CN102804200B - 双因素用户认证系统及其方法 - Google Patents
双因素用户认证系统及其方法 Download PDFInfo
- Publication number
- CN102804200B CN102804200B CN201080065498.XA CN201080065498A CN102804200B CN 102804200 B CN102804200 B CN 102804200B CN 201080065498 A CN201080065498 A CN 201080065498A CN 102804200 B CN102804200 B CN 102804200B
- Authority
- CN
- China
- Prior art keywords
- user
- client
- authentication request
- schema elements
- identifying information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种双因素认证的矩阵认证系统,其减少认证信息泄漏的危险性。该双因素认证系统将通过应用于提示模式中所包含的特定的位置的元素而生成一次性密码的规则作为密码,并进一步用于认证用户使用的客户端的识别信息,认证服务器产生与客户端识别信息组合并将提示模式确定为唯一的值即模式种子值,并将其发送至认证请求客户端,认证请求客户端基于由此取得的客户端识别信息和接收到的模式种子值生成提示模式并显示,且接收用户基于该提示模式输入的一次性密码。
Description
技术领域
本发明涉及用户认证系统,更详细而言,涉及如下双因素用户认证系统,即,将排列在规定模式的多个模式元素在接受认证的用户的客户端装置中作为提示模式进行提示,将通过应用于该提示模式中含有的特定位置的模式元素而生成一次性密码的一次性密码导出规则作为该用户的密码,并将客户端装置的硬件等识别信息进一步用于认证。
背景技术
在用户认证系统中,作为具有比固定密码更高安全性的方式,为了用户认证,只可使用一次的一次性的密码即使用一次性密码的系统被更多使用。一次性密码中,具有:使用根据与认证服务器同步的一次性密码产生规则生成一次性密码的令牌的方式;由认证服务器对客户端发送每次变化的质询的值,客户端对其回复在规定的规则中应用密码的响应的,质询—响应方式等。令牌可以可靠地确定其当前具有的用户,但令牌需要携带,另外,在标识的费用及丢失标识时的安全性上存在问题。另一方面,在质询及响应方式中,虽然具有不需要使用令牌的便利,但使用类推容易的固定密码而产生一次性密码,因此,具有在密码输入时被偷看等安全性变弱的问题及需要导入用于使客户端产生响应的专用软件的问题。
近年来,作为改善这种现有的质询及响应方式的问题的方式,开发所谓的矩阵认证(注册商标)方式的用户认证系统。在矩阵认证中,向要接受认证的用户提示在规定模式中排列有随机数的矩阵状的提示模式,将通过应用于该提示模式中含有的模式元素(各个随机数的数字而生成一次性密码的一次性密码导出规则作为该用户的密码。然后,在服务器和客户端中共用相同的提示模式,通过比较客户端中将作为密码的一次性密码导出规则应用于提示模式中而得到的结果即一次性密码和服务器中将作为密码的一次性密码导出规则应用于提示模式中而得到的结果即验证码,不用直接比较密码,就可实施用户认证。在矩阵认证中,作为密码的一次性密码导出规则是矩阵中选择的元素位置和顺序,易于作为图像存储,还具有即使在密码输入时被偷看,也不能确定密码的特征。
另外,在矩阵认证中,还开发如下系统,即,通过使用与其它信息组合生成提示模式的模式种子值,即使模式种子值被恶意的第三者网络窃听等,也没有确定提示模式的系统(例如,专利文献1)。在该认证系统中,认证服务器生成可生成提示模式的模式种子值并将其发送至认证请求客户端,认证请求客户端使用模式种子值显示提示模式,将基于此输入的一次性密码送至认证服务器进行验证,由此,执行用户的认证。
现有技术文献
专利文献
专利文献1:日本特开2007-264839号公报
发明内容
本发明要解决的技术问题
但是,在现有的矩阵认证系统中,只能进行使用用户已知的用户密码的信息的一个因素的认证。目前,在用户密码泄露的情况下,不能防止使用其的非法认证,在安全性上存在限制。由此,为了进一步提高安全性,作为用于认证密码以外的信息的第二因素的双因素用户认证(Two-factoruser authentication)的必要性变高。即,要求将除了本人已知的信息即密码以外、代表拥有某设备的信息,及代表要接受认证的人为本人的信息等作为用于认证的新的因素。但是,作为认证所需要的信息,只追加密码以外的信息,该信息因网络窃听等可能泄露,因此,限制安全性的提高。当使用一次性密码令牌生成这种密码以外的信息时,能够防止网络窃听引起的泄漏,但花费导入专用的一次性密码令牌的成本及时间,另外,还产生在认证时必须携带一次性密码令牌的不便。
解决问题的手段
本发明是鉴于上述课题而研发的,其具有下面的特征。即,本发明提供一种双因素用户认证系统,将排列在规定模式的多个模式元素作为提示模式向接受认证的用户进行提示,将通过应用于该提示模式中含有的特定位置的模式元素而生成一次性密码的一次性密码导出规则作为该用户的密码,并进一步用于所述认证的所述用户使用的识别所述客户端的信息,该双因素用户认证系统具有认证服务器和认证请求客户端,认证服务器使用户的用户ID、一次性密码导出规则以及识别该用户使用的认证请求客户端的客户端识别信息彼此相关联地预先进行存储,使与客户端识别信息组合将提示模式确定为唯一的值即模式种子值,通过规定的产生规则产生并发送至认证请求客户端,认证请求客户端取得识别要接受认证的用户使用的认证请求客户端的客户端识别信息,基于取得的客户端识别信息和接收的模式种子值,通过规定的模式元素串生成规则,生成提示模式并使之显示,用户接收在提示模式中含有的模式元素内应用一次性密码导出规则而得到的结果即一次性密码的输入并发送至认证服务器,认证服务器基于与接收的用户ID相关的客户端识别信息及发送的模式种子值,生成在通过规定的模式元素串生成规则生成的模式元素串构成的提示模式中含有的模式元素内应用该用户ID相关的一次性密码导出规则而得到的结果即验证码,通过比较接收的一次性密码和验证码,执行用户的认证。
本发明可以在基于模式种子值生成提示模式时,以基于多个客户端识别信息生成提示模式的方式构成。
本发明可以在基于模式种子值生成提示模式时,以增加客户端识别信息并组合用户的用户ID的方式构成。
作为本发明的客户端识别信息,可以以取得认证请求客户端的硬件中内置的识别信息的方式构成。
作为本发明的客户端识别信息,可以以通过认证请求客户端的接口取得外部设备的识别信息的方式构成。
作为本发明的客户端识别信息,可以以取得认证请求客户端的操作系统的ID信息的方式构成。
作为本发明的客户端识别信息,可以以取得设定认证请求客户端的网络的地址信息的方式构成。
作为本发明的客户端识别信息,可以以取得要接受认证的用户的生物识别信息的方式构成。
在所述或权利要求中记载的发明中,服务器、客户端等用语不是限定装置的具体的方式及具体的称呼,而是用于代表具备其通常功能的装置。一个组件具有的功能也可以利用两个以上的物理构成实现,两个以上的组件具有的功能也可以利用一个物理构成实现。系统的发明也可以作为逐次执行各自的组件具有的功能的方法的发明而掌握,反之,也成立。在方法的发明中,各步骤不限定于按照记载的顺序执行,作为整体的功能只要可以无矛盾地执行,就能够以任意的顺序执行各步骤。这些发明作为与规定的硬件合作实现规定的功能的程序也成立,作为记录其的记录介质也成立。
发明效果
本发明是如下双因素用户认证系统,即,向接受认证的用户提示所述提示模式,将通过应用于该提示模式中含有的特定位置的元素而生成一次性密码的一次性密码导出规则作为密码,并进一步用于认证用户使用的识别客户端的信息,
认证服务器产生与识别用户使用的认证请求客户端的客户端识别信息组合而使提示模式确定为唯一的值即模式种子值,并将该值发送至认证请求客户端,认证请求客户端取得识别要接受认证的用户使用的认证请求客户端的客户端识别信息,基于取得的客户端识别信息和接收的模式种子值,通过规定的模式元素串生成规则,生成提示模式并使之显示,接收来自用户一次性密码的输入并发送至认证服务器,认证服务器再现提示模式并生成验证码,比较验证码和一次性密码,执行用户认证,因此,增加用户已知的用户密码的信息,能够用于认证客户端识别信息的第二因素,因此,物理性地拥有输出客户端识别信息的设备能够实现认证时作为用于追加的验证的条件的双因素认证。另外,在认证时不会对客户端识别信息本身进行验证,因此,即使认证时一次性密码被网络窃听,结果也不会泄露客户端识别信息。因此,即使在认证时一次性密码被网络窃听的情况下,也不可能推定提示模式及一次性密码的生成规则,具有很强的安全性。由于可以使用广泛的包含离线认证请求客户端本身的设备,作为输出客户端识别信息的设备,因此,可以最少地降低导入成本及时间,还可以最少地减轻携带输出客户端识别信息的设备的负担。
另外,本发明可以在基于模式种子值生成模式种子值时,以基于多个客户端识别信息生成提示模式的方式构成,因此,可以将用于认证的因素数实质性地扩张为三因素以上的多因素,得到更强的安全性。
另外,本发明可以在基于模式种子值生成模式种子值时,以增加客户端识别信息并组合用户的用户ID的方式构成,因此,即使在模式种子值被网络窃听的情况下,也更难以由模式种子值推定提示模式,具有更强的安全性。
另外,作为本发明的客户端识别信息,可以以取得认证请求客户端的硬件中内置的识别信息、认证请求客户端的操作系统的ID信息、设定认证请求客户端的网络地址信息等的方式构成,因此,基于物理性地拥有认证请求客户端,成为信息认证时用于追加的验证的条件,安全性提高。另外,作为本发明的客户端识别信息,可以以通过认证请求客户端的接口取得外部设备的识别信息的方式构成,因此,物理性地拥有该外部设备成为认证时用于追加的验证的条件,安全性提高。另外,作为本发明的客户端识别信息,可以以取得要接受认证的用户的生物识别信息的方式构成,因此,代表本人的生物信息成为认证时用于追加的验证的条件,安全性提高。
附图说明
图1是本发明一实施方式的双因素用户认证系统100的硬件构成图;
图2是本发明一实施方式的双因素用户认证系统100的框图;
图3是本发明一实施方式的双因素用户认证系统100的动作流程图;
图4是本发明一实施方式的双因素用户认证系统100的动作流程图,是图3表示的动作流程的接续;
图5是本发明一实施方式的双因素用户认证系统100的提示模式的生成方法的概念图;
图6是矩阵认证方式中的一次性密码导出规则的概念图;
图7是矩阵认证方式中的一次性密码输入方法的概念图;
图8是双因素用户认证系统100的Windows登录认证画面的效果图。
具体实施方式
以下对发明的实施方式进行说明。首先,对矩阵认证中所特有的技术进行说明。矩阵认证如下,将排列成规定模式的多个模式元素(模式元素串190)作为提示模式191在接受认证的用户使用的客户端装置中进行提示,将通过应用于该提示模式191中含有的特定位置的模式元素而生成一次性密码的一次性密码导出规则102b作为该用户的密码。
[提示模式和模式元素]
提示模式191是在规定模式中排列模式元素的模式。作为规定模式,典型的是在纵m个×横n个的各自的位置以整体形成方形的方式配置的矩阵,且并排多个这种矩阵的模式等,除此之外,还可以设为任意图形的形状。在本说明书中,即使使用这种典型的矩阵形状以外的形状的提示模式的情况下,也称为矩阵认证方式。作为规定模式,规则的形状及有印象的形状是易于留在用户的记忆中的,因此,适用于用户方便记忆作为密码的一次性密码导出规则102b。
模式元素是在提示模式内以构成规定模式的方式配置于规定位置的元素,适于0~9的个位数字,但除此之外,还可以设为字母、符号等任意的元素。另外,作为符号,PC标准的键盘中所分配的“+”、“-”、“*”、“=”、“_”、“!”、“?”、“#”、“$”、“&”等符号特别适合。作为元素,也可以使用图形、插图、照片等模式。优选相同的模式元素在提示模式内显示多个。像这样做的话,密码即一次性密码导出规则102b和在提示模式中应用一次性密码导出规则102b而得到的结果即一次性密码192成为多对一一对应,在输入一次性密码192时,自动进行散列化。即,在输入一次性密码192时,自动进行与散列函数运算相同的处理,因此,即使一个一次性密码192只确定提示模式,也不能确定一次性密码导出规则102b。
在本实施例中,图7等所示那样的将0~9的个位数字作为模式元素,将在由4个4×4的矩阵构成的规定模式191p中排列各模式元素的模式设为提示模式191。另外,在如手机等画面面积小的情况下,适于使用将4×4的矩阵数减少为3个等等的提示模式。
[模式元素串]
模式元素串190是为了生成提示模式191而表示在规定模式191p配置的元素内容的数据,典型的是依次并排包含于该提示模式191的全部模式元素。模式元素串190在生成提示模式191之前生成。另外,模式元素串190不是必须为依次并排模式元素的一个字符串,意思是含有一个提示模式191中所包含的全部模式元素的信息的数据。因此,只要模式元素串190中所包含的每个模式元素与提示模式内的每个位置相对应,则模式元素串190中所包含的模式元素的顺序就是任意的。另外,模式元素串190也可以分割为多个数据。本发明相关联的用户认证系统100大体上包括:认证服务器101,其进行用户的认证;认证请求客户端151,其利用网络与该认证服务器连接,是用户要求认证的终端。在用户认证系统100中,模式元素串190在认证请求客户端151的内部生成,在该模式元素串190中用于生成提示模式191,但模式元素串190不会以这样的形态通过网络而发送至认证服务器101。
[一次性密码导出规则]
一次性密码导出规则102b是通过对提示模式191中所含有的特定位置的模式元素进行应用而用于生成一次性密码192的规则,是作为用户密码而发挥作用的数据。对于模式元素适用的规则,典型的是以哪种顺序选择哪个位置的模式元素。该情况下,一次性密码导出规则102b是组合提示模式191中所包含的选择的模式元素的每个位置和选择该每个模式元素的顺序的信息。另外,一次性密码导出规则102b也可以包含不基于提示模式191而输入的固定的数字等元素的信息,该情况下,一次性密码导出规则102b是组合不基于提示模式191中所包含的选择的模式元素的每个位置及该提示模式191输入的固定的每个字符与选择或输入该每个模式元素的位置及该每个字符的顺序的信息。
图6表示典型性的一次性密码导出规则102b的构造。在本实施例中,将0~9的个位数字作为模式元素,并举例说明与提示模式191相对的一次性密码导出规则102b,提示模式191如下,在由4个4×4的矩阵构成的规定模式191p的每个元素位置上配置每个模式元素。图6中,规定模式191p的各元素的位置利用01~64的数字区别显示。对要接受认证的用户显示提示模式191时,在规定模式191p的各元素的位置上显示0~9的个位数字。
输入的一次性密码192优选使用基于提示模式191的数字和不是基于提示模式191而输入的固定数字。提示模式191中所含有的模式元素数为64个,因此,利用在各位置上分配的01~64的两位数字表示选择的提示模式191中所含有的模式元素的各位置。而且,对于不基于提示模式191而输入的固定数字,最初分配表示这种固定的数字的“9”数字,然后,分配输入的个位的数字,并利用两位数字表示。在图6的例子中,一次性密码192最初的4个数字是通过选择提示模式191的特定位置的模式元素而输入的。作为与一次性密码导出规则102b等对应的部分,将表示这些位置的数字即“01”、“16”、“29”、“20”按顺序配置。选择的模式元素利用键盘196等输入。一次性密码192的接下来的两个数字不基于提示模式191而用键盘196等输入的。作为与一次性密码导出规则102b等对应的部分,在表示直接输入的“9”数字的后面,分别添加了作为输入的数字的“2”及“9”的“92”、“99”并继续按照其顺序配置。一次性密码192的接下来的最后一个数字是通过选择提示模式191的特定位置的模式元素而输入的。作为与一次性密码导出规则102b等对应的部分,接着配置表示这些位置的数字即“33”,在此,一次性密码导出规则102b结束。也可以在一次性密码导出规则102b的最后进一步添加将其结束点特定为唯一的结束标志、例如“00”等数字,或也可以进一步添加与其有关的表示一次性密码导出规则102b的整体长度的数值。
[模式种子值]
模式种子值183是根据规定的变化规则而变换,从而将一个提示模式191中所包含的模式元素确定为唯一的值。模式种子值183其本身根据规定的产生规则在规定的范围内产生。如后述,本发明的模式种子值183在应用规定的变换规则而生成包含于一个提示模式191的模式元素时,还与其它因素信息组合的这一点是重要特征。
认证服务器101为了验证被认证请求客户端151输入的一次性密码是否正确,需要知道在认证请求客户端151中显示的提示模式191。但是,提示模式191由认证服务器101直接发送给认证请求客户端151时,因网络窃听等被恶意的第三者取得提示模式191时,可能推测出密码。另一方面,如果在认证服务器101和认证请求客户端151之间不共用提示模式191,则不能在认证服务器101进行对一次性密码192的验证。模式种子值183是为了解决这种矛盾的需求的值,通过应用规定的变换规则,将提示模式191确定为唯一,但模式元素串190其本身不是信息。从认证服务器101到认证请求客户端151,不会发送模式元素串190其本身,替而代之,发送模式种子值183。认证请求客户端151通过在从认证服务器101接收的模式种子值183中应用规定的变换规则,能够生成提示模式191。规定的变换规则可认为是例如散列函数运算等。这样,模式元素串190其本身不会在网络上传播,因此,通过使用模式种子值183,安全性提高。
而且,在本发明中,模式种子值183在根据规定的变换规则生成包含于一个提示模式191的模式元素时,还与其它的因素信息组合。作为其它的因素信息,可使用要接受认证的用户使用的识别认证请求客户端151的客户端识别信息102c。由此,拥有输出客户端识别信息102c的设备成为信息认证时用于追加的验证的条件,安全性提高。模式种子值183与客户端识别信息102c组合并将包含于一个提示模式191的模式元素确定为唯一。由此,提示模式191成为不仅编入模式种子值183,还编入客户端识别信息102c的信息的模式,因此,可以验证是否是基于使用了一次性密码192正确的客户端识别信息102c的提示模式191输入的信息。而且,在本发明中,通过使用识别认证请求客户端151的客户端识别信息102c对提示模式191进行扰乱,在提示模式191中也编入客户端识别信息102c的信息。而且,一次性密码192是在如此生成的提示模式191中应用了用户有关的一次性密码导出规则102b的密码。这样,在本发明中,一次性密码192包含规定基于两个因素的认证成否的信息,该两个因素为:是否是被基于正确的一次性密码导出规则102b的正确的用户输入的密码;是否是从具有正确的用户具有的正确的客户端识别信息102c的认证请求客户端151输入的密码。这样,能够进行双因素认证,因此,安全性显著提高。
另外,在本发明中,主要特征在于,虽然使用了客户端识别信息102c的第二因素的认证,但在用户认证时,不是验证客户端识别信息102c本身的认证。即,即使认证时的一次性密码被网络窃听,客户端识别信息也不会泄露。因此,即使在认证时的一次性密码被网络窃听的情况下,也不可能推定提示模式及一次性密码的生成规则,具有很强的安全性。由此,不会产生第二因素即客户端识别信息102c泄露的可能性,作为为了认证该第二因素所使用的因素可以进行追加。
另外,在生成提示模式191时,也可以同时使用多个客户端识别信息102c。这种情况下,通过组合这些多个客户端识别信息102c和模式种子值183,确定包含于提示模式191的模式元素。如果这些多个客户端识别信息102c来自于不同的来源,则即使这些多个客户端识别信息102c是与同一认证请求客户端151有关的信息,通过将用于认证的因素数实质性地扩展为三因素以上的多因素,可具有更强的安全性。
另外,在生成提示模式191时,进一步使用其它信息对提示模式191进一步扰乱也是有用的。作为这种其它的信息,可以使用例如用户ID102a。这种情况下,模式种子值183与用户ID102a及客户端识别信息102c组合,将包含于一个提示模式191的模式元素确定为唯一。用户ID102a为来源于用户的信息,因此,这种处理不能说是增加用于认证的因素的处理。但是,为了由模式种子值183生成提示模式191,需要进一步使用用户ID102a的运算,因此,从一次性密码192类推提示模式191变得更加困难。因此,为了生成提示模式191通过进一步使用用户ID102a,能够进一步提高安全性。
模式种子值183是典型的通过随机数产生算法产生的规定范围内的数值。模式种子值183只要是规定范围内的数值,则也可以由除了随机数产生算法以外的产生规则、例如每个来自规定的初始值的规定值的递增或递减计数产生。
[一次性密码]
一次性密码192是要接受认证的用户通过对提示模式191应用本身的一次性密码导出规则102b而被生成-输入的一次性的密码。图7是矩阵认证方式的一次性密码输入方法的概念图。用户通过对提示模式191应用一次性密码导出规则102b,顺次提取显示于矩阵上的规定位置的数字,生成一次性密码192,并将其输入认证请求客户端151。另外,也可以包含不基于提示模式191的固定数字进行输入。即,也可以在一次性密码中包含固定密码。图7中用虚线表示的箭头和圆表示用键盘196输入基于提示模式191的一次性密码。在图7的例子中,基于提示模式191输入“2504”,然后,输入“29”作为不基于提示模式191的固定数字,接着,基于提示模式191输入“0”,由此,输入“2504290”作为一次性密码192。
[本发明相关的用户认证方法]
现在参照附图,进行本发明实施方式相关的用户认证系统100的说明,图1是硬件构成图,图2是框图,图3及4是动作流程图。首先,对本发明相关的用户认证方法的概要进行说明。如上述,本发明相关的用户认证方法是作为质询及响应方式的认证方法的一种的矩阵认证。在本发明相关的用户认证方法中,将在规定模式中排列的多个模式元素(相当于质询码)作为提示模式191,向在认证请求客户端151中接受认证的用户进行提示,通过用户对包含于该提示模式191的特定位置的模式元素进行应用,将用于生成一次性密码192(相当于响应)的一次性密码导出规则102b作为该用户的密码。在认证请求客户端151中生成向用户提示的提示模式191时,使用的信息即模式种子值183在认证服务器101中生成,并被发送至认证请求客户端151。提示模式191基于模式种子值183和客户端识别信息102c生成。在认证请求客户端151中,用户基于提示模式191输入的一次性密码192被从认证请求客户端151发送至认证服务器101。认证服务器101基于该用户的用户ID有关的客户端识别信息102c和发送的模式种子值183,将提示模式进行再现,对提示模式应用该用户的密码即一次性密码导出规则102b,从而,生成验证码193。然后,认证服务器101比较从认证请求客户端151发送的一次性密码192和验证码193,如果它们相同,则判定为对该用户的认证成功,开始进行认证成功时的规定动作。
[双因素用户认证系统100的硬件构成]
接着,进行双因素用户认证系统100的构成说明。图1是本发明相关一实施方式的双因素用户认证系统100的硬件构成图。参照图1,用户认证系统100大体上由认证服务器101和认证请求客户端151构成。认证服务器101包括:CPU101a、RAM101b、存储装置101c、用户接口(I/F)101d、网络接口(I/F)101e,通过总线将它们连接。在存储装置101c的存储区域存储操作系统101c1、用户认证应用程序101c2,在该存储区域还含有密码存储部102。密码存储部102使用户ID102a、一次性密码导出规则102b以及客户端识别信息102c彼此相关联地进行存储。认证请求客户端151由CPU151a、RAM151b、存储装置151c、用户接口(I/F)151d、网络接口(I/F)151e构成,并通过总线将它们连接。在存储装置151c的存储区域存储操作系统151c1、浏览器应用程序151c2、提示模式生成模块151c3、客户端识别信息取得模块151c4。
在双因素用户认证系统100中,认证服务器101是响应来自认证请求客户端151的用户认证请求,进行用户认证的组件。认证服务器101是作为安装有操作系统101c1、用户认证应用程序101c2等的服务器的计算机等形态。另外,认证服务器101也可以作为提供用于在SSL-VPN网关那样的因特网上提供虚拟专用线网络的网关装置等的用户认证的硬件形态。CPU101a是进行在操作系统101c1上执行用户认证应用程序101c2等用户认证有关的信息处理的处理器。RAM101b是提供在存储于存储装置101c的软件上读入的内存空间和在利用CPU101a执行读入的软件时所需要的工作区等的内存。存储装置101c是存储及管理软件或数据等信息的组件,典型的是硬盘驱动器等形态。存储装置101c优选存储操作系统101c1、用户认证应用程序101c2的程序的文件,这些程序在RAM101b上读出执行。存储装置101c也可以是涉及操作系统101c1、用户认证应用程序101c2的程序,并将其存储在ROM的形态。这种情况下,这样的ROM与CPU101a等程序执行因素共同构成固件。用户I/F101d是用于在与用户之间进行数据的输入输出的组件,典型性的是由键盘196、软件键盘等键输入装置以及在画面中显示信息的显示器等输出装置以及在它们之间的硬件I/F构成。键盘196为数字键盘、标准全键盘等,只要可输入构成一次性密码的模式元素,就可以使用任意形态的键盘。软件键盘通过使键盘的符号显示于显示器的画面上,使用触摸面板、鼠标、径迹球等定点设备选择键符号,接收键输入。网络I/F101e是与网络连接并用于进行信息的输入输出的I/F。
操作系统101c1、用户认证应用程序101c2也可以成为如下形态,即,将它们组合,在形式上形成一体的程序。例如,操作系统101c1也可以包含用户认证应用程序101c2的功能。另外,用户认证应用程序101c2也可以编入其它的应用程序。另外,操作系统101c1、用户认证应用程序101c2也可以分别分割为多个程序。
认证服务器101和认证请求客户端151利用网络连接。网络优选为按照TCP/IP基本协议进行动作的因特网或内部网。在内部网中,在认证请求客户端151在客户端用Windows(注册商标。下面,相同)操作系统中进行动作的情况下,网络可以是按照TCP/IP基本协议进行动作的Windows的网络域。另外,在本说明书中,示例Windows作为操作系统进行说明,但也可以使用其它的操作系统、例如Mac操作系统(注册商标)、Linux(注册商标)、Unix(注册商标)等。
本发明的认证方法可以用至少以下的两个利用形态进行实施。一个利用形态是进行接受Web服务的提供时的认证。例如,在网络上的Web服务连接认证请求客户端151的状态下,通过Web浏览器等使用Web上的内容、SSL-VPN服务、应用程序时,用于对该用户的使用许可的认证。这种情况下,认证服务器101典型的是如下形态,即,配置于因特网或内部网等网络上,通过该网络对存取的认证请求客户端151提供用于用户认证的Web网页,并通过Web网页进行用于用户认证的数据的发送接收的Web服务器;或者与RADIUS服务器联合,向实施认证及计费管理的SSL-VPN网关那样的因特网上提供虚拟专用线网络的装置。
另一个利用形态是进行与操作系统中管理的网络环境连接时的认证。例如,是如下形态,即,用户使用认证请求客户端151连接作为认证服务器101和相同的Windows网络域中恰当的网络用户时,该用户对该网络的登录认证。这种情况下,认证服务器101典型的是,向网络上提供用于认证的资源,由此,响应对使用来自用户的认证请求客户端151的Windows的网络域的登录认证请求,执行用户认证,并将该认证结果传送至管理该Windows的网络域的网络用户的权限的域控制器。
操作系统101c1是在认证服务器101的硬件上进行密切的基本的信息处理的操作系统。用户认证应用程序101c2是用于在操作系统101c1上进行动作的用户认证的应用程序软件。在认证服务器101为Web服务器的形态的情况下,用户认证应用程序101c2典型的是,具备以CGI调出的方式或Servlet程序的形态的认证程序,向因特网或内部网的Web上提供用于认证的Web网页或资源的Web服务器程序。密码存储部102典型的是硬盘驱动器等的一个区域,优选数据作为加密文件存储于密码存储部102。用户ID102a是用于唯一识别用户的数据。用户ID102a可以使用任意的符号串。如上述,一次性密码导出规则102b是用于通过对包含于提示模式的特定位置的模式元素进行应用,而生成一次性密码的规则,是作为用户密码发挥作用的数据。客户端识别信息102c是要接受认证的用户使用的用于识别认证请求客户端151的数据,是在生成提示模式时与模式种子值组合使用的数据。
在双因素用户认证系统100中,认证请求客户端151是用户对认证服务器101要求认证的组件,是安装有操作系统151c1、浏览器应用程序151c2、提示模式生成模块151c3、客户端识别信息取得模块151c4等的终端,具体而言,为PC、手机、PDA等形态。CPU151a是在操作系统151c1上执行浏览器应用程序151c2、提示模式生成模块151c3以及客户端识别信息取得模块151c4等,进行用户认证请求有关的信息处理的处理器。RAM151b是提供在其上读入存储于存储装置151c的软件的内存空间和由CPU151a执行读入的软件时所需要的工作区等的内存。存储装置151c是存储及管理软件、数据等信息的组件,典型的是硬盘驱动器等形态。存储装置151c优选存储操作系统151c1、浏览器应用程序151c2、提示模式生成模块151c3以及客户端识别信息取得模块151c4的程序的文件,这些程序在RAM151b上读出执行。另外,存储装置151c也可以是涉及操作系统151c1、浏览器应用程序151c2、提示模式生成模块151c3、客户端识别信息取得模块151c4,并将该程序存储在ROM的形态。这种情况下,这样的ROM与CPU151a等程序执行因素同时构成固件。用户I/F151d为用于在用户之间进行数据的输入输出的组件,典型的形态未进行图示,但其包括:键盘196或软件键盘等键输入装置;在画面上显示信息的显示器等输出装置;它们之间的硬件I/F。外部/网络I/F151e是搭载有外部通信接口的外部设备或与网络连接用于进行信息的输入输出的I/F。通过外部/网络I/F151e,能够从搭载外部通信接口的外部设备取得客户端识别信息。另外,通过外部/网络I/F151e,经由网络能够与认证服务器101连接。作为外部通信接口,能够使用USB、蓝牙(注册商标)、无线LAN、红外线通信、Felica(注册商标)及RFID的非接触通信等各种通信接口。作为连接的外部设备,能够使用USB存储器、无线通信用数据卡(USB连接、PC卡连接、Express Card连接等)、Felica及RFID等IC卡、手机、生物认证信息(指纹、虹膜、静脉等)读取机等。
另外,认证请求客户端151与客户端识别信息存储部172连接,该客户端识别信息存储部172存储用户使用的认证请求客户端151有关的客户端识别信息102c。另外,本发明的认证请求客户端151只要能够取得客户端识别信息102c即可,不需要具备客户端识别信息存储部172。虽然客户端识别信息存储部172也可以与认证请求客户端151存在于相同框体内,但如果本发明的认证请求客户端151可利用任何装置取得客户端识别信息102c,就足够了,将这种客户端识别信息存储部172作为必须构成是不包含的概念。
作为客户端识别信息102c,可以使用如下信息,即,内置于用户使用的认证请求客户端151的硬件的信息(硬件相关信息);在用户使用的认证请求客户端151的软件中附带的信息(软件相关信息);从与用户使用的认证请求客户端151连接的外部设备取得的信息(外部设备相关信息);从内置或连接用户使用的认证请求客户端151的生物认证信息读取器取得的用户生物信息(生物认证信息)等。
关于硬件相关信息,可以将CPU等硬件组件序列号、网络接口卡的MAC地址、硬盘的序列号等作为客户端识别信息102c使用。这种情况下,客户端识别信息存储部172变成CPU等硬件组件内的序列号ID的记录区域、网络接口卡的MAC地址的存储区域、硬盘序列号的存储区域等。通过对硬件进行适当的读出操作,利用总线从存储其的硬件取得硬件相关信息。
关于软件相关信息,可以将Windows(注册商标)操作系统的GUID(Globally Unique IDentifier)、产品ID、程序密钥、TCP/IP网络的IP地址等作为客户端识别信息102c使用。这种情况下,客户端识别信息存储部172变成存储Windows(注册商标)操作系统的GUID的信息的硬盘上的文件及内存上的区域;存储Windows操作系统的产品ID和程序密钥的信息的硬盘上的文件及内存上的区域;存储TCP/IP网络的IP地址的设定信息的硬盘上的文件及内存上的区域等。通过使用操作系统的指令,从存储其的硬件上的硬盘上的文件及内存上的区域取得软件相关信息。
关于外部设备相关信息,可以将USB存储器的序列号、无线通信用数据卡、手机的序列号、合同人ID、电话号码、蓝牙、无线LAN搭载各种设备的序列号、Felica及RFID等IC卡的ID号码(序列号)等作为客户端识别信息102c使用。这种情况下,客户端识别信息存储部172变成USB存储器的序列号的存储区域;无线通信用数据卡、手机的序列号、合同人号码、电话号码的存储区域;蓝牙、无线LAN搭载各种设备的序列号的存储区域;Felica及RFID等IC卡的ID号码(序列号)的存储区域等。通过对该外部设备发送适当的读出指令,通过外部/网络I/F 151e从存储其的外部设备取得外部设备相关信息。
关于生物认证信息,可以将通过利用生物认证信息读取机读取指纹、虹膜、静脉等适于确认本人的规定的生物模式而输出的生物认证信息作为客户端识别信息102c使用。这种情况下,客户端识别信息存储部172变成读取用户规定的生物模式并输出生物认证信息时生物认证信息读取机中的信息处理装置。即,将固定的用户规定的生物模式变换为生物认证信息相当于从客户端识别信息存储部172读出客户端识别信息102c。由对生物认证信息读取机发送适当的读取指令,通过总线(生物认证信息读取机内置的情况下)或外部/网络I/F 151e(生物认证信息读取机与外部连接的情况下)从读取用户规定的生物模式的生物认证信息读取机取得生物认证信息。
操作系统151c1、浏览器应用程序151c2、提示模式生成模块151c3、客户端识别信息取得模块151c4也可以变成如下形态,即,将它们的一部分或全部组合,在形式上形成一体的程序。例如,浏览器应用程序151c2也可以包含提示模式生成模块151c3及客户端识别信息取得模块151c4的功能,操作系统151c1也可以包含浏览器应用程序151c2、提示模式生成模块151c3及客户端识别信息取得模块151c4的功能。另外,它们也可以编入其它的应用程序。另外,它们也可以分别分割为多个程序。
操作系统151c1是在认证请求客户端151的硬件上进行密接的基本的信息处理的操作系统即与认证请求客户端151的硬件对应的基本程序。操作系统151c1也可以是以平台为基准的结构固件的形态。浏览器应用程序151c2是如下软件:在操作系统151c1上动作;访问由网络提供的信息并使其显示;并进一步用于实现接收来自用户的数据输入的浏览器的功能,典型的是用于在因特网或内部网上的Web网页上存取的Web浏览器应用程序的形态。另外,浏览器应用程序151c2不限定于Web浏览器应用程序,任何能够访问由服务器向网络提供的用于认证用户的画面的应用程序都可以。浏览器应用程序151c2也可以是其它应用程序实施认证时提供用于画面表示的API的平台为基准的结构固件的形态。提示模式生成模块151c3是编入执行浏览器应用程序151c2并用于生成提示模式且在浏览器显示的程序,在认证请求客户端151为PC的情况下,典型的是Java(注册商标)Applet、Active X(注册商标)、Flash(注册商标)等形态。即使在认证请求客户端151为手机、PDA等情况下,估计在不远的将来也可以在浏览器应用程序151c2中编入模块,提示模式生成模块151c3作为这样的模块的形态发挥作用。提示模式生成模块151c3也可以是以提供用于其它应用程序实施认证的API的平台为基准的结构固件的形态。客户端识别信息取得模块151c4是用于从在浏览器应用程序151c2编入执行的用户使用的认证请求客户端151取得客户端识别信息102c的程序,即是与提示模式生成模块151c3相同的形态的模块。
在认证服务器101实施对Windows的网络域登录认证的情况下,用于认证的浏览器应用程序151c2及提示模式生成模块151c3编入作为客户端用Windows操作系统的操作系统151c1,在对认证请求客户端151的Windows网络域的登录认证画面中显示提示模式191,对用户要求进行基于本发明相关的认证方法的认证手续。
标准Windows的登录认证画面的变更,具体而言如下进行实施。在此,以Windows XP为例子进行说明。首先,将实施浏览器应用程序151c2、提示模式生成模块151c3及客户端识别信息取得模块151c4的功能的程序即注册认证模块作为Windows用的DLL文件进行制作。在此,制作名字为“SmxGina.dll”的DLL文件。在此,Windows的登录认证画面的程序在下面表示的注册表的位置中作为名字为“GinaDLL”的的键值数据被指定。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
标准的登录认证的模块为“msgina.dll”的DLL文件,其被设定为上述的“GinaDLL”的标识符的键值数据。将该键值数据改写为“SmxGina.dll”时,实施本发明相关的认证方法的登录认证模块在登录等认证时被调用。
图8是双因素用户认证系统100的登录认证画面197A及197B的效果图。通过在Windows的登录时启动登录认证模块“SmxGinaDLL”,首先显示登录认证画面197A。在登录认证画面197A中显示用户名输入字段、注册地址输入字段。通过在注册地址输入网络名进行联机使用,因此能够进行对Windows的网络域的登录认证。用户将自己的用户ID作为输入用户ID181输入登录认证画面197A的用户名输入字段时,该认证模块向认证服务器101传送输入用户ID181并基于输入用户ID181生成提示模式191。然后,显示包含提示模式191的登录认证画面197B。在登录认证画面197B中有密码输入字段,作为一次性密码,利用键盘196等输入数字等字符时,与之对应,逐一显示为“*”。一次性密码192的输入结束时,该认证模块向认证服务器101传送一次性密码192并执行用户认证,并将该认证结果传送到域控制器。
[双因素用户认证系统100的功能块构成]
图2是本发明的一个实施形态相关的双因素用户认证系统100的框图。图2是从合作实施软件和硬件资源的信息处理的观点表示图1所示的硬件构成的双因素用户认证系统100的图,即以功能块的单位表示该信息处理的图。在图2中,认证服务器101由密码存储部102、认证请求接收装置103、验证码生成装置106、一次性密码接收装置121、用户认证装置122、模式种子值产生装置104、模式种子值发送装置105构成。这些功能块是由用户认证应用程序101c2的必要部分与操作系统101c1的必要部分同时从存储装置101c读入到RAM101b上,通过利用CPU101a执行这些软件,RAM101b、存储装置101c、用户I/F101d、网络I/F101e等硬件因素一起适当合作来实现的。
密码存储部102是涉及每个用户,使用户ID102a、该用户的密码导出规则即一次性密码导出规则102b以及客户端识别信息102c彼此相关联并预先存储的组件,是通过与CPU101a、RAM101b、存储装置101c等软件合作而实现的功能块。认证请求接收装置103是从认证请求客户端151接收包含在此输入的输入用户ID181的认证请求的组件,是通过与CPU101a、RAM101b、网络I/F101e等软件合作而实现的功能块。模式种子值产生装置104是通过规定的产生规则产生与客户端识别信息102c一起规定提示模式的值即模式种子值183的组件。是通过与CPU101a、RAM101b等软件合作而实现的功能块。模式种子值发送装置105是向认证请求客户端151发送产生的模式种子值183的组件,是通过与CPU101a、RAM101b、网络I/F101e等软件合作而实现的功能块。验证码生成装置106是生成作为在显示于认证请求客户端151的提示模式191中应用要接受认证的用户的密码导出规则即一次性密码导出规则102b而得到的结果的验证码193的组件,是通过与CPU101a、RAM101b等软件合作而实现的功能块。验证码193是与正确的一次性密码导出规则102b应用于正确的提示模式的结果即正确的一次性密码192相同的值。一次性密码接收装置121是从认证请求客户端151接收由此输入的一次性密码192的组件,是通过与CPU101a、RAM101b、网络I/F101e等软件合作而实现的功能块。用户认证装置122是比较一次性密码192和验证码193,在它们相同时使用户认证成功的组件,是通过与CPU101a、RAM101b等软件合作而实现的功能块。
认证请求客户端151由用户ID输入装置152、认证请求发送装置153、模式种子值接收装置154、模式元素串生成装置155、模式显示装置156、一次性密码输入装置157、一次性密码发送装置158构成。这些功能块是由浏览器应用程序101c2的必要部分、提示模式生成模块151c3、客户端识别信息取得模块151c4等与操作系统151c1的必要部分同时从存储装置151c读入到RAM151b上,通过利用CPU151a执行这些软件,RAM151b、存储装置151c、用户I/F151d、外部/网络I/F151e等硬件因素一起适当合作来实现的。
用户ID输入装置152是将要接受认证的用户的用户ID作为输入用户ID181接收输入的组件,是通过与CPU151a、RAM151b、用户I/F151d等软件合作而实现的功能块。认证请求发送装置153是向认证服务器101发送输入的输入用户ID181的组件,是通过与CPU151a、RAM151b、外部/网络I/F151e等软件合作而实现的功能块。模式种子值接收装置154是从认证服务器101接收模式种子值183的组件,是通过与CPU151a、RAM151b、外部/网络I/F151e等软件合作而实现的功能块。模式元素串生成装置155是基于由认证请求客户端151取得的客户端识别信息102c及从认证服务器101接收的模式种子值183,通过规定的模式元素串生成规则生成提示模式中包含的模式元素的组件,是通过与CPU151a、RAM151b等软件合作而实现的功能块。模式显示装置156是在规定模式191p中排列由模式元素串生成装置155生成的模式元素串190的模式元素而生成提示模式并在画面中显示提示模式的组件,是通过与CPU151a、RAM151b、用户I/F151d等软件合作而实现的功能块。一次性密码输入装置157是通过画面中显示的提示模式接收来自一次性密码192的用户的输入的组件,是通过与CPU151a、RAM151b、用户I/F151d等软件合作而实现的功能块。一次性密码发送装置158是向认证服务器101发送输入的一次性密码192的组件,是通过与CPU151a、RAM151b、外部/网络I/F151e等软件合作而实现的功能块。客户端识别信息取得装置171是取得要接受认证的用户使用的识别认证请求客户端151的客户端识别信息102c的组件,在客户端识别信息102c为硬件相关信息或软件相关信息的情况下,是通过与CPU151a、RAM151b等软件合作而实现的功能块,在客户端识别信息102c为外部设备相关信息的情况下,是通过与CPU151a、RAM151b、外部/网络I/F151e等软件合作而实现的功能块
[双因素用户认证系统100的动作]
接着,对双因素用户认证系统100的动作进行说明。图3及4是双因素用户认证系统100的动作流程图。首先,成为用双因素用户认证系统100接受认证的用户在认证服务器101预先输入注册该用户ID102a、密码导出规则即一次性密码导出规则102b、该用户接受认证时使用的识别认证请求客户端151的客户端识别信息102c。密码存储部102使预先存储该用户ID102a、一次性密码导出规则102b以及客户端识别信息102c彼此相关联并在用户认证前预先进行存储(步骤S101)。认证服务器101优选向因特网或内部网的Web上提供用于注册用户ID、密码、客户端识别信息102c的初始注册Web网页等,用户通过该初始注册Web网页从认证请求客户端151等终端访问认证服务器101。因此,在认证请求客户端151显示将用于用户ID输入的输入字段和0~9的数字作为随机数的模式元素配置的提示模式191(未图示)。用户在输入字段输入自己要登记的用户ID102a。接着,用户根据自己要登记的一次性密码导出规则102b,进行包含于提示模式191的模式元素的位置的选择或不基于该提示模式191的固定数字等字符的输入。认证服务器101将输入的用户ID102a作为该用户的用户ID存储于密码存储部102。另一方面,只有选择或输入的数字串不能确定一次性密码导出规则102b。因此,认证服务器101显示不同的提示模式191,并进行通过密码导出规则102b的第二次数字的选择或输入,将选择或输入的数字串与第一次数字进行比较,对一次性密码导出规则102b进行确定。使得第二次提示模式191与第一次提示模式191有较大不同的方式设计产生时,通常可以利用两次提示模式191的提示确定一次性密码导出规则102b。在不能用两次提示模式191的提示确定一次性密码导出规则102b的情况下,改变提示模式191的内容并反复该提示,直到可确定一次性密码导出规则102b为止。由此,确定一次性密码导出规则102b,其是在包含于提示模式191的模式元素内选择的每个元素的位置及不基于该提示模式191的固定的每个字符和选择或输入该每个模式元素的位置即该每个静态的元素的顺序组合。特定的一次性密码导出规则102b与该用户的用户ID102a相关联,并存储于密码存储部102。另外,优选以能够从初始注册Web网页下载提示模式生成模块151c3、客户端识别信息取得模块151c4等认证请求客户端151所需要的软件的方式构成。由此,能够在可访问该初始注册Web网页的任意的PC中形成模式元素串生成装置155及客户端识别信息取得装置171,并可将其作为认证请求客户端151进行动作。
为了注册用户ID102a和一次性密码导出规则102b,认证请求客户端151在认证服务器101进行访问时,客户端识别信息取得装置171进行动作,由此,取得认证请求客户端151可取得的客户端识别信息102c,并发送至认证服务器101。这也可以在用户ID102a和一次性密码导出规则102b的注册前进行,也可以在注册后进行。此时,初始注册Web网页是为了选择各种客户端识别信息102c的取得方(具有CPU、MAC地址、硬盘、Windows操作系统的GUID、产品ID、程序密钥、IP地址、USB存储器、无线通信用数据卡、手机、蓝牙、无线LAN搭载各种设备、Felica、RFID、生物认证信息读取机等客户端识别信息存储部172的设备)而显示。在此,优选通过总线及外部/网络I/F扫描确认客户端识别信息取得装置171可取得的客户端识别信息102c,并只显示可取得客户端识别信息102c的取得方。另外,也可以以如下方式构成,即,双因素用户认证系统100的管理者预先设定1个或多个客户端识别信息102c的获取地址,则用户不用选择获取地址。用户选择显示的任意获取地址时,利用客户端识别信息取得装置171从选择的获取地址读出客户端识别信息102c。另外,用户也可以选择多个获取地址。这种情况下,也可以使这些多个客户端识别信息102c与模式种子值183同时组合,生成提示模式191,也可以将用于认证的因素数实质性地扩展为三因素以上的多因素。读出的客户端识别信息102c发送至认证服务器101,认证服务器101通过使得接收的客户端识别信息102c与用户ID102a及一次性密码导出规则102b相关联,并存储在密码存储部102,进行注册。这些注册操作结束时,该用户可以接受双因素用户认证系统100的认证。另外,在注册客户端识别信息102c时,优选在任意场所存储该获得地址的信息。这是因为,由此,在用户接受认证时,可以使用存储的获得地址的信息,自动地设定客户端识别信息102c的获取地址。可以在认证请求客户端151的存储装置151c内设置规定的存储区域,在该存储区域使获取地址信息与用户ID102a相关联并存储。另外,也可以以如下方式构成,使获取地址信息与客户端识别信息102c一起存储于认证服务器101,在用户认证时,从认证服务器101向认证请求客户端151发送获取地址信息。
接着,在认证请求客户端151中,要接受认证的用户将自己的用户ID作为输入用户ID181由用户ID输入装置152输入(步骤S 103)。典型的是,用户使用在认证请求客户端151上动作的浏览器应用程序151c2,访问认证服务器101提供的用户认证Web网页,并在用于显示的用户ID输入的输入字段输入自己的用户ID。在向Windows的网络域登录认证情况下,在图8所示的登录认证画面197A中,在用户名字段输入自己的用户ID,在登录地址输入要登录的网络名。接着,认证请求客户端151利用认证请求发送装置153向认证服务器101发送包含输入的输入用户ID181的认证请求(步骤S 105)。典型的是,在认证请求客户端151上动作的浏览器应用程序151c2通过因特网或内部网将输入于输入字段的输入用户ID181发送至认证服务器101。在向Windows的网络域登录认证的情况下,登录认证模块“SmxGinaDLL”向认证服务器101发送含有输入用户ID181的认证请求。接着,认证服务器101利用认证请求接收装置103接收含有从认证请求客户端151发送的输入用户ID181(步骤S107)。典型的是,认证服务器101使用户认证应用程序101c2动作,从而接收含有输入用户ID181的认证请求。接着,认证服务器101利用模式种子值产生装置104通过规定的产生规则产生模式种子值183(步骤S109)。规定的产生规则典型的是产生规定范围内的随机数。在图5中,以16进制数表示的“284E17…39D0”作为模式种子值183作为例子。模式种子值183可以用例如16字节的规定位长的数字串表示,该情况下,该规定的范围为以16进制数从“0000000000000000”到“FFFFFFFFFFFFFFFF”的范围。因此,因为可以将该规定范围的任意数字串作为模式种子值183,所以可以最大限度生成只是该规定范围的数不同的提示模式191。
接着,认证服务器101利用模式种子值发送装置105向认证请求客户端151发送产生的模式种子值183(步骤S111)。典型的是,认证服务器101使用户认证应用程序101c2动作,从而向认证请求客户端151发送模式种子值183。接着,认证请求客户端151利用模式种子值接收装置154接收从认证服务器101发送的模式种子值183(步骤S113)。典型的是,在认证请求客户端151上动作的浏览器应用程序151c2或登录认证模块“SmxGinaDLL”接收模式种子值183。然后,认证请求客户端151使用户选择客户端识别信息102c的获取地址,利用客户端识别信息取得装置171,从选择的获取地址取得客户端识别信息102(步骤S115)。另外,在客户端识别信息102c注册时的获取地址存储于存储装置151c内的规定区域的情况下,通过使用该获取地址的信息,客户端识别信息102c的获取地址在认证请求客户端151被自动地设定。另外,在客户端识别信息102c注册时的获取地址存储于认证服务器101的情况下,将该获取地址的信息从认证服务器101发送至认证请求客户端151,并通过使用该获取地址的信息,客户端识别信息102c的获取地址在认证请求客户端151中被自动地设定。在这些情况下,不需要由用户选择的客户端识别信息102c的获取地址。接着,认证请求客户端151利用模式元素串生成装置155生成模式元素串190,该模式元素串190为基于在步骤S115中取得的客户端识别信息102c和在步骤S113中接收的模式种子值183,通过规定的模式元素串生成规则构成提示模式191(步骤S117)。规定的模式元素串生成规则是相对于客户端识别信息102c和模式种子值183的组合确定为唯一的模式元素串,是产生极其难以仅由模式元素串推定初始的客户端识别信息102c和模式种子值183的规则,典型的是下面叙述那样,将客户端识别信息102c和模式种子值183的组合作为一种初始值的加密运算的规则。图5是提示模式191的生成方法的概念图。在此,模式元素串190基于“C8E30B178422”的客户端识别信息102c和“284E17…39D0”的模式种子值183生成。因此,首先,利用客户端识别信息102c和模式种子值183的组合,唯一性地生成规定的数字串。在图5的第一段及第二段表示的例子中,分别结合用16进制数表示的客户端识别信息102c和模式种子值183,生成规定的数字串。作为客户端识别信息102c和模式种子值183的组合方法,除此之外,还可以使用加法、减法、异或等所谓的运算进行组合。接着,对该规定的数字串实施加密运算,生成规定位长的位串184。在此,为了生成由64个数字构成的提示模式191,规定位长是具有充分的信息量的256位。作为加密运算,只要是事实上不可能从运算结果求得初始的数字串即可,可以使用散列函数运算、公共密钥加密运算等。例如,作为散列函数,使用SHA256对该规定的数字串进行加密时,可以生成256位的位串184。另外,作为公共密钥加密运算,使用AES,由该规定的数字串生成键并利用该键对预先适当设定的256位的数字串进行加密时,可以生成256位的位串184。另外,也可以组合这些散列函数运算和公共密钥加密运算。另外,图5所示的位串184“0111001011001101…11010”的值是用于说明的示例,不表示正确的SHA256运算结果。接着,将256位的位串184变换为77位的十进制数,然后,提取64位的数字并作为模式元素串190。另外,图5所示的模式元素串190“38064655…1017”的值为用于说明的示例,不表示正确的变换及提取结果。64位的数字提取可以使用删除不需要的上位位串、删除不需要的下位位串、除法等所谓的运算。接着,认证请求客户端151利用模式显示装置156生成表示在由4个4×4的矩阵构成的模式的各因素的位置上配置模式元素串190的每个模式元素的提示模式191的图像,并使其在认证请求客户端151画面中显示(步骤S119)。在向Windows的网络域登录认证的情况下,如图8所示,在登录认证画面197A之后,显示含有提示模式191的登录认证画面197B。
接着,要接受认证的用户通过依次实施在显示于认证请求客户端151画面的提示模式191的特定位置选择显示的模式元素(0~9的任意数字),或输入不基于提示模式191的固定的数字等字符,在认证请求客户端151输入将自己的一次性密码导出规则102b应用到提示模式191的结果即一次性密码192。认证请求客户端151利用一次性密码输入装置157接收一次性密码192的输入(步骤S121)。接着,认证请求客户端151利用一次性密码发送装置158向认证服务器101发送输入的一次性密码192(步骤S123)。接着,认证服务器101利用一次性密码接收装置121接收从认证请求客户端151发送的一次性密码192(步骤S125)。
接着,认证服务器101利用验证码生成装置106生成验证码193,验证码193为对基于从认证请求客户端151接收的输入用户ID181及向认证请求客户端151发送的模式种子值183通过规定的模式元素串生成规则生成的模式元素串构成的提示模式应用与该输入用户ID181对应的一次性密码导出规则102b的结果(步骤S127)。在此的规定模式元素串生成规则是与认证请求客户端151中模式元素串生成装置155在步骤S117产生模式元素串的模式元素串生成规则完全相同的规则。因此,验证码193成为与正确的一次性密码192相同的值,正确的一次性密码192为:在基于与该用户相关联的正确的客户端识别信息102c和正确的模式种子值183的正确的提示模式191应用与输入用户ID181的用户相关联的正确的一次性密码导出规则102b的结果。接着,认证服务器101利用用户认证装置122比较接收的一次性密码192和生成的验证码193,如果它们相同,则判定为该用户的用户认证成功(步骤S 129)。当认证成功时,如下,允许与用户认证的利用方式对应的服务。在用于允许使用Web上的内容等用户认证的情况下,允许对内容的访问或允许应用程序的利用。在向Windows网络域登录认证的情况下,认证服务器101向Windows的域控制器传送认证结果,批准加入到Windows网络。如果认证服务器101为SSL-VPN网关的形态,则允许对该SSL-VPN的访问。
另外,以将用于认证的因素数实质性地扩展为三因素以上的多因素为目的,为了以使多个客户端识别信息102c同时与模式种子值183组合而生成提示模式191的方式构成,在处理客户端识别信息102c的装置及步骤中,只要以使用多个客户端识别信息102c的方式构成本发明即可。具体而言,也可以是以如下方式构成,即,密码存储部102是使用户的用户ID、该用户的一次性密码导出规则以及该用户使用的分别识别认证请求客户端的多个客户端识别信息彼此相关联并预先进行存储的存储部,模式种子值产生装置104是通过规定的产生规则产生与多个客户端识别信息组合而将提示模式确定为唯一的值即模式种子值的装置,客户端识别信息取得装置171是取得要接受认证的用户使用的识别认证请求客户端151的多个客户端识别信息102c的装置,模式元素串生成装置155是基于取得的多个客户端识别信息102c和接收的模式种子值183,通过规定的模式元素串生成规则生成构成上述提示模式的模式元素的集合即模式元素串的装置,验证码生成装置106对基于与接收的用户ID相关联的多个客户端识别信息及发送的模式种子值按规定的模式元素串生成规则生成的模式元素串构成的提示模式中所包含的模式元素应用与接收的用户ID相关的一次性密码导出规则,结果即验证码。
在以上说明的动作流程中,只要在某步骤中不产生利用在该步骤中不应再利用的数据等动作流程上的矛盾,就可以任意变更动作流程。例如,步骤S127的认证服务器101的验证码193的生成等也可以在可利用输入用户ID181和模式种子值183的步骤S109之后不久执行。
以上说明的各实施方式是用于说明本发明的示例,本发明不限定于这些实施方式。只要本发明不脱离其宗旨,就可以用各种方式进行实施。
符号说明
100双因素用户认证系统
101认证服务器
101aCPU
101bRAM
101c存储装置
101c1操作系统
101c2用户认证应用程序
101d用户接口(I/F)
101e网络接口(I/F)
102密码存储部
102a用户ID
102b一次性密码导出规则
102c客户端识别信息
103认证请求接收装置
104模式种子值产生装置
105模式种子值发送装置
106验证码生成装置
121一次性密码接收装置
122用户认证装置
151认证请求客户端
151aCPU
151bRAM
151c存储装置
151c1操作系统
151c2浏览器应用程序
151c3提示模式生成模块
151c4客户端识别信息取得模块
151d用户接口(I/F)
151e网络接口(I/F)
152用户ID输入装置
153认证请求发送装置
156模式显示装置
157一次性密码输入装置
158一次性密码发送装置
154模式种子值接收装置
155模式元素串生成装置
171客户端识别信息取得装置
172客户端识别信息存储部
181输入用户ID
183模式种子值
184位串
190模式元素串
191提示模式
191p规定模式
192一次性密码
193验证码
196键盘
197A登录认证画面
197B登录认证画面
Claims (9)
1.一种双因素用户认证系统,将排列为规定模式的多个模式元素作为提示模式向接受认证的用户使用的客户端进行提示,将通过应用于该提示模式中所含有的特定位置的模式元素而生成一次性密码的一次性密码导出规则作为该用户的密码,并将识别所述用户使用的所述客户端的信息进一步用于所述认证,其特征在于,具有:
认证服务器,其进行上述用户的认证;
认证请求客户端,其是利用网络与所述认证服务器连接的所述用户要求认证的终端,
所述认证服务器具有:
密码存储部,其使所述用户的用户ID、该用户的一次性密码导出规则以及识别该用户使用的所述认证请求客户端的客户端识别信息彼此相关联地预先进行存储;
模式种子值产生装置,其通过规定的产生规则产生与所述客户端识别信息组合并唯一性地决定所述提示模式的值即模式种子值;
用户ID接收装置,其从所述认证请求客户端接收要接受认证的用户的用户ID;
模式种子值发送装置,其向要接受认证的用户的所述认证请求客户端发送产生的所述模式种子值,
所述认证请求客户端具有:
用户ID输入装置,其从所述用户接收所述用户ID的输入;
用户ID发送装置,其向所述认证服务器发送输入的所述用户ID;
模式种子值接收装置,其接收从所述认证服务器发送的所述模式种子值;
客户端识别信息取得装置,其取得识别要接受认证的所述用户使用的所述认证请求客户端的客户端识别信息;
模式元素串生成装置,其基于取得的所述客户端识别信息和接收到的所述模式种子值,通过规定的模式元素串生成规则生成构成所述提示模式的模式元素的集合即模式元素串;
模式显示装置,其按所述规定模式排列所生成的所述模式元素串中所含有的每个模式元素,来生成提示模式,并将提示模式显示于画面中;
一次性密码输入装置,其接收所述用户输入的一次性密码,该一次性密码为对包含于所述提示模式的模式元素应用所述一次性密码导出规则而得到的结果;
一次性密码发送装置,其向所述认证服务器发送所输入的所述一次性密码,
所述认证服务器还具有:
一次性密码接收装置,其接收所述一次性密码;
验证码生成装置,其生成验证码,所述验证码为:对基于与接收的所述用户ID相关联的所述客户端识别信息及发送的所述模式种子值按所述规定的模式元素串生成规则生成的由模式元素串构成的提示模式中所包含的模式元素应用与所接收的所述用户ID相关的所述一次性密码导出规则而得到的结果;
用户认证装置,其比较接收的所述一次性密码和生成的所述验证码,在它们相同的情况下,使与所述用户ID对应的用户认证成功。
2.如权利要求1所述的双因素用户认证系统,其特征在于,
所述密码存储部预先使所述用户的用户ID、该用户的一次性密码导出规则、分别识别该用户使用的所述认证请求客户端的多个客户端识别信息彼此相关联地进行存储,
所述模式种子值产生装置是通过规定的产生规则产生与所述多个客户端识别信息组合而唯一性地决定所述提示模式的值即模式种子值的装置,
所述客户端识别信息取得装置是取得识别要接受认证的所述用户使用的所述认证请求客户端的所述多个客户端识别信息的装置,
所述模式元素串生成装置是基于取得的所述多个客户端识别信息和接收的所述模式种子值,按规定的模式元素串生成规则生成构成所述提示模式的模式元素的集合即模式元素串的装置,
所述验证码生成装置是生成验证码的装置,所述验证码是所述验证码生成装置对基于与接收的所述用户ID相关联的所述多个客户端识别信息及发送的所述模式种子值按所述规定的模式元素串生成规则生成的由模式元素串构成的提示模式中所包含的模式元素应用与所接收的所述用户ID相关的所述一次性密码导出规则而得到的结果。
3.如权利要求1所述的双因素用户认证系统,其中,
所述模式种子值产生装置是通过规定的产生规则产生与所述用户ID及所述客户端识别信息组合而唯一性地决定所述提示模式的值即模式种子值的装置,
所述模式元素串生成装置是基于输入的所述用户ID、识别要接受认证的所述用户使用的所述认证请求客户端的所述客户端识别信息以及接收的所述模式种子值,通过规定的模式元素串生成规则生成构成所述提示模式的模式元素的集合即模式元素串的装置,
所述验证码生成装置是生成验证码的装置,所述验证码是所述验证码生成装置对基于接收的所述用户ID、与接收的所述用户ID相关联的所述客户端识别信息以及发送的所述模式种子值按所述规定的模式元素串生成规则生成的由模式元素串构成的提示模式中所包含的模式元素应用与所接收的所述用户ID对应的所述一次性密码导出规则而得到的结果。
4.如权利要求1所述的双因素用户认证系统,其中,
所述客户端识别信息取得装置取得内置于所述认证请求客户端的硬件里的识别信息。
5.如权利要求1所述的双因素用户认证系统,其中,
所述客户端识别信息取得装置取得所述认证请求客户端的操作系统的ID信息。
6.如权利要求1所述的双因素用户认证系统,其中,
所述客户端识别信息取得装置取得设定于所述认证请求客户端的网络地址信息。
7.如权利要求1所述的双因素用户认证系统,其中,
所述客户端识别信息取得装置通过所述认证请求客户端的接口取得外部设备的识别信息。
8.如权利要求1所述的双因素用户认证系统,其中,
所述客户端识别信息取得装置取得要接受认证的用户的生物识别信息。
9.一种双因素用户认证方法,将按规定模式排列的多个模式元素作为提示模式向接受认证的用户使用的客户端进行提示,将通过应用于该提示模式中所含有的特定位置的模式元素而生成一次性密码的一次性密码导出规则作为该用户的密码,并将识别所述用户使用的所述客户端的信息进一步用于所述认证,从而,响应来自所述用户请求认证的终端即认证请求客户端的认证请求,通过网络与该认证请求客户端连接的认证服务器进行所述用户的认证,其特征在于,具有:
所述认证服务器使所述用户的用户ID、该用户的一次性密码导出规则以及识别所述认证请求客户端的客户端识别信息相互关联地预先进行存储的步骤;
所述认证请求客户端接收要接受认证的用户输入的用户ID的步骤;
所述认证请求客户端向所述认证服务器发送输入的所述用户ID的步骤;
所述认证服务器接收用户的用户ID的步骤,其中所述用户准备接受从所述认证请求客户端发送的认证;
所述认证服务器通过规定的产生规则,产生与所述客户端识别信息组合而将所述提示模式唯一性地确定的值即模式种子值的步骤;
所述认证服务器向要接受认证的用户的所述认证请求客户端发送产生的所述模式种子值的步骤;
所述认证请求客户端接收从所述认证服务器发送的所述模式种子值的步骤;
所述认证请求客户端取得识别要接受认证的所述用户使用的所述认证请求客户端的客户端识别信息的步骤;
所述认证请求客户端基于取得的所述客户端识别信息和接收的所述模式种子值,按规定的模式元素串生成规则生成构成所述提示模式的模式元素的集合即模式元素串的步骤;
所述认证请求客户端将生成的所述模式元素串中所包含的每个模式元素排列为所述规定模式,生成提示模式并使其显示于画面的步骤;
所述认证请求客户端接收所述用户输入的、对在所述提示模式中包含的模式元素应用所述一次性密码导出规则而得到的结果即一次性密码的步骤;
所述认证请求客户端向所述认证服务器发送输入的所述一次性密码的步骤;
所述认证服务器从所述认证请求客户端接收所述一次性密码的步骤;
所述认证服务器产生验证码的步骤,所述验证码是所述认证服务器对基于与接收的所述用户ID相关联的所述客户端识别信息及发送的所述模式种子值按所述规定的模式元素串生成规则生成的由模式元素串构成的提示模式中所包含的模式元素应用与所接收的所述用户ID相关的所述一次性密码导出规则的结果;
所述认证服务器比较接收的所述一次性密码和生成的所述验证码,在它们相同的情况下,使与所述用户ID对应的用户认证成功的步骤。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2010/067473 WO2012046304A1 (ja) | 2010-10-05 | 2010-10-05 | 二要素ユーザ認証システム、およびその方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102804200A CN102804200A (zh) | 2012-11-28 |
CN102804200B true CN102804200B (zh) | 2015-04-01 |
Family
ID=44292672
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201080065498.XA Active CN102804200B (zh) | 2010-10-05 | 2010-10-05 | 双因素用户认证系统及其方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8752147B2 (zh) |
EP (1) | EP2626807B8 (zh) |
JP (1) | JP4713694B1 (zh) |
CN (1) | CN102804200B (zh) |
SG (1) | SG189120A1 (zh) |
WO (1) | WO2012046304A1 (zh) |
Families Citing this family (41)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8875264B2 (en) | 2010-10-05 | 2014-10-28 | Cse Co., Ltd. | System, method and program for off-line two-factor user authentication |
SG194267A1 (en) * | 2012-05-03 | 2013-11-29 | C3S Pte Ltd | Method and system for protecting a password during an authentication process |
GB2510895A (en) * | 2013-02-18 | 2014-08-20 | Mikhail Fleysher | A method and system for generation of dynamic password |
US20140304789A1 (en) * | 2013-04-05 | 2014-10-09 | International Business Machines Corporation | Convenient one-time password |
CN103259785B (zh) * | 2013-04-11 | 2015-11-18 | 深圳市深信服电子科技有限公司 | 虚拟令牌的认证方法及系统 |
KR20150015793A (ko) * | 2013-08-01 | 2015-02-11 | 삼성전자주식회사 | 화상형성장치 및 화상형성장치의 사용자 인증 방법 |
CN103546461A (zh) * | 2013-10-08 | 2014-01-29 | 任少华 | 基于第三方的认证系统或方法 |
BR112016021120B1 (pt) * | 2014-03-14 | 2023-04-18 | Rowem Inc | Método e dispositivo de gerenciamento de dados confidenciais; método e sistema de autenticação segura |
US10050787B1 (en) | 2014-03-25 | 2018-08-14 | Amazon Technologies, Inc. | Authentication objects with attestation |
US10049202B1 (en) | 2014-03-25 | 2018-08-14 | Amazon Technologies, Inc. | Strong authentication using authentication objects |
US9652604B1 (en) | 2014-03-25 | 2017-05-16 | Amazon Technologies, Inc. | Authentication objects with delegation |
US9264419B1 (en) * | 2014-06-26 | 2016-02-16 | Amazon Technologies, Inc. | Two factor authentication with authentication objects |
DE102014015814B4 (de) * | 2014-10-24 | 2016-05-04 | Unify Gmbh & Co. Kg | Verfahren zum Authentifizieren eines Benutzergeräts bei der Anmeldung an einem Server |
US10298400B2 (en) | 2015-02-06 | 2019-05-21 | eStorm Co., LTD | Authentication method and system |
US9569606B2 (en) | 2015-06-08 | 2017-02-14 | International Business Machines Corporation | Verification of a pattern based passcode |
US10200359B1 (en) | 2015-06-30 | 2019-02-05 | Symantec Corporation | Systems and methods for creating credential vaults that use multi-factor authentication to automatically authenticate users to online services |
US10193880B1 (en) * | 2015-09-09 | 2019-01-29 | Symantec Corporation | Systems and methods for registering user accounts with multi-factor authentication schemes used by online services |
US9769157B2 (en) * | 2015-09-21 | 2017-09-19 | American Express Travel Related Services Company, Inc. | Systems and methods for secure one-time password validation |
CN106656913A (zh) * | 2015-10-28 | 2017-05-10 | 珠海金山办公软件有限公司 | 一种数字验证码的生成方法及装置 |
TWI587680B (zh) * | 2015-11-18 | 2017-06-11 | Zinwell Corp | 監控裝置之連線驗證方法 |
US20170154173A1 (en) * | 2015-11-27 | 2017-06-01 | Chao-Hung Wang | Array password authentication system and method thereof |
EP3412017B1 (en) * | 2016-02-03 | 2020-08-26 | Averon US, Inc. | Method and apparatus for facilitating frictionless two-factor authentication |
CN105989495A (zh) * | 2016-03-07 | 2016-10-05 | 李明 | 一种支付方法及系统 |
CN106230596A (zh) * | 2016-07-26 | 2016-12-14 | 乐视控股(北京)有限公司 | 数字标记生成、验证方法和装置 |
JP6363763B2 (ja) * | 2017-05-18 | 2018-07-25 | パスロジ株式会社 | ユーザ認証方法及びこれを実現するためのシステム並びにこれに用いられる情報通信端末 |
KR102413638B1 (ko) * | 2017-05-30 | 2022-06-27 | 삼성에스디에스 주식회사 | 인증 서비스 시스템 및 방법 |
CN107371161B (zh) * | 2017-08-31 | 2020-03-24 | 李同波 | 一种5g网络安全认证接入方法 |
US10659460B2 (en) | 2018-05-22 | 2020-05-19 | Bank Of America Corporation | Two factor vehicle authentication |
US10732624B2 (en) | 2018-05-22 | 2020-08-04 | Bank Of America Corporation | User data digestion for autonomous car implementation |
US11005971B2 (en) * | 2018-08-02 | 2021-05-11 | Paul Swengler | System and method for user device authentication or identity validation without passwords or matching tokens |
US11010467B2 (en) * | 2018-10-30 | 2021-05-18 | Blue Popcon Co.Ltd | Multifactor-based password authentication |
CN111371664B (zh) * | 2018-12-25 | 2022-02-11 | 中国移动通信有限公司研究院 | 一种虚拟专用网络接入方法及设备 |
US12022295B2 (en) * | 2019-04-29 | 2024-06-25 | Sonicwall Inc. | Streamlined creation and expansion of a wireless mesh network |
US11997635B2 (en) | 2019-04-29 | 2024-05-28 | Sonicwall Inc. | Establishing simultaneous mesh node connections |
BR112022003940A2 (pt) * | 2019-09-04 | 2022-05-31 | Hdr Sg Pte Ltd | Sistemas e métodos para troca monetária futura digital móvel |
FI128754B (en) * | 2019-10-04 | 2020-11-30 | Telia Co Ab | Access to the service |
JP6721225B1 (ja) * | 2019-11-28 | 2020-07-08 | 株式会社シー・エス・イー | ユーザ認証システム、ユーザ認証サーバ、およびユーザ認証方法 |
CN111753287B (zh) * | 2020-06-28 | 2022-07-22 | 中国银行股份有限公司 | 权限控制方法及装置 |
CN111935178B (zh) * | 2020-09-23 | 2020-12-29 | 南京中孚信息技术有限公司 | 一种移动设备双因子离线认证方法、系统及装置 |
US11645381B2 (en) * | 2020-12-11 | 2023-05-09 | International Business Machines Corporation | User configured one-time password |
CN113545520B (zh) * | 2021-08-02 | 2024-02-27 | 深圳市腾云芯片技术有限公司 | 一种烟弹加密防伪芯片、烟弹、电子烟及烟弹认证方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW200814703A (en) * | 2006-09-12 | 2008-03-16 | Xin-Yuan Ye | Method and system of authenticating the identity of the client |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8751801B2 (en) * | 2003-05-09 | 2014-06-10 | Emc Corporation | System and method for authenticating users using two or more factors |
US20050021975A1 (en) * | 2003-06-16 | 2005-01-27 | Gouping Liu | Proxy based adaptive two factor authentication having automated enrollment |
US8060745B2 (en) * | 2003-12-16 | 2011-11-15 | Seiko Epson Corporation | Security for wireless transmission |
CN101375546B (zh) * | 2005-04-29 | 2012-09-26 | 甲骨文国际公司 | 用于欺骗监控、检测和分层用户鉴权的系统和方法 |
JP3939736B1 (ja) * | 2006-03-27 | 2007-07-04 | 株式会社シー・エス・イー | ユーザ認証システム、およびその方法 |
JP3996939B2 (ja) * | 2006-03-30 | 2007-10-24 | 株式会社シー・エス・イー | オフラインユーザ認証システム、その方法、およびそのプログラム |
US7512567B2 (en) * | 2006-06-29 | 2009-03-31 | Yt Acquisition Corporation | Method and system for providing biometric authentication at a point-of-sale via a mobile device |
US20090235346A1 (en) * | 2007-07-19 | 2009-09-17 | Joseph Steinberg | System and method for augmented user and site authentication from mobile devices |
US20090063850A1 (en) * | 2007-08-29 | 2009-03-05 | Sharwan Kumar Joram | Multiple factor user authentication system |
US20090183246A1 (en) * | 2008-01-15 | 2009-07-16 | Authlogic Inc. | Universal multi-factor authentication |
JP4999736B2 (ja) | 2008-03-13 | 2012-08-15 | キヤノン株式会社 | データ処理装置 |
US8001379B2 (en) * | 2008-03-26 | 2011-08-16 | Mformation Technologies Inc. | Credential generation system and method for communications devices and device management servers |
JP2010034967A (ja) * | 2008-07-30 | 2010-02-12 | Osamu Kameda | 三値認証法及びそのシステム |
JP5217890B2 (ja) | 2008-10-17 | 2013-06-19 | 大日本印刷株式会社 | 携帯端末のアプリケーションダウンロードシステム及び方法 |
JP4654329B1 (ja) * | 2010-02-15 | 2011-03-16 | 株式会社シー・エス・イー | コンテンツ提示型認証システム |
US8875264B2 (en) | 2010-10-05 | 2014-10-28 | Cse Co., Ltd. | System, method and program for off-line two-factor user authentication |
-
2010
- 2010-10-05 EP EP10858112.5A patent/EP2626807B8/en active Active
- 2010-10-05 JP JP2010545132A patent/JP4713694B1/ja active Active
- 2010-10-05 SG SG2013022686A patent/SG189120A1/en unknown
- 2010-10-05 WO PCT/JP2010/067473 patent/WO2012046304A1/ja active Application Filing
- 2010-10-05 US US13/520,178 patent/US8752147B2/en active Active
- 2010-10-05 CN CN201080065498.XA patent/CN102804200B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW200814703A (en) * | 2006-09-12 | 2008-03-16 | Xin-Yuan Ye | Method and system of authenticating the identity of the client |
Also Published As
Publication number | Publication date |
---|---|
EP2626807A1 (en) | 2013-08-14 |
US20130185779A1 (en) | 2013-07-18 |
JPWO2012046304A1 (ja) | 2014-02-24 |
US8752147B2 (en) | 2014-06-10 |
WO2012046304A1 (ja) | 2012-04-12 |
EP2626807A4 (en) | 2014-07-09 |
SG189120A1 (en) | 2013-05-31 |
EP2626807B8 (en) | 2018-02-07 |
CN102804200A (zh) | 2012-11-28 |
JP4713694B1 (ja) | 2011-06-29 |
EP2626807B1 (en) | 2017-11-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102804200B (zh) | 双因素用户认证系统及其方法 | |
CN102804201B (zh) | 离线双因素用户认证系统、其方法及其程序 | |
CN107302539B (zh) | 一种电子身份注册及认证登录的方法及其系统 | |
US20070130463A1 (en) | Single one-time password token with single PIN for access to multiple providers | |
CN107077559B (zh) | 认证系统、提醒终端、以及信息记录介质 | |
EP2894891B1 (en) | Mobile token | |
US9124571B1 (en) | Network authentication method for secure user identity verification | |
JP2017188132A (ja) | ユーザ認証方法及びこれを実現するためのシステム | |
CN108369614B (zh) | 用户认证方法及用于实现该方法的系统 | |
TWI540874B (zh) | Identity authentication method, device and system | |
KR101897085B1 (ko) | 실시간 패스워드를 생성하는 장치 및 방법 및 저장 매체 | |
EP2613279B1 (en) | Communication apparatus, reminder apparatus, and information recording medium | |
CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
EP1868125A1 (en) | Method for identifying a user of a computer system | |
US20160359832A1 (en) | Virtual device authorization method and device | |
KR101996317B1 (ko) | 인증변수를 이용한 블록체인 기반의 사용자 인증 시스템 및 그 방법 | |
CN107104792B (zh) | 一种便携式移动口令管理系统及其管理方法 | |
DK2916509T3 (en) | Network Authentication Procedure for Secure User Identity Verification | |
JP6499736B2 (ja) | ユーザ認証方法及びかかる方法を実現するためのシステム | |
JP5602055B2 (ja) | 二要素ユーザ認証システム、およびその方法 | |
US10951610B2 (en) | Operation of mathematical constant PI to authenticate website and computer network users | |
KR102291942B1 (ko) | 다차원 바코드 기반 임시 백업 otp 저장 방법 | |
WO2017076662A1 (en) | A method to grant delegate access to a service | |
KR101576038B1 (ko) | 사용자 신원 인증을 안전하게 보장하기 위한 네트워크 인증 방법 | |
Hampiholi et al. | Trusted self-enrolment for attribute-based credentials on mobile phones |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |