412により接続されて構成されている。
既存サーバプログラム406は、クライアントPC101のアプリケーションに対してサービスを提供するために、通信コネクションを確立し、データ通信を行うプログラムである。認証プログラム407は、チャレンジデータとレスポンスデータとを使用して、利用者や取引等の認証許可、あるいは、認証拒否を判別するプログラムである。チャレンジ発行プログラム408は、クライアント101に送信するチャレンジデータを生成するプログラムである。
アカウントDB409は、利用者が認証時に利用するアカウント情報を格納しており、チャレンジDB410は、サーバ103が発行するチャレンジデータに関連した情報を格納している。
図5はアカウントDB409の構成例を示す図である。アカウントDB409は、DB内のレコードを一意に決定する識別子である項番501、利用者を識別する識別子であるID502、その利用者が所持する共携帯端末102とだけで共有する秘密情報である共有秘密データ503の組を1つのレコードとする複数のレコードを有して構成される。
図6はチャレンジDB410の構成例を示す図である。チャレンジDB410は、DB内のレコードを一意に決定する識別子である項番601、サーバ103で発行されたチャレンジデータに含まれる乱数である発行乱数602、対応する乱数602を生成した時刻である発行時刻603、対応する乱数602が利用者によって利用されたか否かを判別するフラグである利用フラグ604の組を1つのレコードとする複数のレコードを有して構成される。利用フラグ604には、利用されていない場合に「0」、利用されていた場合に「1」が格納される。このチャレンジDB410に保持可能なレコードの数は、本発明により一定数に制限されており、項番601は、この一定数を最大値として、繰り返して付与され古いものは削除される。これにより、保持用のリソースが大量に消費されることを防止している。
図7A、図7Bは本発明の実施形態による認証システム全体の処理動作を説明するフローチャートであり、次に、これについて説明する。
(1)まず、利用者は、サーバ103上の既存サーバプログラム406によるサービスを利用するために、クライアントPC101を起動し、クライアントPC101上の既存クライアントプログラム206を起動する。これにより、クライアントPC101の出力部204であるディスプレイにログイン画面が表示される(ステップ701)。
(2)その後、クライアントPC101上のチャレンジ表示プログラム207が起動され、該チャレンジ表示プログラム207が通信部203を介して、サーバ103にチャレンジデータ要求を送信する(ステップ702)。
(3)サーバ103上のチャレンジ発行プログラム408は、ステップ702の処理で送信されたクライアントPC101からのチャレンジデータ要求を受信し、チャレンジデータ要求を受信したチャレンジ発行プログラム408は、チャレンジデータを生成する(ステップ703、704)。
(4)ステップ704の処理でチャレンジデータを生成したチャレンジ発行プログラム408は、通信部403を介して生成したチャレンジデータをクライアントPC101上のチャレンジ表示プログラム207に送信する(ステップ705)。
(5)クライアントPC101上のチャレンジ表示プログラム207は、ステップ705の処理でサーバ103のチャレンジ発行プログラム408から送信されてきたチャレンジデータを受信する(ステップ706)。
(6)次に、クライアントPC101上のチャレンジ表示プログラム207は、ステップ706の処理で受信したチャレンジデータを2次元バーコード化してクライアントPC101の出力部205に表示する(ステップ707)。
(7)ここで、利用者は、携帯端末102によりクライアントPC101の出力部205に表示されている2次元バーコードを読み取る。この読み取りは、携帯電話やPHS等の携帯端末102が備えているカメラを利用することにより行うことができる。そして、携帯端末102上のレスポンス生成プログラム306が、2次元バーコード化されたチャレンジデータを取得する(ステップ708)。
(8)次に、レスポンス生成プログラム306は、ステップ708の処理で取得したチャレンジデータからレスポンスデータを計算、生成し、生成したレスポンスデータを携帯端末102上の出力部305に表示する(ステップ709、710)。
(9)ここで、利用者は、携帯端末102の出力部305上に表示されているレスポンスデータと利用者が記憶しているIDとを、クライアントPC101の入力部204のキーボード等を用いてクライアントPC101に入力する。クライアントPC101上の既存クライアントプログラム206は、入力されたレスポンスデータと利用者のIDとを取得する(ステップ711)。
(10)クライアントPC101上の既存クライアントプログラム206は、ステップ711の処理で取得したレスポンスデータと利用者のIDとを通信部203を介してサーバ103に送信する(ステップ712)。
(11)サーバ103上の既存サーバプログラム406は、ステップ712の処理でクライアントPC101から送信されてきたレスポンスデータと利用者のIDとを受信する(ステップ713)。
(12)サーバ103の既存サーバプログラム406は、ステップ713の処理でクライアントPC101から受信したレスポンスデータと利用者のIDとを引数として認証プログラム407を呼び出して、認証の可否を検証させる(ステップ714)。
(13)次に、既存サーバプログラム406は、ステップ714での認証プログラム407による認証処理の検証結果をクライアントPC101に送信する(ステップ715)。
(14)クライアントPC101上の既存クライアントプログラム206は、ステップ715の処理でサーバ103から送信されてきた検証結果を受信し、受信した検証結果に応じた処理を実行する。すなわち、認証許可であれば、サーバの既存サーバプログラム406によるサービスの利用を開始し、認証拒否であれば、出力部205に認証エラー画面を表示すると共にログイン画面を表示する(ステップ716、717)。
前述した処理において、クライアントPC101の出力部205にチャレンジデータを2次元バーコードにより表示し、この2次元バーコードを携帯電話やPHS等の携帯端末102が備えているカメラにより読み取らせるとして説明したが、本発明は、クライアントPC101と携帯端末102とを直接接続して、チャレンジデータを携帯端末102に取得させるようにしてもよい。また、この場合、携帯端末102により生成されたレスポンスデータをクライアントPCに転送するようにすることもできる。
図8はサーバ103のチャレンジ発行プログラム408の処理動作を説明するフローチャートであり、次に、これについて説明する。ここでの、チャレンジ発行プログラム408の処理は、図7Aにより説明したフローのステップ704での処理である。
(1)チャレンジ発行プログラム408は、処理を開始すると、まず、チャレンジDB410から発行時刻603が最新のエントリを取得すると共に、現在の時刻を取得する(ステップ801、802)。
(2)次に、ステップ801の処理で取得したエントリが既に利用者によって利用されているか否かを、取得したエントリの利用フラグ604を参照して確認する(ステップ803)。
(3)ステップ803での判定で、取得したエントリが既に利用者により利用されていた(利用フラグが1)場合、乱数を生成し、生成した乱数とステップ802の処理で取得した現在時刻とを、チャレンジDB410の新規エントリとして登録する。そのエントリの利用フラグ604には0を、項番601にはステップ801の処理で取得したエントリの項番に+1したものを設定する。なお、項番601として設定することができる最大値を超えた場合、項番601には1を設定する(ステップ805)。
(4)ステップ805の処理で登録した新規エントリから、そのエントリの項番601と発行した乱数602とをセットにしたチャレンジデータを生成して、ここでの処理を終了する。なお、項番601は、乱数に対する識別子として利用され、クライアントPC101からのレスポンスデータがどの乱数に基づいて生成されたものかを識別するために、後述する認証処理時に使用される(ステップ806)。
(5)ステップ803での判定で、取得したエントリが利用者により利用されていなかった(利用フラグが0)場合、ステップ801の処理で取得したエントリが利用可能期限内であるか否かを確認する。すなわち、取得したエントリの発行時刻603に予め設定した有効可能期限を加えた時刻がステップ802の処理で取得した現在時刻よりも先であるか否かにより、有効期限内であるか、有効期限切れであるかを確認する(ステップ807)。
(6)ステップ807での確認で、取得したエントリの発行時刻603に予め設定した有効可能期限を加えた時刻がステップ802の処理で取得した現在時刻よりも先であり、取得したエントリが有効期限内であった場合、ステップ801の処理で取得したエントリの項番601と発行乱数602とをセットにしたチャレンジデータを生成して、ここでの処理を終了する(ステップ808)。
(7)ステップ807での確認で、取得したエントリの発行時刻603に予め設定した有効可能期限を加えた時刻がステップ802の処理で取得した現在時刻よりも手前であり、取得したエントリが有効期限切れであった場合、前述したステップ804の処理に移行して、その後の処理を続ける。
図9は携帯端末102のレスポンス生成プログラム306での処理動作を説明するフローチャートであり、次に、これについて説明する。ここでのレスポンス生成プログラム306の処理は、図7Aにより説明したフローのステップ709での処理である。
(1)レスポンス生成プログラム306は、処理を開始すると、まず、図7Aにより説明したフローのステップ708での処理で取得したチャレンジデータから乱数と項番とを分離する(ステップ901)。
(2)次に、ステップ901の処理で分離した乱数と共有秘密データ307とを引数として、サーバ103と予め共有している暗号ハッシュ関数等を利用してOPT(One Time Password)を生成する(ステップ902)。
(3)その後、ステップ902の処理で生成したOPTとステップ901の処理で分離した項番とをセットにしてレスポンスデータを生成する(ステップ903)。
図10はサーバ103の認証プログラム407での処理動作を説明するフローチャートであり、次に、これについて説明する、ここでの認証プログラム407の処理は、図7Bにより説明したフローのステップ714の中での処理である。
(1)認証プログラム407は、処理を開始すると、まず、図7Aにより説明したフローのステップ713の処理で受信したレスポンスデータからOTPと項番とを分離する(ステップ1001)。
(2)次に、チャレンジDB410からステップ1001の処理で取得した項番に対応するエントリを取得すると共に、現在の時刻を取得する(ステップ1002、1003)。
(3)ステップ1002の処理で取得したエントリが利用可能期限内であるか否かを確認する。すなわち、取得したエントリの発行時刻603に予め設定した有効可能期限を加えた時刻がステップ1003の処理で取得した現在時刻よりも先であるか否かにより、有効期限内であるか、有効期限切れであるかを確認する(ステップ1004)。
(4)ステップ1004の確認で、取得したエントリの発行時刻603に予め設定した有効可能期限を加えた時刻がステップ1003の処理で取得した現在時刻よりも先であり、取得したエントリが有効期限内であった場合、ステップ1002の処理で取得したエントリの発行乱数602を取得する(ステップ1005)。
(5)その後、ステップ1002の処理で取得したエントリの利用フラグ604を1に設定して、使用を設定し、アカウントDB409からステップ713の処理で受信した利用者のIDに対応したエントリを取得する(ステップ1006、1007)。
(6)次に、ステップ1005の処理で取得した発行乱数とステップ1007の処理で取得したエントリの共有秘密データ503とを引数として、クライアントPC101と予め取り決めて共有している暗号ハッシュ関数等を利用して検証用OTPを生成する(ステップ1008)。
(7)認証可否を判定するために、ステップ1001の処理で分離したOTPとステップ1008の処理で生成した検証用OTPとを比較し、値が同一であるか否かを判定する(ステップ1009)。
(8)ステップ1009の判定で、値が同一であった場合、認証成功と判定して、その旨を既存サーバプログラム401に通知し、値が不一致であった場合、認証失敗と判定して、その旨を既存サーバプログラム401に通知して、ここでの処理を終了する(ステップ1010、1012)。
(9)ステップ1004の確認で、取得したエントリの発行時刻603に予め設定した有効可能期限を加えた時刻がステップ1003の処理で取得した現在時刻よりも手前であり、取得したエントリが有効期限切れであった場合、新たなチャレンジデータを発行するために、図7Aに示すフローのステップ704からの処理に戻ることとして、ここでの処理を終了する(ステップ1011)。
前述した本発明の実施形態での各処理は、プログラムにより構成し、本発明が備えるクライアントPC、携帯端末、サーバのCPUに実行させることができ、また、それらのプログラムは、FD、CDROM、DVD等の記録媒体に格納して提供することができ、また、ネットワークを介してディジタル情報により提供することができる。
前述した本発明の実施形態によれば、サービスを提供する通信コネクションとは別の通信コネクションによりチャレンジデータを送信し、サービスを提供する通信コネクションでレスポンスデータを受信することとしており、既存のシステムにチャレンジレスポンス方式の認証機能を容易に追加することができる。また、サーバがチャレンジデータに識別子を付加しているので、チャレンジデータとレスポンスデータとを一意に対応付けることができ、2つの通信コネクションを利用しても安全に認証処理を実行することができる。
また、前述した本発明の実施形態によれば、発行済みのチャレンジデータが認証に利用された段階で、新規なチャレンジデータを発行することにより、大量の認証要求を受信しても、必要以上にチャレンジデータを発行せずに済み、チャレンジデータの保持のためのリソースの消費を抑えることができる。
本発明の一実施形態による認証システムの構成を示すブロック図である。 クライアントPCの構成例を示すブロック図である。 携帯端末の構成例を示すブロック図である。 サーバの構成例を示すブロック図である。 アカウントDBの構成例を示す図である。 チャレンジDBの構成例を示す図である。 本発明の実施形態による認証システム全体の処理動作を説明するフローチャート(その1)である。 本発明の実施形態による認証システム全体の処理動作を説明するフローチャート(その2)である。 サーバのチャレンジ発行プログラムの処理動作を説明するフローチャートである。 携帯端末のレスポンス生成プログラムでの処理動作を説明するフローチャートである。 サーバの認証プログラムでの処理動作を説明するフローチャートである。
符号の説明
101 クライアントPC
102 携帯端末
103 サーバ
201、301、401 CPU
202、302、402 メモリ
203、303、403 通信部
204、304、404 入力部
205、305、405 出力部
206 既存クライアントプログラム
207 チャレンジ表示プログラム
208、308、411 記憶部
306 レスポンス生成プログラム
307 共有秘密データ
406 既存サーバプログラム
407 認証プログラム
408 チャレンジ発行プログラム
409 アカウントDB
410 チャレンジDB

Claims (4)

  1. サーバと、該サーバによるサービスを利用するクライアントPCとがネットワークを介して接続されて構成され、前記クライアントPCの認証を行う認証システムにおいて、
    前記クライアントPCの利用者が所持し、前記ネットワークを介して、あるいは、別の通信回線を介して前記サーバに接続可能な携帯端末を備え、
    前記サーバは、認証処理のために識別子付チャレンジデータを発行して前記クライアントPCに送信する手段と、前記クライアントPCからの識別子付レスポンスデータ受信して対応するチャレンジデータを抽出する手段と、抽出したチャレンジデータ及び受信したレスポンスデータによりクライアントPCの認証を行う手段とを有し、
    前記クライアントPCは、前記サーバからの識別子付チャレンジデータを受信して表示する手段を有し、
    前記携帯端末は、前記クライアントPCが受信した前記識別子付チャレンジデータを取得する手段と、取得した識別子付チャレンジデータから識別子付レスポンスデータを生成して、該レスポンスデータを前記サーバに送信する手段とを有し、
    前記サーバから前記識別子付きチャレンジデータを前記クライアントPCに送信する通信路と、前記携帯端末から前記レスポンスデータを前記サーバに送信する通信路とが互いに独立であることを特徴とする認証システム。
  2. 前記クライアントPCが前記サーバから受信したチャレンジデータは、2次元バーコードとして表示され、前記携帯端末は、該携帯端末が備えるカメラにより、前記クライアントPCに表示された2次元バーコードを撮影することにより、チャレンジデータを取得することを特徴とする請求項1記載の認証システム。
  3. 前記サーバによる識別子付チャレンジデータの発行は、発行済みであって認証に利用されておらず、発行から所定時間を経過していない有効なチャレンジデータが保持されている場合に、そのチャレンジデータを使用して行われ、そのようなチャレンジデータが保持されていない場合に、新規なチャレンジデータを発行することにより行われることを特徴とする請求項1または2記載の認証システム。
  4. サーバと、該サーバによるサービスを利用するクライアントPCとがネットワークを介して接続されて、前記クライアントPCの認証を行う認証方法において、
    前記クライアントPCの利用者が所持し、前記ネットワークを介して、あるいは、別の通信回線を介して独立して前記サーバに接続可能な携帯端末を備え、
    前記サーバは、認証処理のために前記クライアントPCに識別子付チャレンジデータを送信し、
    前記クライアントPCは、前記サーバからの識別子付チャレンジデータを受信して表示し、
    前記携帯端末は、前記クライアントPCが受信した前記識別子付チャレンジデータを取得し、取得した識別子付チャレンジデータから識別子付レスポンスデータを生成して、該レスポンスデータを前記サーバに送信し、
    前記サーバは、前記クライアントPCからの識別子付レスポンスデータ受信して対応するチャレンジデータを抽出し、抽出したチャレンジデータ及び受信したレスポンスデータによりクライアントPCの認証を行うことを特徴とする認証方法。
JP2007196102A 2007-07-27 2007-07-27 認証システム及び認証方法 Pending JP2009032070A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2007196102A JP2009032070A (ja) 2007-07-27 2007-07-27 認証システム及び認証方法
CNA2008100860534A CN101355555A (zh) 2007-07-27 2008-03-14 认证***及认证方法
US12/049,563 US20090031405A1 (en) 2007-07-27 2008-03-17 Authentication system and authentication method
EP08004930A EP2023262A3 (en) 2007-07-27 2008-03-17 Authentication system and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007196102A JP2009032070A (ja) 2007-07-27 2007-07-27 認証システム及び認証方法

Publications (1)

Publication Number Publication Date
JP2009032070A true JP2009032070A (ja) 2009-02-12

Family

ID=39832309

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007196102A Pending JP2009032070A (ja) 2007-07-27 2007-07-27 認証システム及び認証方法

Country Status (4)

Country Link
US (1) US20090031405A1 (ja)
EP (1) EP2023262A3 (ja)
JP (1) JP2009032070A (ja)
CN (1) CN101355555A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010250746A (ja) * 2009-04-20 2010-11-04 Tokai Rika Co Ltd 認証システム及び認証方法
JP2015524633A (ja) * 2012-07-23 2015-08-24 アルカテル−ルーセント シークレットデータの秘匿性を保つ認証システム
JP2015534408A (ja) * 2012-10-29 2015-11-26 ジェムアルト エスアー 端末とリモートサーバとの間の、サードパーティのポータルを介した相互認証の方法
JP2017527171A (ja) * 2014-07-29 2017-09-14 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 認証マークの送信
JP7454399B2 (ja) 2020-02-17 2024-03-22 アルプスアルパイン株式会社 通信システム、車載装置、およびプログラム
US12041039B2 (en) 2019-02-28 2024-07-16 Nok Nok Labs, Inc. System and method for endorsing a new authenticator

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100293604A1 (en) * 2009-05-14 2010-11-18 Microsoft Corporation Interactive authentication challenge
GB0910897D0 (en) * 2009-06-24 2009-08-05 Vierfire Software Ltd Authentication method and system
US20110167477A1 (en) * 2010-01-07 2011-07-07 Nicola Piccirillo Method and apparatus for providing controlled access to a computer system/facility resource for remote equipment monitoring and diagnostics
US20110271109A1 (en) * 2010-05-01 2011-11-03 Tor Anumana, Inc. Systems and methods of remote device authentication
US8855300B2 (en) * 2010-09-30 2014-10-07 Google Inc. Image-based key exchange
US8966254B2 (en) * 2010-10-11 2015-02-24 International Business Machines Corporation Keyless challenge and response system
TW202405797A (zh) * 2010-12-03 2024-02-01 美商杜比實驗室特許公司 音頻解碼裝置、音頻解碼方法及音頻編碼方法
FR2977418B1 (fr) * 2011-06-28 2013-06-28 Alcatel Lucent Systeme d'authentification via deux dispositifs de communication
CN103139179A (zh) * 2011-12-01 2013-06-05 捷而思股份有限公司 多通道主动式网络身份验证***及网络身份验证装置
CN105337928B (zh) * 2014-06-24 2019-09-13 阿里巴巴集团控股有限公司 用户身份识别方法、安全保护问题生成方法及装置
CN105516980B (zh) * 2015-12-17 2018-11-13 河南大学 一种基于Restful架构的无线传感器网络令牌认证方法
CN114499969B (zh) * 2021-12-27 2023-06-23 天翼云科技有限公司 一种通信报文的处理方法、装置、电子设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5668876A (en) * 1994-06-24 1997-09-16 Telefonaktiebolaget Lm Ericsson User authentication method and apparatus

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010250746A (ja) * 2009-04-20 2010-11-04 Tokai Rika Co Ltd 認証システム及び認証方法
JP2015524633A (ja) * 2012-07-23 2015-08-24 アルカテル−ルーセント シークレットデータの秘匿性を保つ認証システム
JP2017063480A (ja) * 2012-07-23 2017-03-30 アルカテル−ルーセント シークレットデータの秘匿性を保つ認証システム
JP2015534408A (ja) * 2012-10-29 2015-11-26 ジェムアルト エスアー 端末とリモートサーバとの間の、サードパーティのポータルを介した相互認証の方法
JP2017527171A (ja) * 2014-07-29 2017-09-14 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 認証マークの送信
US10068237B2 (en) 2014-07-29 2018-09-04 Hewlett-Packard Development Company, L.P. Transmit an authentication mark
US12041039B2 (en) 2019-02-28 2024-07-16 Nok Nok Labs, Inc. System and method for endorsing a new authenticator
JP7454399B2 (ja) 2020-02-17 2024-03-22 アルプスアルパイン株式会社 通信システム、車載装置、およびプログラム

Also Published As

Publication number Publication date
EP2023262A2 (en) 2009-02-11
EP2023262A3 (en) 2009-09-02
CN101355555A (zh) 2009-01-28
US20090031405A1 (en) 2009-01-29

Similar Documents

Publication Publication Date Title
JP2009032070A (ja) 認証システム及び認証方法
JP5429912B2 (ja) 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びプログラム
US8745401B1 (en) Authorizing actions performed by an online service provider
KR101929598B1 (ko) 운영체제 및 애플리케이션 사이에서 사용자 id의 공유 기법
US8484708B2 (en) Delegating authentication using a challenge/response protocol
TWI598761B (zh) 判定認證能力之查詢系統及方法
WO2019218747A1 (zh) 一种第三方授权登录方法及***
JP5462021B2 (ja) 認証システム、認証方法および認証プログラム
US20210344673A1 (en) Methods and systems for blocking malware attacks
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
WO2009093572A1 (ja) ライセンス認証システム及び認証方法
WO2006073008A1 (ja) ネットワークカメラへのログイン認証システム
US11777942B2 (en) Transfer of trust between authentication devices
US20150188916A1 (en) Vpn connection authentication system, user terminal, authentication server, biometric authentication result evidence information verification server, vpn connection server, and computer program product
JP2022527798A (ja) 効率的なチャレンジ応答認証のためのシステム及び方法
EP3663946A1 (en) Information processing apparatus, information processing method, and information processing program
JP7269486B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP2011082923A (ja) 端末装置、署名生成サーバ、簡易id管理システム、簡易idの管理方法、及びプログラム
JP3833652B2 (ja) ネットワークシステム、サーバ装置、および認証方法
JP2008146363A (ja) コンピュータネットワークにおける認証方法
KR20130078842A (ko) 이미지 코드와 일회용 패스워드를 이용한 이중 인증처리 서버와 기록매체
JP2024522281A (ja) コードベースの二要素認証
JP2010237741A (ja) 認証システムおよび認証方法
JP2009211529A (ja) 認証処理装置、認証処理方法および認証処理プログラム
CN114090996A (zh) 多方***互信认证方法及装置