JP4755866B2 - 認証システム、認証サーバ、認証方法および認証プログラム - Google Patents
認証システム、認証サーバ、認証方法および認証プログラム Download PDFInfo
- Publication number
- JP4755866B2 JP4755866B2 JP2005241855A JP2005241855A JP4755866B2 JP 4755866 B2 JP4755866 B2 JP 4755866B2 JP 2005241855 A JP2005241855 A JP 2005241855A JP 2005241855 A JP2005241855 A JP 2005241855A JP 4755866 B2 JP4755866 B2 JP 4755866B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- authentication
- password
- mobile phone
- time password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
本発明は、ワンタイムパスワードを用いてユーザの正当性を認証する認証技術に関する。
近年、フィッシング詐欺に代表される、インターネット上でのユーザIDおよびパスワードの詐取・盗難(identity theft)が問題となっている。そのため、より高いセキュリティを確保し、ユーザの正当性を認証する技術が求められている。例えば、特許文献1には、ワンタイムパスワード(One Time Password)を用いて、ユーザ認証を行うパスワード認証システムが記載されている。
特開2004−240637
特許文献1に記載のパスワード認証システムでは、携帯電話が認証サーバから取得したワンタイムパスワードを用いてユーザ認証を行う。しかしながら、特許文献1では、携帯電話は、ユーザIDを指定して認証サーバにワンタイムパスワードを要求する。そして、認証サーバは、当該ユーザIDに対するワンタイムパスワードを要求元の携帯電話に送信する。すなわち、ユーザIDが漏れた場合には、同時にワンタイムパスワードも漏れたも同義である。
したがって、悪意のある第三者は、ユーザIDさえ取得できれば、ユーザIDを認証サーバに送ることによってワンタイムパスワードを取得できる。これにより、悪意のある第三者が、不正に取得したユーザIDとワンタイムパスワードを使用して、例えばオンライン口座にログインし、不正な操作を行う可能性がある。
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、ユーザIDおよびパスワード双方が同時に漏洩するリスクを軽減し、より高いセキュリティを確保したユーザ認証技術を提供することにある。
上記課題を解決するために、本発明は、例えば、認証サーバと業務サーバとを有する認証システムであって、前記認証サーバは、前記認証システム内でユーザを識別するための第1のユーザIDと、前記業務サーバ内でユーザを識別するための第2のユーザIDと、ワンタイムパスワードとを対応付けたユーザ属性テーブルと、携帯電話IDを含むパスワード要求を携帯電話から受信し、当該受信した携帯電話IDに対応する第1のユーザIDを特定する受信手段と、前記特定した第1のユーザIDのワンタイムパスワードを生成し、生成したワンタイムパスワードを前記ユーザ属性テーブルに記憶するパスワード生成手段と、前記生成したワンタイムパスワードを前記携帯電話に送信するパスワード送信手段と、前記業務サーバから、第2のユーザIDおよびワンタイムパスワードを受信し、前記受信したワンタイムパスワードと、前記ユーザ属性テーブルに記憶された第2のユーザIDのワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に認証成功メッセージを前記業務サーバに送信する認証手段と、を有する。そして、前記業務サーバは、端末から、前記第2のユーザIDとワンタイムパスワードとを含むログイン要求を受信し、前記認証サーバに送信するログイン受付手段と、前記認証サーバから前記認証成功メッセージを受信した場合、前記ログイン要求を許可するログイン処理手段と、を有する。
本発明では、ユーザIDおよびパスワードの漏洩リスクを軽減し、より高いセキュリティを確保することができる。
以下、本発明の実施の形態について説明する。
図1は、本発明の一実施形態が適用された認証システムの全体構成図である。図示する認証システムは、ユーザが携帯する携帯電話1と、PC(Personal Computer)などの端末2と、認証サーバ3と、少なくとも1つの業務サーバ4とを有する。携帯電話1は、携帯電話1の位置に応じて所定の基地局5およびネットワーク6を介して、認証サーバ3と接続する。端末2と業務サーバ4とは、ネットワーク6を介して接続される。認証サーバ3と、業務サーバ4とは、ネットワーク6または図示しない専用線を介して接続される。
本認証システムのユーザは、少なくとも1つの業務サーバ4が提供するシステム(サービス)を利用可能なユーザであって、当該認証システム内で一意のユーザID(第1のユーザID)があらかじめ設定されているものとする。また、ユーザは、あらかじめ所定の業務サーバ4のシステムに登録し、当該システム内でユーザを識別するための会員番号(第2のユーザID)を取得しているものとする。
また、ユーザは、常に携帯電話1を携帯し、携帯電話1を用いてワンタイムパスワードを、認証サーバ3から取得する。そして、ユーザは、端末2を用いて所望の業務サーバ4のシステムにログインし、当該システム(サービス)を利用する。なお、業務サーバ4のシステムにログインする際に、ユーザは、携帯電話1を用いて取得したワンタイムパスワードを端末2に入力するものとする。
携帯電話1は、ユーザの指示を受け付ける指示受付部11と、携帯電話1の位置情報を取得する位置情報取得部12と、認証サーバ3にワンタイムパスワードを要求するパスワード要求部13と、認証サーバ3から取得したワンタイムパスワードを表示する表示部14と、を有する。
本実施形態は、位置情報として、基地局5のセルIDを用いることとする。すなわち、位置情報取得部12は、携帯電話1が通信可能な基地局5から、当該基地局5のセルIDを取得し、携帯電話1(すなわち、正当なユーザ)の位置情報として用いることとする。なお、セルIDは、各基地局5がカバーするカバーエリア(セル)を識別するための識別情報である。
なお、携帯電話1がGPS(Global Positioning System)受信機能を有する場合、位置情報取得部12は、GPSから受信したGPS信号を位置情報として用いることとしてもよい。また、携帯電話1は、図示しないが一般的な通話機能を有するものとする。
端末2は、ユーザの指示を受け付けて所望の業務サーバ4にログインし、当該サーバ4が提供するシステムを利用する。図示する端末2は、ユーザの各種指示を受け付ける指示受付部21と、出力装置に各種の情報を表示する表示部22と、を有する。
認証サーバ3は、携帯電話1の要求を受け付けて、ワンタイムパスワードを生成する。また、認証サーバ3は、業務サーバ4が受け付けたログイン要求の正当性を認証する。認証サーバ3は、図示するように、受信部31と、パスワード生成部32と、パスワード送信部33と、認証部34と、携帯電話テーブル35と、ユーザ属性テーブル36と、位置履歴テーブル37と、を有する。
受信部31は、携帯電話1からワンタイムパスワードの生成要求を受け付ける。パスワード生成部32は、ワンタイムパスワードを生成する。パスワード送信部33は、パスワード生成部32が生成したワンタイムパスワードを、要求元の携帯電話1に送信する。認証部34は、各種テーブル35〜37を参照し、業務サーバ4が受け付けたログイン要求の正当性を認証する。
携帯電話テーブル35は、ユーザと当該ユーザが所有(携帯)する携帯電話1とを対応付けたテーブルである。ユーザ属性テーブル36は、ユーザ毎に、当該ユーザが登録しているシステムIDおよび会員番号があらかじめ設定されたテーブルである。そして、ユーザ属性テーブル36には、パスワード生成部32が生成したワンタイムパスワードが後述する処理により記憶される。なお、携帯電話テーブル35およびユーザ属性テーブル36については後述する。
位置履歴テーブル37には、ログインに成功した際の、携帯電話1の位置情報の履歴が記憶されている。なお、位置履歴テーブル37は、ユーザ毎に位置情報の履歴が記憶されているものとする。
業務サーバ4は、オンラインバンキング、ネットショッピングなどシステムを有し、端末2に各種サービスを提供する。業務サーバ4は、ログイン受付部41と、ログイン処理部42と、業務処理部43と、会員テーブル44とを有する。ログイン受付部41は、端末2からログイン要求を受け付ける。ログイン処理部42は、認証サーバ3の認証結果に応じて、端末2のログインを許可または拒否する。業務処理部43は、オンラインバンキングやネットショッピングなどの業務処理を行う。
次に、認証サーバ3の携帯電話テーブル35およびユーザ属性テーブル36について説明する。
図2は、携帯電話テーブル35の一例を示した図である。図示する携帯電話テーブル35は、ユーザID351と、携帯電話ID352と、携帯電話番号353と、を有する。なお、ユーザID351は、本認証システムにおいて、各ユーザを識別するための識別情報である。携帯電話ID352には、携帯電話1の機体番号(または、携帯電話の電話番号)を用いることとする。なお、1人のユーザが、複数の携帯電話1を所有する場合は、1つのユーザID351に対して複数の携帯電話ID352および携帯電話番号353が登録されるものとする。
図3は、ユーザ属性テーブル36の一例を示した図である。図示するユーザ属性テーブル36は、ユーザID361と、システムID362と、会員番号363と、ワンタイムパスワード364と、ワンタイムパスワードの有効期限365と、位置情報366と、を有する。システムID362は、各業務サーバ4が提供するシステムを識別するための識別情報である。会員番号363は、各システム固有のユーザ識別情報であって、例えば、口座番号やクレジットカード番号などを用いることが考えられる。
なお、ユーザID361、システムID362および会員番号363については、あらかじめユーザ属性テーブル36に登録されているものとする。また、ワンタイムパスワード364、有効期限365および位置情報366については、パスワード生成部32が、ワンタイムパスワードの生成時に、ユーザ属性テーブル36に設定するものとする。
上記説明した、携帯電話1、端末2、認証サーバ3および業務サーバ4は、いずれも、例えば図4に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。
例えば、携帯電話1、端末2、認証サーバ3および業務サーバ4の各機能は、携帯電話1用のプログラムの場合は携帯電話1のCPU901が、端末2用のプログラムの場合は端末2のCPU901が、認証サーバ3用のプログラムの場合は認証サーバ3のCPU901が、そして、業務サーバ4用のプログラムの場合は業務サーバ4のCPU901が、それぞれ実行することにより実現される。なお、認証サーバ3の携帯電話テーブル35、ユーザ属性テーブル36、および位置履歴テーブル37には、認証サーバ3のメモリ902または外部記憶装置903が用いられるものとする。また、業務サーバ4の会員テーブル44には、業務サーバ4のメモリ902または外部記憶装置903が用いられるものとする。また、入力装置904および出力装置905については、各装置が必要に応じて備えるものとする。
次に、ワンタイムパスワードの取得処理について説明する。
図5は、ワンタイムパスワードの取得処理のフローチャートである。まず、携帯電話1の指示受付部11は、ユーザが入力したパスワード要求指示を受け付ける(S11)。すなわち、ユーザは、操作ボタンなどの入力装置を用いて、ログイン先の業務サーバ4のシステムIDを指定して、パスワード要求指示を入力する。
そして、位置情報取得部12は、通信可能な基地局5から、当該基地局5の位置情報(セルID)を取得する(S12)。そして、パスワード要求部13は、指示受付部11が受け付けたシステムIDと、位置情報取得部12が取得した位置情報と、当該携帯電話の携帯電話IDと、を含むパスワード要求メッセージを、基地局5を介して認証サーバ3に送信する(S13)。なお、携帯電話IDは、携帯電話1のメモリまたは外部記憶装置に記憶されているものとする。
そして、認証サーバ3の受信部31は、パスワード要求メッセージを携帯電話1から受信する。そして、受信部31は、携帯電話テーブル35を参照し、パスワード要求メッセージの携帯電話IDに対応するユーザIDを特定する(S14)。
そして、パスワード生成部32は、ユーザ属性テーブル36を参照し、特定したユーザIDのいずれかのレコードに、パスワード要求メッセージのシステムIDが存在するか否かを判別する(S15)。システムIDが存在する場合(S15:YES)、パスワード生成部32は、所定のアルゴリズムにより、ワンタイムパスワードを生成する(S16)。なお、パスワード生成部32は、例えば、パスワード要求メッセージのタイムスタンプ、およびパスワード要求メッセージに含まれる携帯電話IDを、認証文字列の「種」としてワンタイムパスワードを生成する。
そして、パスワード生成部32は、生成したワンタイムパスワード、有効期限、および、受信した位置情報を、ユーザ属性テーブル36の対応するレコード(特定したユーザIDおよび受信したシステムIDのレコード)に記憶する。なお、パスワード生成部32は、ワンタイムパスワードを生成した時刻から所定の時間(例えば、1分)が経過した時刻を、有効期限としてユーザ属性テーブル36に設定する。
そして、パスワード送信部33は、携帯電話1がパスワード要求メッセージを送信した通信経路(セッション)とは異なる通信経路で、生成したワンタイムパスワードを携帯電話1に送信する(S17)。
本実施形態では、パスワード送信部33は、ショートメッセージサービス(SMS:Short Message Service)を用いて、ワンタイムパスワードを送信することとする。ショートメッセージサービスは、携帯電話に短い文字メッセージを送信するサービスである。パスワード送信部33は、携帯電話テーブル35を参照し、要求元の携帯電話の携帯電話番号を特定する。そして、パスワード送信部33は、特定した携帯電話番号を宛先として生成したパスワードを送信する。
携帯電話1から認証サーバ3にアクセスした通信経路と異なる通信経路でワンタイムパスワードを送信することにより、不正な第三者がなりすましによりワンタイムパスワードを要求した場合であっても、正当なユーザの携帯電話1にワンタイムパスワードを送信することができる。すなわち、ワンタイムパスワードの漏洩を防止することができる。
また、パスワード要求メッセージに含まれる携帯電話IDは、端末2から業務サーバ4にログインする際に使用する会員番号とは異なるものである。したがって、仮に、ワンタイムパスワードと携帯電話IDの両方が漏洩した場合であっても、当該ワンタイムパスワードおよび携帯電話IDを用いて業務サーバ4にログインすることはできない。したがって、本認証システムでは、第三者の不正なログインを拒否し、より高いセキュリティを確保することができる。
なお、パスワード送信部33は、電子メールを用いてワンタイムパスワードを携帯電話1に送信することとしてもよい。この場合、携帯電話テーブル35には、携帯電話番号353の代わりに、携帯電話1のメールアドレスが記憶されているものとする。
一方、システムIDが存在しない場合(S15:NO)、パスワード送信部33は、エラーメッセージを携帯電話1に送信する(S18)。なお、パスワード送信部33は、携帯電話1がパスワード要求メッセージを送信した通信経路と同一の通信経路、または、異なる通信経路(ショートメッセージサービス等)のどちらでエラーメッセージを送信してもよい。
そして、携帯電話1の表示部14は、認証サーバ3からワンタイムパスワードまたはエラーメッセージを受信し、表示装置に表示する(S19)。ワンタイムパスワードを受信した場合、ユーザは、携帯電話1に表示されたワンタイムパスワードを用いて、次に説明するログイン処理を行う。
次に、端末2が業務サーバ4にログインする際の認証処理について説明する。
図6は、ログイン時の認証処理のフローチャートである。なお、図6では、業務サーバ4と認証サーバ3の処理を中心に記載している。
まず、ユーザは、端末2を使用して、ワンタイムパスワードを取得したシステムの業務サーバ4にアクセスし、当該システムのログイン画面を端末2の出力装置に表示する。そして、ユーザは、当該システムの会員番号、一般的なパスワードおよびワンタイムパスワードを、ログイン画面に入力する。
なお、会員番号および一般的なパスワードは、当該システム内で、ユーザの正当性を認証するためのものである。また、ワンタイムパスワードは、携帯電話1が認証サーバ3から取得したパスワードである。
そして、端末2の指示受付部21は、ユーザが入力した会員番号、一般的なパスワードおよびワンタイムパスワードを受け付ける。そして、指示受付部21は、受け付けた会員番号等を含むログインメッセージを業務サーバ4に送信する。
そして、業務サーバ4のログイン受付部41は、端末2からログインメッセージを受信する(S31)。そして、ログイン受付部41は、ログインメッセージの会員番号および一般的なパスワードの認証を行う(S32)。すなわち、ログイン受付部41は、受信した会員番号および一般的なパスワードが、会員テーブル44に存在するか否かを判別する。
そして、認証に成功した場合、すなわち会員テーブル44に存在する場合(S32:YES)、ログイン受付部41は、ログインメッセージに含まれる会員番号およびワンタイムパスワードと、システムIDとを認証サーバ3に送信する(S33)。
なお、業務サーバ4は、メモリまたは外部記憶装置にシステムIDを記憶しているものとする。また、業務サーバ4が認証サーバ3と通信する際には、なりすましを防止するために、電子署名などの相互認証プロセスを行うものとする。
認証サーバ3の認証部34は、会員番号およびワンタイムパスワードと、システムIDとを業務サーバ4から受信する。そして、認証部34は、ユーザ属性テーブル36を参照し、受信した会員番号およびシステムIDをキーとして、対応するユーザID、ワンタイムパスワード、有効期限および位置情報を特定する(S34)。
そして、認証部34は、受信したワンタイムパスワードとユーザ属性テーブル36に記憶されたワンタイムパスワードとが一致するか否かを判別する。また、認証部34は、当該認証サーバ3のタイマー機構(不図示)から現在の時刻を取得し、取得した現在の時刻がユーザ属性テーブル36に記憶された有効期限を経過していないかを判別する(S35)。
ワンタイムパスワードが一致し、かつ、有効期限内の場合(S35:YES)、認証部34は、位置履歴テーブル37を参照し、ユーザ属性テーブル36に記憶された位置情報(パスワード要求メッセージ送信時の位置情報)が通常のパターンであるか否かを判別する(S36)。すなわち、認証部34は、特定したユーザIDの過去の位置情報を、位置履歴テーブル37から抽出する。そして、抽出した過去の位置情報から推定されるユーザの行動パターン(行動範囲)に、ユーザ属性テーブル36に記憶された位置情報が含まれるか否かを判別する。なお、S35とS36の処理の順番はこれに限定されず、S36の処理を行った後にS35の処理を行うこととしてもよい。
例えば、ユーザ属性テーブル36に記憶された位置情報が、過去の位置情報には存在しない新たな位置情報の場合、認証部34は、当該位置情報は通常のパターン以外の異常値であると判別することが考えられる。
また、認証部34は、地図データ上に過去の位置情報をプロットする。そして、ユーザ属性テーブル36に記憶された位置情報が、プロットされたいずれの位置からも所定の距離以上離れた位置の場合、認証部34は、当該位置情報を通常のパターン以外の異常値であると判別することが考えられる。
そして、位置情報が通常のパターンであると判別した場合(S36:YES)、認証部34は、正当なユーザからのログイン要求であると認証する。したがって、認証部34は、認証に成功した旨を示すOKメッセージを業務サーバ4に送信する(S37)。そして、認証部34は、ユーザIDおよびユーザ属性テーブル36に記憶された位置情報を位置履歴テーブル37に追加する。
一方、ワンタイムパスワードが一致しない場合、または、現在の時刻が有効期限を過ぎている場合(S35:NO)、認証部34は、不正な第三者からのログイン要求であると判別する。したがって、認証部34は、認証に失敗した旨を示すNGメッセージを、業務サーバ4に送信する(S38)。また、位置情報が異常値であると判別した場合(S36:NO)、認証部34は、不正な第三者からのログイン要求であると判別し、NGメッセージを業務サーバ4に送信する(S38)。
そして、業務サーバ4のログイン処理部42は、認証サーバ3からOKメッセージを受信した場合、端末2からのログインを許可し、ログイン完了画面を端末2に送信する(S39)。なお、ログイン完了画面には、例えば、業務処理部43が提供する各種サービスのメニューが表示されているものとする。
一方、ログイン処理部42は、認証サーバ3からNGメッセージを受信した場合、端末2にログインに失敗した旨を示すログインエラーメッセージを送信する(S40)。また、ログイン処理部42は、会員番号および一般的なパスワードの認証に失敗した場合(S32:NO)、端末2にログインエラーメッセージを送信する(S40)。
そして、端末2の表示部22は、ログイン完了画面またはログインエラーメッセージを受信し、出力装置に表示する。ログイン完了画面を受信した場合、端末2の指示受付部21は、ユーザの指示を受け付けて、オンラインバンキング、ネットショッピングなど業務サーバ4が提供する各種のサービスを利用することができる。
以上、本発明の一実施形態を説明した。
本実施形態では、ユーザIDおよびパスワードの漏洩リスクを軽減し、より高いセキュリティを確保することができる。すなわち、携帯電話1から認証サーバ3にアクセスした通信経路と異なる通信経路でワンタイムパスワードを送信することにより、不正な第三者がなりすましによりワンタイムパスワードを要求した場合であっても、正当なユーザの携帯電話1にワンタイムパスワードを送信することができる。すなわち、ワンタイムパスワードの漏洩を防止することができる。
また、本実施形態で携帯電話1が認証サーバ3に送信するパスワード要求メッセージには、端末2から業務サーバ4にログインする際に使用する会員番号が含まれていない。したがって、仮に、携帯電話1と認証サーバ3との間の通信内容が盗聴され、ワンタイムパスワードが漏洩した場合であっても、業務サーバ4にログインすることはできない。したがって、本認証システムでは、第三者の不正なログインを拒否し、より高いセキュリティを確保することができる。
また、本実施形態では、ログイン時にワンタイムパスワードだけでなく、携帯電話1の位置情報を用いてユーザの正当性を認証する。これにより、フィッシング詐欺などによりワンタイムパスワードを含むユーザのログイン情報が詐取された場合であっても、第三者の不正なログイン要求を拒否し、不正なネットワーク上での商取引を防止することができる。すなわち、より高いセキュリティを確保することができる。
また、本実施形態では、携帯電話1の位置情報として基地局5のセルIDを用いる。これにより、携帯電話1を携帯するユーザが建物の中や地下にいる場合であっても、基地局5からセルIDを受信することができる。また、携帯電話1はGPS受信機能を備える必要がない。これにより、本実施形態では、より低コストにユーザの正当性を認証することができる。
また、本実施形態では、認証サーバ3が、ユーザの認証情報を一元的に管理し、各業務サーバ4からの要求に応じてより精度の高いユーザ認証を行う。これにより、業務サーバ側での認証処理の負荷を軽減し、より効率の良い認証処理を行うことができる。
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、上記実施形態の認証システムでは、1つまたは複数の業務サーバ4を備え、認証サーバ3が複数の業務サーバ4に対するログイン要求の認証を可能としている。しかしながら、認証サーバ3と業務サーバ4とが1対1に対応し、認証サーバ3は、1つの業務サーバ4のみの認証を行うこととしてもよい。この場合、パスワード要求メッセージ、ユーザ属性テーブル等のシステムIDは、不要となる。
また、上記実施形態では、ログイン時の認証処理おいて、位置情報が通常のパターンと異なる場合、NGメッセージを送信することとした(図6:S38)。しかしながら、この場合、認証サーバ3は、例えば、警告メッセージを業務サーバ4に送信し、業務サーバ4は、所定のエラー処理を行うこととしてもよい。例えば、業務サーバ4は、警告メッセージを受信した場合、ログインを許可し、ログイン完了画面を端末2に送信する。そして、業務サーバ4は、警告メッセージのログ情報をメモリまたは外部記憶装置に記憶し、後に正当なユーザに問い合わせることなどが考えられる。
また、本実施形態では、ログイン時の認証処理おいて、業務サーバ4は、ログインメッセージに含まれる会員番号を認証サーバ3に送信することとした(図6:S33)。しかしながら、業務サーバ4は、会員番号とユーザIDとを結び付けるフェデレーション(federation)用の中間IDを送信することとしてもよい。この場合、業務サーバ4は、中間IDをユーザIDに変換して、認証処理を行うものとする。また、ユーザは、端末2からログイン処理を行う際に、会員番号ではなく中間IDをログイン画面に入力することとしてもよい。
また、本実施形態では、認証サーバ3が業務サーバ4からの要求を受け付けて、ログイン要求を行ったユーザの正当性を認証する。しかしながら、業務サーバ4自身が、認証サーバから認証に必要な情報を取得して、ユーザの正当性を認証することとしてもよい。この場合、業務サーバ4は、ログイン時の認証処理において、会員番号およびシステムIDを認証サーバ3に送信し、認証サーバ3から対応するワンタイムパスワード、有効期限および位置情報を受信する(図6:S33)。そして、業務サーバ4は、認証サーバ3から取得した情報を用いて、ログインを行ったユーザの正当性を認証する(S34〜S38)。この場合、業務サーバ4が、位置履歴テーブル37を保持するものとする。
また、ワンタイムパスワードの取得処理(図5参照)で、ユーザは、パスワード要求指示を入力する際に、暗証番号を入力することとしてもよい。そして、携帯電話は、暗証番号を含むパスワード要求メッセージを送信し、認証サーバ3は、暗証番号テーブル(不図示)を参照し、暗証番号が一致した場合、ワンタイムパスワードを生成することとする。
1:携帯電話、11:指示受付部、12:位置情報取得部、13:パスワード要求送信部、14:表示部、2:端末、21:指示受付部、22:表示部、3:認証サーバ、31:受信部、32:パスワード生成部、33:パスワード送信部、34:認証部、35:携帯電話テーブル、36:ユーザ属性テーブル、37:位置履歴テーブル、4:業務サーバ、41:ログイン受付部、42:ログイン処理部、43:業務処理部、44:会員テーブル、5:基地局、6:ネットワーク
Claims (5)
- 認証サーバと複数の業務サーバとを有する認証システムであって、
前記認証サーバは、
前記認証システム内でユーザを識別するための第1のユーザIDと、各業務サーバ内でユーザを識別するための第2のユーザIDと、ワンタイムパスワードとを対応付けたユーザ属性テーブルと、
携帯電話IDを含むパスワード要求を携帯電話から受信し、当該受信した携帯電話IDに対応する第1のユーザIDを特定する受信手段と、
前記特定した第1のユーザIDのワンタイムパスワードを生成し、生成したワンタイムパスワードを前記ユーザ属性テーブルに記憶するパスワード生成手段と、
前記生成したワンタイムパスワードを前記携帯電話に送信するパスワード送信手段と、
各業務サーバから、第2のユーザIDおよびワンタイムパスワードを受信し、前記受信したワンタイムパスワードと、前記ユーザ属性テーブルに記憶された第2のユーザIDのワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に認証成功メッセージを前記業務サーバに送信する認証手段と、を有し、
各業務サーバは、
端末から、前記第2のユーザIDとワンタイムパスワードとを含むログイン要求を受信し、前記認証サーバに送信するログイン受付手段と、
前記認証サーバから前記認証成功メッセージを受信した場合、前記ログイン要求を許可するログイン処理手段と、を有し、
前記パスワード要求には、前記携帯電話の位置情報がさらに含まれ、
前記認証サーバは、
前記第1のユーザID毎に、過去にログインした際の前記携帯電話の位置情報が記憶された位置履歴テーブルを、さらに有し、
前記パスワード生成手段は、前記ユーザ属性テーブルに前記パスワード要求に含まれる位置情報を記憶し、
前記認証手段は、前記位置履歴テーブルの対応する過去の位置情報に基づいて、前記ユーザ属性テーブルに記憶された位置情報が正常か否かを判別し、正常な場合に認証成功メッセージを前記業務サーバに送信すること
を特徴とする認証システム。 - 請求項1記載の認証システムであって、
前記パスワード送信手段は、前記受信手段が前記パスワード要求を受信した通信経路とは異なるショートメッセージサービスまたは電子メールを用いて、前記生成したパスワードを前記携帯電話に送信すること
を特徴とする認証システム。 - 認証サーバと複数の業務サーバとを有する認証システムにおける前記認証サーバであって、
前記認証システム内でユーザを識別するための第1のユーザIDと、各業務サーバ内でユーザを識別するための第2のユーザIDと、ワンタイムパスワードとを対応付けたユーザ属性テーブルと、
携帯電話IDを含むパスワード要求を携帯電話から受信し、当該受信した携帯電話IDに対応する第1のユーザIDを特定する受信手段と、
前記特定した第1のユーザIDのワンタイムパスワードを生成し、生成したワンタイムパスワードを前記ユーザ属性テーブルに記憶するパスワード生成手段と、
前記生成したワンタイムパスワードを前記携帯電話に送信するパスワード送信手段と、
各業務サーバから、第2のユーザIDおよびワンタイムパスワードを受信し、前記受信したワンタイムパスワードと、前記ユーザ属性テーブルに記憶された第2のユーザIDのワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に認証成功メッセージを前記業務サーバに送信する認証手段と、を有し、
前記パスワード要求には、前記携帯電話の位置情報がさらに含まれ、
前記認証サーバは、
前記第1のユーザID毎に、過去にログインした際の前記携帯電話の位置情報が記憶された位置履歴テーブルを、さらに有し、
前記パスワード生成手段は、前記ユーザ属性テーブルに前記パスワード要求に含まれる位置情報を記憶し、
前記認証手段は、前記位置履歴テーブルの対応する過去の位置情報に基づいて、前記ユーザ属性テーブルに記憶された位置情報が正常か否かを判別し、正常な場合に認証成功メッセージを前記業務サーバに送信すること
を特徴とする認証サーバ。 - 認証サーバと複数の業務サーバとを有する認証システムの認証方法であって、
前記認証サーバは、
前記認証システム内でユーザを識別するための第1のユーザIDと、各業務サーバ内でユーザを識別するための第2のユーザIDと、ワンタイムパスワードとを対応付けたユーザ属性テーブルと、処理部とを有し、
前記処理部は、
携帯電話IDを含むパスワード要求を携帯電話から受信し、当該受信した携帯電話IDに対応する第1のユーザIDを特定する受信ステップと、
前記特定した第1のユーザIDのワンタイムパスワードを生成し、生成したワンタイムパスワードを前記ユーザ属性テーブルに記憶するパスワード生成ステップと、
前記生成したワンタイムパスワードを前記携帯電話に送信するパスワード送信ステップと、
各業務サーバから、第2のユーザIDおよびワンタイムパスワードを受信し、前記受信したワンタイムパスワードと、前記ユーザ属性テーブルに記憶された第2のユーザIDのワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に認証成功メッセージを前記業務サーバに送信する認証ステップと、を行い、
各業務サーバの処理部は、
端末から、前記第2のユーザIDとワンタイムパスワードとを含むログイン要求を受信し、前記認証サーバに送信するログイン受付ステップと、
前記認証サーバから前記認証成功メッセージを受信した場合、前記ログイン要求を許可するログイン処理ステップと、を行い、
前記パスワード要求には、前記携帯電話の位置情報がさらに含まれ、
前記認証サーバは、前記第1のユーザID毎に、過去にログインした際の前記携帯電話の位置情報が記憶された位置履歴テーブルを、さらに有し、
前記パスワード生成ステップは、前記ユーザ属性テーブルに前記パスワード要求に含まれる位置情報を記憶し、
前記認証ステップは、前記位置履歴テーブルの対応する過去の位置情報に基づいて、前記ユーザ属性テーブルに記憶された位置情報が正常か否かを判別し、正常な場合に認証成功メッセージを前記業務サーバに送信すること
を特徴とする認証方法。 - 認証サーバと複数の業務サーバとを有する認証システムにおける、前記認証サーバが実行する認証プログラムであって、
前記認証サーバは、前記認証システム内でユーザを識別するための第1のユーザIDと、前記業務サーバ内でユーザを識別するための第2のユーザIDと、ワンタイムパスワードとを対応付けたユーザ属性テーブルと、処理部とを有し、
前記処理部に、
携帯電話IDを含むパスワード要求を携帯電話から受信し、当該受信した携帯電話IDに対応する第1のユーザIDを特定する受信ステップと、
前記特定した第1のユーザIDのワンタイムパスワードを生成し、生成したワンタイムパスワードを前記ユーザ属性テーブルに記憶するパスワード生成ステップと、
前記生成したワンタイムパスワードを前記携帯電話に送信するパスワード送信ステップと、
各業務サーバから、第2のユーザIDおよびワンタイムパスワードを受信し、前記受信したワンタイムパスワードと、前記ユーザ属性テーブルに記憶された第2のユーザIDのワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に認証成功メッセージを前記業務サーバに送信する認証ステップと、を実行させ、
前記パスワード要求には、前記携帯電話の位置情報がさらに含まれ、
前記認証サーバは、前記第1のユーザID毎に、過去にログインした際の前記携帯電話の位置情報が記憶された位置履歴テーブルを、さらに有し、
前記パスワード生成ステップは、前記ユーザ属性テーブルに前記パスワード要求に含まれる位置情報を記憶し、
前記認証ステップは、前記位置履歴テーブルの対応する過去の位置情報に基づいて、前記ユーザ属性テーブルに記憶された位置情報が正常か否かを判別し、正常な場合に認証成功メッセージを前記業務サーバに送信すること
を特徴とする認証プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005241855A JP4755866B2 (ja) | 2005-08-23 | 2005-08-23 | 認証システム、認証サーバ、認証方法および認証プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005241855A JP4755866B2 (ja) | 2005-08-23 | 2005-08-23 | 認証システム、認証サーバ、認証方法および認証プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007058469A JP2007058469A (ja) | 2007-03-08 |
| JP4755866B2 true JP4755866B2 (ja) | 2011-08-24 |
Family
ID=37921932
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005241855A Expired - Fee Related JP4755866B2 (ja) | 2005-08-23 | 2005-08-23 | 認証システム、認証サーバ、認証方法および認証プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4755866B2 (ja) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4635182B2 (ja) * | 2005-09-16 | 2011-02-16 | 独立行政法人情報通信研究機構 | 無線通信システム |
| JP4960738B2 (ja) * | 2007-03-28 | 2012-06-27 | 株式会社野村総合研究所 | 認証システム、認証方法および認証プログラム |
| JP5175490B2 (ja) * | 2007-05-17 | 2013-04-03 | 株式会社野村総合研究所 | 認証装置、認証システム、認証方法および認証プログラム |
| KR100886410B1 (ko) | 2007-06-05 | 2009-03-02 | 주식회사 칼라짚미디어 | 시변코드를 이용한 인증 시스템 및 그 방법 |
| US8122251B2 (en) * | 2007-09-19 | 2012-02-21 | Alcatel Lucent | Method and apparatus for preventing phishing attacks |
| US9083680B2 (en) | 2008-01-18 | 2015-07-14 | Tekelec, Inc. | Systems, methods, and computer readable media for application-level authentication of messages in a telecommunications network |
| JP5385541B2 (ja) * | 2008-03-25 | 2014-01-08 | 株式会社野村総合研究所 | 通信システム、通信方法、認証装置、認証方法および認証プログラム |
| JP5317795B2 (ja) * | 2009-03-30 | 2013-10-16 | 株式会社野村総合研究所 | 認証システムおよび認証方法 |
| JP5397178B2 (ja) * | 2009-11-16 | 2014-01-22 | 日本電気株式会社 | 認証情報入力装置、認証情報入力方法および認証情報入力プログラム |
| JP5764501B2 (ja) * | 2010-01-08 | 2015-08-19 | 昇 菱沼 | 認証装置、認証方法、及び、プログラム |
| JP5462021B2 (ja) * | 2010-02-16 | 2014-04-02 | 株式会社野村総合研究所 | 認証システム、認証方法および認証プログラム |
| JP2014154131A (ja) * | 2013-02-14 | 2014-08-25 | Nec Commun Syst Ltd | 認証システムおよび認証方法 |
| US20140279538A1 (en) * | 2013-03-14 | 2014-09-18 | Telcom Ventures, Llc | Systems, methods, and devices for verifying a user identity and/or enabling/disabling an action, using a current and/or previous user location |
| JP6056970B2 (ja) * | 2013-06-28 | 2017-01-11 | 富士通株式会社 | 情報処理装置、端末機、情報処理システム及び情報処理方法 |
| KR20160061526A (ko) * | 2014-11-21 | 2016-06-01 | 주식회사 홍인터내셔날 | 로그인을 지원하는 다트 게임 서버, 다트 게임 장치 및 판독 가능한 매체에 기록된 컴퓨터 프로그램 |
| JP6962676B2 (ja) * | 2016-10-24 | 2021-11-05 | 富士通株式会社 | 認証関連情報の送信制御プログラム、認証関連情報の送信制御装置、および認証関連情報の送信制御方法 |
| KR102357149B1 (ko) * | 2020-05-12 | 2022-01-28 | 십일번가 주식회사 | 위치 기반 패스워드를 이용한 보안 서비스 시스템 및 방법, 그리고 이에 적용되는 인증 장치 및 컴퓨터 프로그램이 기록된 비휘발성 기록매체 |
| JP7179036B2 (ja) * | 2020-06-30 | 2022-11-28 | 楽天グループ株式会社 | 情報処理システム、方法及びプログラム |
| JP7403430B2 (ja) | 2020-11-09 | 2023-12-22 | Kddi株式会社 | 認証装置、認証方法及び認証プログラム |
| US11200306B1 (en) | 2021-02-25 | 2021-12-14 | Telcom Ventures, Llc | Methods, devices, and systems for authenticating user identity for location-based deliveries |
| JP7390435B2 (ja) * | 2021-06-21 | 2023-12-01 | 株式会社ラック | 認証システム、認証装置、認証方法およびプログラム |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002152195A (ja) * | 2000-11-10 | 2002-05-24 | Ntt Docomo Inc | 認証サーバ、認証方法及び記録媒体 |
| JP2004118456A (ja) * | 2002-09-25 | 2004-04-15 | Japan Science & Technology Corp | 位置情報を用いた移動端末の認証システム |
| JP2004240637A (ja) * | 2003-02-05 | 2004-08-26 | Toukei Computer Co Ltd | パスワード認証システム |
| JP2004258845A (ja) * | 2003-02-25 | 2004-09-16 | Ntt Data Systems Corp | 本人認証装置、行動記録方法、交通費精算方法 |
-
2005
- 2005-08-23 JP JP2005241855A patent/JP4755866B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007058469A (ja) | 2007-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4755866B2 (ja) | 認証システム、認証サーバ、認証方法および認証プログラム | |
| KR101019458B1 (ko) | 확장된 일회용 암호 방법 및 장치 | |
| JP4889395B2 (ja) | 認証システム、認証方法および認証プログラム | |
| JP4668734B2 (ja) | 認証装置、認証方法および認証プログラム | |
| JP5462021B2 (ja) | 認証システム、認証方法および認証プログラム | |
| KR20070108315A (ko) | 서명된 콜백 유알엘 메시지를 이용한 개인정보 공유 서비스제공 장치 및 방법 | |
| KR20130107188A (ko) | 사운드 코드를 이용한 인증 서버 및 인증방법 | |
| KR101025807B1 (ko) | 인증방법 및 인증서버 | |
| JP2007264835A (ja) | 認証方法およびシステム | |
| JP4960738B2 (ja) | 認証システム、認証方法および認証プログラム | |
| JP4824986B2 (ja) | 認証システム、認証方法および認証プログラム | |
| KR20120099782A (ko) | 본인 인증 방법, 본인 인증 시스템 및 휴대형 통신단말기 | |
| JP4334515B2 (ja) | サービス提供サーバ、認証サーバ、および認証システム | |
| WO2011083867A1 (ja) | 認証装置、認証方法、及び、プログラム | |
| KR101001400B1 (ko) | 온라인 상호 인증 방법 및 그 시스템 | |
| JP4913624B2 (ja) | 認証システムおよび認証方法 | |
| JPWO2010050192A1 (ja) | パスワード再発行方法 | |
| KR100563544B1 (ko) | 일회용 비밀번호를 이용한 사용자 인증 방법 | |
| JP2002251375A (ja) | 通信ネットワークにおけるユーザ認証サーバ、本人認証方法及びプログラム | |
| JP5317795B2 (ja) | 認証システムおよび認証方法 | |
| JP4914725B2 (ja) | 認証システム、認証プログラム | |
| KR101133167B1 (ko) | 보안이 강화된 사용자 인증 처리 방법 및 장치 | |
| US20150221172A1 (en) | Online Banking Through a Gaming Console | |
| KR101831381B1 (ko) | 메신저서비스를 이용한 스마트 로그인 방법 및 그 장치 | |
| KR101212510B1 (ko) | 위치기반의 서비스 보안 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080312 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110302 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110308 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110509 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110524 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110530 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140603 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4755866 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |