CN102804201B - 离线双因素用户认证系统、其方法及其程序 - Google Patents

离线双因素用户认证系统、其方法及其程序 Download PDF

Info

Publication number
CN102804201B
CN102804201B CN201080065516.4A CN201080065516A CN102804201B CN 102804201 B CN102804201 B CN 102804201B CN 201080065516 A CN201080065516 A CN 201080065516A CN 102804201 B CN102804201 B CN 102804201B
Authority
CN
China
Prior art keywords
user
line
client
schema elements
factor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201080065516.4A
Other languages
English (en)
Other versions
CN102804201A (zh
Inventor
玉井成知
高野透
小林刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Computer Systems Engineering Co Ltd
Original Assignee
Computer Systems Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Systems Engineering Co Ltd filed Critical Computer Systems Engineering Co Ltd
Publication of CN102804201A publication Critical patent/CN102804201A/zh
Application granted granted Critical
Publication of CN102804201B publication Critical patent/CN102804201B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供一种双因素认证的矩阵认证系统,其减少认证信息泄漏的危险性。该双因素认证系统将通过应用于提示模式中所包含的特定的位置的元素而生成一次性密码的规则作为密码,并将识别用户使用的客户端的信息进一步用于认证,在离线认证客户端内,将与客户端识别信息组合,并且把提示模式确定为唯一的值即多个模式种子值和与其分别对应的多个验证码存储于客户端,基于客户端识别信息和选择的一个模式种子值,生成提示模式,通过基于对应的验证码对输入的一次性密码进行验证,实施认证。

Description

离线双因素用户认证系统、其方法及其程序
技术领域
本发明涉及用户认证系统,更详细而言,涉及如下双因素用户认证系统,即,将排列为规定模式的多个模式元素在接受认证的用户的客户端装置中作为提示模式进行提示,将通过应用于该提示模式中含有的特定位置的模式元素而生成一次性密码的一次性密码导出规则作为该用户的密码,并将客户端装置的硬件等识别信息进一步用于认证。
背景技术
在用户认证系统中,作为具有比固定密码的安全性高的方式,为了用户认证,只可使用一次的一次性的密码即使用一次性密码的系统被更多使用。一次性密码中,具有:使用根据与认证服务器同步的一次性密码产生规则生成一次性密码的令牌的方式;由认证服务器对客户端发送每次变化的质询的值,客户端对其回复在规定的规则中应用密码的响应的质询及响应方式等。令牌可以可靠地确定其当前具有的用户,但令牌需要携带,另外,在令牌的费用及丢失令牌时的安全性上存在问题。另一方面,在质询及响应方式中,虽然具有不需要使用令牌的便利,但使用类推容易的固定密码而产生一次性密码,因此,具有在密码输入时被偷看等安全性变弱的问题及需要导入用于使客户端产生响应的专用软件的问题。
近年来,作为改善这种现有的质询及响应方式的问题的方式,开发所谓的矩阵认证(注册商标)方式的用户认证系统。在矩阵认证中,向要接受认证的用户提示在规定模式中排列有随机数的矩阵状的提示模式,将通过应用于该提示模式中含有的模式元素(各个随机数的数字)而生成一次性密码的一次性密码导出规则作为该用户的密码。然后,在服务器和客户端中共用相同的提示模式,通过比较客户端中将作为密码的一次性密码导出规则应用于提示模式中的结果即一次性密码和服务器中将作为密码的一次性密码导出规则应用于提示模式中的结果即验证码,不用直接比较密码,就可实施用户认证。在矩阵认证中,作为密码的一次性密码导出规则是矩阵中选择的元素的位置和顺序,易于作为图像存储,还具有即使在密码输入时被偷看,也不能确定密码的特征。
另外,还开发有在离线的情况下使用矩阵认证的系统(例如,专利文献1)。在该离线认证系统中,生成多个生成提示模式的模式种子值和与该提示模式对应的验证码并将其存储于离线认证客户端,向离线认证客户端发送这些多个模式元素串和验证码,离线认证客户端选择一个模式种子值并将其在提示模式显示,基于验证码通过对如此输入的一次性密码进行验证,执行用户的认证。
现有技术文献
专利文献
专利文献1:日本特开2007-272364号公报
发明内容
本发明要解决的技术问题
但是,在现有的离线用户认证系统中,只能进行使用用户已知的用户密码的信息的一个因素的认证。目前,在用户密码泄露的情况下,不能防止使用其的非法认证,在安全性上存在限制。由此,为了进一步提高安全性,作为用于认证密码以外的信息的第二因素的双因素用户认证(Two-factoruserauthentication)的必要性变高。即,要求将除了本人已知的信息即密码以外、代表拥有某设备的信息,及代表要接受认证的人为本人的信息等作为用于认证的新的因素。但是,作为认证所需要的信息,只追加密码以外的信息,当存取该信息时,直接将其泄露,因此,限制安全性的提高。当使用一次性密码令牌生成这种密码以外的信息时,能够降低这种危险性,但花费导入专用的一次性密码令牌的成本及时间,另外,还产生在认证时必须携带一次性密码令牌的不便。
解决问题的手段
本发明是鉴于上述课题而研发的,其具有下面的特征。即,本发明提供一种离线双因素用户认证系统,将排列为规定模式的多个模式元素作为提示模式向接受认证的用户进行提示,将通过应用于该提示模式中含有的特定位置的模式元素而生成一次性密码的一次性密码导出规则作为该用户在离线状态下的密码,并将识别所述用户使用的所述客户端的信息进一步用于所述认证,该离线双因素用户认证系统具有离线认证支持服务器和离线双因素认证客户端,其使用户的用户ID、一次性密码导出规则、识别该用户使用的离线双因素认证客户端的客户端识别信息彼此相关联地预先进行存储,通过规定的产生规则产生多个与客户端识别信息组合而将提示模式确定为唯一的值即模式种子值,对应产生分别基于多个模式种子值的每个提示模式,产生多个对在各提示模式中应用该用户的一次性密码导出规则的结果实施单向函数运算的验证码,向离线因素认证客户端发送这些多个模式元素串和验证码并将其存储,离线双因素认证客户端取得识别要接受认证的用户使用的离线双因素认证客户端的客户端识别信息,从接收的多个模式种子值选择一个,基于取得的客户端识别信息和选择的模式种子值,生成提示模式并进行显示,对如此输入的一次性密码实施所述单向函数运算并与对应的验证码比较,执行用户的认证。
本发明在基于模式种子值生成提示模式时,可以以基于多个客户端识别信息生成提示模式的方式构成。
本发明在基于模式种子值生成提示模式时,可以以增加客户端识别信息并组合用户的用户ID的方式构成。
作为本发明的客户端识别信息,可以以通过离线双因素认证客户端的接口取得外部设别的识别信息的方式构成。
作为本发明的客户端识别信息,可以以取得离线双因素认证客户端的操作系统的ID信息的方式构成。
作为本发明的客户端识别信息,可以以取得设定于离线双因素认证客户端的网络的地址信息的方式构成。
作为本发明的客户端识别信息,可以以取得要接受认证的用户的生物识别信息的方式构成。
在所述或权利要求中记载的发明中,服务器、客户端等用语不是限定装置的具体的方式及具体的称呼,而是用于代表具备其通常功能的装置。一个组件具有的功能也可以利用两个以上的物理构成实现,两个以上的组件具有的功能也可以利用一个物理构成实现。系统的发明也可以作为逐次执行各自的组件具有的功能的方法的发明而掌握,反之,也成立。在方法的发明中,各步骤不限定于按照记载的顺序执行,作为整体的功能只要可以无矛盾地执行,就能够以任意的顺序执行各步骤。这些发明作为与规定的硬件合作实现规定的功能的程序也成立,作为记录其的记录介质也成立。
发明效果
本发明是如下双因素用户认证系统,即,向接受认证的用户提示提示模式,并将通过应用于该提示模式中含有的特定位置的元素而生成一次性密码的一次性密码导出规则作为密码,并将识别用户使用的客户端的信息进一步用于认证,在离线双因素认证客户端内具有如下构成,将与客户端识别信息组合而将提示模式确定为唯一的值即模式种子值和对在该各提示模式中应用导出规则的结果实施单向函数运算的多个验证码存储于客户端,从存储的模式种子值选择一个,由此,生成提示模式,对输入的一次性密码实施所述的单向函数运算并与对应的验证码比较,实施认证,由此,增加用户已知的用户密码的信息,能够用于认证客户端识别信息的第二因素,因此,物理性地拥有输出客户端识别信息的设备,能够实现认证时作为用于追加的验证的条件的双因素认证。另外,在认证时不会对客户端识别信息本身进行验证,因此,即使用于认证的验证码泄露,也不会泄露客户端识别信息的第二因素。因此,即使在用于认证的验证码泄露的情况下,也不可能推定提示模式及一次性密码的生成规则,也不可能推测正确的一次性密码,具有很强的安全性。作为输出客户端识别信息的设备,由于可以使用广泛的包含离线双因素认证客户端本身的设备,因此,可以最少地降低导入成本及时间,还可以最少地减轻携带输出客户端识别信息的设备的负担。
另外,本发明在基于模式种子值生成模式种子值时,可以以基于多个客户端识别信息生成提示模式的方式构成,因此,可以将用于认证的因素数实质性地扩张为三因素以上的多因素,得到更强的安全性。
另外,本发明在基于模式种子值生成模式种子值时,可以以增加客户端识别信息并组合用户的用户ID的方式构成,因此,即使在模式种子值泄露的情况下,也更难以由模式种子值推定提示模式,得到更强的安全性。
另外,作为本发明的客户端识别信息,可以以取得内置于离线双因素认证客户端的硬件的识别信息、离线双因素认证客户端的操作系统的ID信息、设定于离线双因素认证客户端的网络地址信息等的方式构成,因此,基于物理性地拥有离线双因素认证客户端的信息成为认证时用于追加的验证的条件,安全性提高。另外,作为本发明的客户端识别信息,可以以通过离线双因素认证客户端的接口取得外部设备的识别信息的方式构成,因此,物理性地拥有该外部设备成为认证时用于追加的验证的条件,安全性提高。另外,作为本发明的客户端识别信息,可以以取得要接受认证的用户的生物识别信息的方式构成,因此,表示本人的生物信息成为认证时用于追加的验证的条件,安全性提高。
附图说明
图1是本发明一实施方式的离线双因素用户认证系统100的硬件构成图;
图2是本发明一实施方式的离线双因素用户认证系统100的框图;
图3是本发明一实施方式的离线双因素用户认证系统100的验证数据取得的动作流程图;
图4是本发明一实施方式的离线双因素用户认证系统100的离线用户认证的动作流程图;
图5是本发明一实施方式的离线双因素用户认证系统100的提示模式的生成方法的概念图;
图6是本发明一实施方式的离线双因素用户认证系统100的提示模式的生成方法的概念图,是图5的接续;
图7是矩阵认证方式中的一次性密码导出规则的概念图;
图8是矩阵认证方式中的一次性密码输入方法的概念图;
图9是离线双因素用户认证系统100的Windows登录认证画面的效果图。
具体实施方式
在此,进行发明实施方式的说明。首先,对在线、离线的用语的意义进行说明。在线是用户使用离线双因素认证客户端151连接与离线认证支持服务器101相同的网络,作为适当的网络用户的状态。用户为了在在线的状态下使用离线双因素认证客户端151,需要得到该网络资源的使用许可,因此,在将网络作为域管理的情况下,需要对该用户的该网络域的登录认证。离线是用户作为适当的用户使用离线双因素认证客户端151,但不与离线认证支持服务器101相同的网络连接的状态。即使是离线状态,在Windows(注册商标。下面,相同)网络的情况下,也可以作为网络域的用户进行登录,另外,也可以作为本地计算机的用户进行登录。用户为了在离线的状态下使用离线双因素认证客户端151,需要该用户接受该网络域名或该计算机的登录认证。
接着,对矩阵认证中所特有的技术进行说明。矩阵认证如下,将排列成规定模式的多个模式元素(模式元素串190)作为提示模式191在接受认证的用户使用的客户端装置中进行提示,将通过应用于该提示模式191中含有的特定位置的模式元素而生成一次性密码的一次性密码导出规则102b作为该用户的密码。
[提示模式和模式元素]
提示模式191是按规定模式排列模式元素的模式。作为规定模式,典型的是在纵m个×横n个的各自的位置以整体形成方形的方式配置的矩阵,且并排多个这种矩阵的模式等,除此之外,还可以设为任意图形的形状。在本说明书中,即使使用这种典型的矩阵形状以外的形状的提示模式的情况下,也称为矩阵认证方式。作为规定模式,规则的形状及有印象的形状易于留在用户的存储中,因此,适用于用户方便记忆作为密码的一次性密码导出规则102b。
模式元素是在提示模式内以构成规定模式的方式配置于规定位置的元素,适于0~9的个位数字,但除此之外,还可以设为字母、符号等任意的元素。另外,作为符号,PC标准的键盘中所分配的“+”、“-”、“×”、“=”、“_”、“!”、“?”、“#”、“$”、“&”等符号特别适合。作为元素,也可以使用图形、插图、照片等模式。优选相同的模式元素在提示模式内显示多个。如此,密码即一次性密码导出规则102b和在提示模式191中应用一次性密码导出规则102b的结果即一次性密码192成为多对一一对应,在输入一次性密码192时,自动进行散列化。因此,只用1个一次性密码192,即使确定提示模式191,也不能确定一次性密码导出规则102b。
在本实施例中,图8等表示的那样,将0~9的个位数字作为模式元素,将在由4个4×4的矩阵构成的规定模式191p中排列各模式元素的模式设为提示模式191。另外,在如移动手机等画面面积小的情况下,适于使用将4×4的矩阵数减少为3个等等的提示模式。
[模式元素串]
模式元素串190是为了生成提示模式191而表示按规定模式191p配置的元素内容的数据,典型的是依次并排包含于该提示模式191的全部模式元素。模式元素串190在生成提示模式191之前生成。另外,模式元素串190不是必须为依次并排模式元素的一个符号串,意思是含有一个提示模式191中所包含的全部模式元素的信息的数据。因此,只要模式元素串190中所包含的每个模式元素与提示模式内的每个位置相对应,则模式元素串190中所包含的模式元素的顺序就是任意的。另外,模式元素串190也可以分割为多个数据。本发明的离线双因素用户认证系统100大体上包括:离线认证支持服务器101,其支持用户在离线状态下的认证;离线双因素认证客户端151,其是可利用网络与离线认证支持服务器101连接,但在网络非连接状态下可进行用户认证的终端。在离线双因素用户认证系统100中,模式元素串190在离线双因素认证客户端151的内部生成并只用于提示模式191的生成,模式元素串190不通过网络发送。
[一次性密码导出规则]
一次性密码导出规则102b是通过对提示模式191中所含有的特定位置的模式元素进行应用而用于生成一次性密码192的规则,是作为用户密码而发挥作用的数据。对于模式元素适用的规则,典型的是以哪种顺序选择哪个位置的模式元素。该情况下,一次性密码导出规则102b是组合提示模式191中所包含的选择的模式元素的每个位置和选择该每个模式元素的顺序的信息。另外,一次性密码导出规则102b也可以包含不基于提示模式191而输入的固定的数字等元素的信息,该情况下,一次性密码导出规则102b是组合不基于提示模式191中所包含的选择的模式元素的每个位置及该提示模式191输入的固定的每个字符和选择或输入该每个模式元素的位置及该每个字符的顺序的信息。即,可以在一次性密码中含有不基于提示模式191的固定密码成分。
图7表示典型性的一次性密码导出规则102b的构造。在本实施例中,将0~9的个位数字作为模式元素,并示例与提示模式191相对的一次性密码导出规则102b,提示模式191如下,在由4个4×4的矩阵构成的规定模式191p的每个元素位置上配置每个模式元素。图7中,规定模式191p的各元素的位置利用01~64的数字区别显示。对要接受认证的用户显示提示模式191时,在规定模式191p的各元素的位置上显示0~9的个位数字。
输入的一次性密码192优选使用基于提示模式191的数字和不是基于提示模式191而输入的固定数字。提示模式191中所含有的模式元素数为64个,因此,利用在各位置上分配的01~64的两位数字表示选择的提示模式191中所含有的模式元素的各位置。而且,对于不基于提示模式191而输入的固定数字,最初分配表示这种固定的数字的“9”数字,然后,分配输入的个位的数字,并利用两位数字表示。在图7的例子中,一次性密码192最初的4个数字是通过选择提示模式191的特定位置的模式元素而输入的。作为与一次性密码导出规则102b等对应的部分,将表示这些位置的数字即“01”、“16”、“29”、“20”按照其顺序配置。选择的模式元素利用键盘196输入。一次性密码192的接下来的两个数字不是基于提示模式191而用键盘196等输入的固定密码成分。作为与一次性密码导出规则102b等对应的部分,在表示静态密码成分的“9”数字的后面,分别添加了作为输入的数字的“2”及“9”的“92”、“99”并继续按照其顺序配置。一次性密码192的接下来的最后一个数字是通过选择提示模式191的特定位置的模式元素而输入的。作为与一次性密码导出规则102b等对应的部分,接着配置表示这些位置的数字即“33”,在此,一次性密码导出规则102b结束。也可以在一次性密码导出规则102b的最后进一步添加将其结束点确定为唯一的结束标志、例如“00”等数字,或也可以进一步添加与其有关的表示一次性密码导出规则102b的整体长度的数值。
[模式种子值]
模式种子值183是根据规定的变化规则而变换,从而将一个提示模式191中所包含的模式元素确定为唯一的值。模式种子值183其本身根据规定的产生规则在规定的范围内产生。如后述,本发明的模式种子值183在应用规定的变换规则而生成包含于一个提示模式191的模式元素时,还与其它因素信息组合的这一点是重要特征。为了显示提示模式191,需要离线双因素认证客户端151存储用于生成其的信息。当离线双因素认证客户端151为直接存储构成提示模式191的模式元素串190的构成,并且恶意的第三者解析离线双因素认证客户端151时,因为确定了模式元素串190,所以有可能确定提示模式191。在安全性上,不太令人满意。为了防止这一点,考虑不存储模式元素串190。另一方面,为了对离线双因素认证客户端151实施认证,必须生成提示模式191并进行显示。
模式种子值183是为了解决这种冲突的需求,通过应用规定的变换规则,将提示模式191确定为唯一,但不是模式元素串190其本身的信息。在离线双因素认证客户端151中,不存储模式元素串190其本身,替而代之,存储模式种子值183。而且,在离线双因素认证客户端151中,通过在存储的模式种子值183中应用规定的变换规则,能够生成提示模式191。规定的变换规则可认为是例如散列函数运算等。由此,不存储模式元素串190其本身,因此,通过使用模式种子值183,安全性提高。
而且,在本发明中,模式种子值183在根据规定的变换规则生成包含于一个提示模式191的模式元素时,还与其它的因素信息组合。作为其它的因素信息,可使用要接受认证的用户使用的离线双因素认证客户端151的客户端识别信息102c。由此,拥有输出客户端识别信息102c的设备成为信息认证时用于追加的条件,安全性提高。模式种子值183与客户端识别信息102c组合并将包含于一个提示模式191的模式元素确定为唯一。由此,提示模式191成为不仅编入模式种子值183,还编入客户端识别信息102c的信息的模式,因此,可以验证是否是基于使用了一次性密码192正确的客户端识别信息102c的提示模式191输入的信息。而且,在本发明中,通过使用识别离线双因素认证客户端151的客户端识别信息102c对提示模式191进行扰乱,在提示模式191中也编入客户端识别信息102c的信息。而且,一次性密码192是在如此生成的提示模式191中应用了用户有关的一次性密码导出规则102b的密码。由此,在本发明中,一次性密码192包含规定基于两个因素的认证成否的信息,该两个因素为:是否是被基于正确的一次性密码导出规则102b的正确的用户输入的密码;是否是从具有正确的用户具有的正确的客户端识别信息102c的离线双因素认证客户端151输入的密码。由此,能够进行双因素认证,因此,安全性显著提高。
另外,在本发明中,主要特征在于,虽然使用了客户端识别信息102c的第二因素的认证,但在用户认证时,不是验证客户端识别信息102c本身的认证。即,即使用于认证的验证码泄露,也不会泄露客户端识别信息。因此,即使在用于认证的验证码泄露的情况下,也不可能推定提示模式及一次性密码的生成规则,也不可能推测正确的一次性密码,具有很强的安全性。由此,不会产生第二因素即客户端识别信息102c泄露的可能性,作为为了认证该第二因素所使用的因素可以进行追加。
另外,在生成提示模式191时,也可以同时使用多个客户端识别信息102c。这种情况下,通过组合这些多个客户端识别信息102c和模式种子值183,确定包含于提示模式191的模式元素。如果这些多个客户端识别信息102c来自于不同的来源,则即使这些多个客户端识别信息102c是与相同的离线双因素认证客户端151相关联的信息,通过将用于认证的因素数实质性地扩展为三因素以上的多因素,可具有更强的安全性。
另外,在生成提示模式191时,进一步使用其它信息对提示模式191进一步扰乱也是有用的。作为这种其它的信息,可以使用例如用户ID102a。这种情况下,模式种子值183与用户ID102a及客户端识别信息102c组合,将包含于一个提示模式191的模式元素确定为唯一。用户ID102a为来源于用户的信息,因此,这种处理不能说是增加用于认证的因素的处理。但是,为了由模式种子值183生成提示模式191,需要进一步使用用户ID102a的运算,因此,从一次性密码192类推提示模式191变得更加困难。因此,为了生成提示模式191通过进一步使用用户ID102a,能够进一步提高安全性。
模式种子值183是典型的通过随机数产生算法产生的规定范围内的数值。模式种子值183只要是规定范围内的数值,则也可以由除了随机数产生算法以外的产生规则、例如每个来自规定的初始值的规定值的递增或递减计数产生。
[一次性密码]
一次性密码192是要接受认证的用户通过对提示模式191应用本身的一次性密码导出规则102b而生成或输入的用过就扔的密码。图8是矩阵认证方式的一次性密码输入方法的概念图。用户通过对提示模式191应用一次性密码导出规则102b,顺次提取显示于矩阵上的规定位置的数字,生成一次性密码192,并将其输入离线双因素认证客户端151。另外,也可以包含不基于提示模式191的静态数字进行输入。即,也可以在一次性密码中包含固定密码。图7中用虚线表示的箭头和圆表示用键盘196输入基于提示模式191的一次性密码。在图8的例子中,基于提示模式191输入“2504”,然后,输入“29”作为不基于提示模式191的固定数字,接着,基于提示模式191输入“0”,由此,输入“2504290”作为一次性密码192。
[验证码]
验证码193是用于验证输入的一次性密码192的合理性的数据。验证码193是如下验证码,即,在离线双因素认证客户端151中,用户对基于多个模式种子值183的可显示的多个提示模式191分别含有的特定位置的模式元素应用自己的一次性密码导出规则102b的结果,并为了防止逆运算,对该结果实施单向函数运算并将取得的结果进行散列的结果。即,验证码193是与要接受认证的用户相关联的正确的一次性密码导出规则102b应用于正确的提示模式191的结果即对与正确的一次性密码192相同的值实施单向函数运算的结果。因此,验证码193只生成与可显示的提示模式191相同的数并存储于离线双因素认证客户端151。在离线双因素认证客户端151的客户端认证时,通过比较对基于提示的提示模式191输入的一次性密码192实施与生成验证码193时使用的运算相同的单向函数运算的值和与提示模式191对应的验证码193,验证一次性密码192的合理性。在此,即使不散列验证码,当然也可以一次性密码192的合理性。但是,这种验证码与正确的一次性密码192相同,因此,在客户端PC被恶意的第三者解析、这种验证码与客户端识别信息同时泄露的情况下,存在如下问题:可能知晓多个成对的提示模式191和正确的一次性密码192,可能确定密码即一次性密码导出规则102b。通过散列验证码193,不能由验证码193确定正确的一次性密码192,因此,即使客户端PC被恶意的第三者解析,也不会泄露密码即一次性密码导出规则102b。
[单向函数以及散列函数]
单向函数是指适用于某输入值的输出值可简单计算,但由该输出值求得初始的输入值是极其困难的函数。散列函数是指具有单向函数的特征即单向性、并具有在初始的输入值不同时输出值相同的概率极其小的耐冲突性的函数。散列函数通常不管输入值都生成一定范围的输出值。单向函数是包含散列函数的概念,单向函数和散列函数可以大致相同地使用,但由于输入值的范围大等原因,在要求更高的耐冲突性的情况下,优选使用散列函数。在本发明中,当然可以使用散列函数代替单向函数,也可以使用单向函数代替散列函数。
[本发明的用户认证方法]
参照这些附图进行本发明的用户认证系统方法的说明。图1是硬件构成图,图2是框图,图3到4是动作流程图。首先,对本发明的用户认证方法的概要进行说明。如上述,本发明相关的用户认证方法是作为质询及响应方式的认证方法的一种的矩阵认证。在本发明相关的用户认证方法中,在全部实施方式中,将按规定模式排列的多个模式元素作为提示模式191向在离线双因素认证客户端151中接受认证的用户进行提示,通过用户对包含于该提示模式191的特定位置的模式元素进行应用,将用于生成一次性密码192的一次性密码导出规则102b作为该用户的密码。
在离线双因素认证客户端151中,在生成向用户提示的提示模式191时使用的信息即模式种子值183在离线认证支持服务器101中预先生成多个,经由网络或其它存储媒体向离线双因素认证客户端151传送并预先存储。离线双因素认证客户端151取得客户端识别信息102c。基于模式种子值183和取得的客户端识别信息102c,通过规定的生成规则生成提示模式191。用于验证输入离线双因素认证客户端151的一次性密码192是否合理的验证码193通过如下方式在离线认证支持服务器101中预先生成多个,并经由网络或其它存储媒体传送并存储于离线双因素认证客户端151中,该方式为:由基于各个模式种子值183和取得的客户端识别信息102c生成的模式种子值元素串190构成各个提示模式191,对各个提示模式191应用该用户的密码即各自一次性密码导出规则102b并对应用后取得的结果实施单向函数运算。
在离线双因素认证客户端151中,从可生成多个的提示模式191中选择一个并进行显示。用户通过对显示的提示模式191应用自己的一次性密码导出规则102b,输入一次性密码192。离线双因素认证客户端151比较对输入的一次性密码192实施与生成验证码193时使用的运算相同的单向函数运算的值和与提示模式191对应的验证码193,如果它们相同,则判定为对该用户的认证成功,开始认证成功时规定的动作。
[离线双因素用户认证系统100的硬件构成]
接着,进行离线双因素用户认证系统100的构成说明。参照图1,离线双因素用户认证系统100大体上由离线认证支持服务器101和离线双因素认证客户端151构成。离线认证支持服务器101包括:CPU101a、RAM101b、存储装置101c、用户接口(I/F)101d、外部/网络接口(I/F)101e,通过总线将它们连接。在存储装置101c的存储区域存储操作系统101c1、用户认证支持应用程序101c2,在该存储区域还含有密码存储部102。密码存储部102使用户ID102a、一次性密码导出规则102b以及客户端识别信息102c彼此相关联并进行存储。离线双因素认证客户端151由CPU151a、RAM151b、存储装置151c、用户接口(I/F)151d、外部/网络(I/F)151e构成,并通过总线将它们连接。在存储装置151c的存储区域存储操作系统151c1,在其存储区域还含有验证数据存储部161。操作系统151c1含有:验证数据请求模块151c2、种子值选择及模式生成模块151c3、验证码确定及认证模块151c4、客户端识别信息取得模块151c5。验证数据存储部161存储多个模式种子值183、多个验证码193。将这些多个模式种子值183、多个验证码193统称为验证数据194。
在离线双因素用户认证系统100中,离线认证支持服务器101是预先生成为了可以在离线双因素认证客户端151实施离线双因素用户认证所需要的数据的组件。离线认证支持服务器101是作为安装有操作系统101c1、用户认证支持应用程序101c2等的服务器或个人计算机等方式。CPU101a是在操作系统101c1上执行操作系统101c1、用户认证支持应用程序101c2等并进行支持离线双因素认证客户端的用户认证的信息管理的处理器。RAM101b是提供在存储于存储装置101c的软件上读入的存储器空间和在利用CPU101a执行读入的软件时所需要的工作区等的存储器。存储装置101c是存储及管理软件或数据等信息的组件,典型的是硬盘驱动器等形态。存储装置101c优选存储操作系统101c1、用户认证支持应用程序101c2的程序的文件,这些程序在RAM101b上读出执行。存储装置101c也可以是涉及操作系统101c1、用户认证支持应用程序101c2的程序,并将其存储在ROM的形态。此时,这种ROM与CPU101a等程序执行因素共同构成固件。用户I/F101d是用于在与用户之间进行数据的输入输出的组件,典型性的是包括:键盘196、软件键盘等键输入装置;在画面中显示信息的显示器等输出装置;在它们之间的硬件I/F。键盘196为数字键盘、标准全键盘等,只要可输入构成一次性密码的模式元素,就可以使用任意形态的键盘。软件键盘通过使键盘的符号显示于显示器的画面上,使用触摸面板、鼠标、轨迹球等定点设备选择键符号,接收键输入。外部/网络I/F101e是用于与USB存储器、软盘(注册商标)驱动器等存储装置及网络连接,并进行信息的输入输出的I/F。
操作系统101c1、用户认证支持应用程序101c2也可以成为如下形态,即,将它们组合,在形式上形成一体的程序。例如,操作系统101c1也可以包含用户认证支持应用程序101c2的功能。另外,用户认证支持应用程序101c2也可以编入其它的应用程序。另外,操作系统101c1、用户认证支持应用程序101c2也可以分别分割为多个程序。
只要离线认证支持服务器101能够以一些方式对离线双因素认证客户端151传送验证数据194,则也可以用网络连接,也可以不用网络连接。但是,优选的是,离线认证支持服务器101可以用网络连接离线双因素认证客户端,在网络连接的在线状态下,预先向离线双因素认证客户端151传送验证数据194。网络优选为按照TCP/IP基本协议运行的因特网或内部网。在内部网中,在离线双因素认证客户端151在客户端用Windows操作系统中运行的情况下,网络可以作为按照TCP/IP基本协议运行的Windows的网络域。另外,在本说明书中,示例Windows作为操作系统进行说明,但也可以使用其它的操作系统、例如Mac操作系统(注册商标)、Linux(注册商标)、Unix(注册商标)等。
在离线认证支持服务器101利用网络与离线双因素认证客户端151连接的情况下,典型的离线认证支持服务器101的方式如下,即,配置于因特网或内部网等网络上,对通过该网络访问的离线双因素认证客户端151提供资源的Web服务器,资源为用于用户认证的验证数据194的资源。此时,优选在对用于将离线双因素认证客户端151与离线认证支持服务器101在同一网络连接的网络登录认证时,向离线双因素认证客户端151发送验证数据194。
优选在离线双因素认证客户端151的登录时,启动实施本发明的用户认证方法的程序并在登录认证画面中显示,且在该登录认证画面中可选择登录的网络和登录的计算机的方式构成。当像这样构成时,能够无缝地实施在线和离线的登录认证,并且在对离线双因素认证客户端151的网络进行登录认证时,能够使用HTTP协议、HTTPS协议等,向离线认证支持服务器101发送验证数据194的生成和传送的请求。因此,在对网络的登录认证成功后不久,离线双因素认证客户端151能够通过网络从离线认证支持服务器101简便且可靠地取得验证数据194。
另外,离线认证支持服务器101也可以设为向用户发送附加有验证数据194的数据的电子邮件的邮件服务器的方式。此时,离线双因素认证客户端151访问储存有从离线认证支持服务器101发送到用户地址的电子邮件的服务器并接收该电子邮件,取得该电子邮件中附加的验证数据194。电子邮件中附加的数据也可以是验证数据194本身的文件,也可以是用于安装验证数据194的执行形式的文件。离线认证支持服务器101优选存储各用户的邮件地址。电子邮件产生的验证数据194的传送在因用户长期出差等难以通过来自离线认证支持服务器101的网络或存储媒体传送数据的情况下是有效的。
在离线认证支持服务器101与离线双因素认证客户端151没有用网络连接的情况下,离线认证支持服务器101通过外部/网络I/F101e将验证数据194输出到软盘(注册商标)、USB存储器等存储媒体。输出的数据也可以是验证数据194本身的文件,也可以是用于安装验证数据194的执行形式的文件。离线双因素认证客户端151通过外部/网络I/F151e连接存储有验证数据194的存储媒体,由此,取得验证数据194。
用户要在离线双因素认证客户端151接受认证前需要预先执行:上述的离线认证支持服务器101生成验证数据194,离线双因素认证客户端151取得并存储生成的验证数据194。
操作系统101c1是在离线认证支持服务器101的硬件上进行密切的基本的信息处理的操作系统。用户认证支持应用程序101c2是用于在操作系统101c1上生成运行的模式种子值183及验证码194并将其传送至离线双因素认证客户端151的应用程序软件。在离线认证支持服务器101为Web服务器的形态的情况下,用户认证支持应用程序101c2典型的是经由因特网或内部网的Web提供具备用CGI调用的形态或Java小程序的形态的认证支持程序的验证数据194的Web服务器程序。在离线认证支持服务器101为邮件服务器的形态的情况下,用户认证支持应用程序101c2典型的是经由因特网或内部网提供附加有具备生成验证数据194的程序的验证数据194的邮件的邮件服务器程序。密码存储部102典型的是硬盘驱动器等一部分区域,优选数据作为加密文件存储于密码存储部102。用户ID102a是用于唯一识别用户的数据。用户ID102a可以使用任意的符号串。如上述,一次性密码导出规则102b是通过对包含于提示模式的特定位置的模式元素进行应用,用于生成一次性密码的规则,是作为用户密码发挥作用的数据。客户端识别信息102c是要接受认证的用户使用的用于识别离线双因素认证客户端151的数据,是在生成提示模式时与模式种子值组合使用的数据。
在离线双因素用户认证系统100中,离线双因素认证客户端151是对来自用户的离线认证支持服务器请求进行响应并在离线的状态下实施认证的组件,是安装有:操作系统151c1、验证数据请求模块151c2、种子值选择及模式生成模块151c3、验证码确定及认证模块151c4、客户端识别信息取得模块151c5等的终端,具体而言,为PC、移动手机、PDA等形态。CPU151a是将验证数据请求模块151c2、种子值选择及模式生成模块151c3、验证码确定及认证模块151c4、客户端识别信息取得模块151c5等与操作系统151c1一起执行,进行用户认证请求有关的信息处理的处理器。RAM151b是提供在其上读入存储于存储装置151c的软件的存储器空间和由CPU151a执行读入的软件时所需要的工作区等的存储器。存储装置151c是存储及管理软件及数据等信息的组件,典型的是硬盘驱动器等形态。存储装置151c优选存储操作系统151c1、验证数据请求模块151c2、种子值选择及模式生成模块151c3、验证码确定及认证模块151c4、客户端识别信息取得模块151c5的程序文件,这些程序在RAM151b上读出执行。另外,存储装置151c也可以是涉及操作系统151c1、验证数据请求模块151c2、种子值选择及模式生成模块151c3、验证码确定及认证模块151c4、客户端识别信息取得模块151c5,并将该程序存储在ROM的形态。这种情况下,这样的ROM与CPU151a等程序执行因素同时构成固件。用户I/F151d为用于在用户之间进行数据的输入输出的组件,典型的形态未进行图示,但其包括:键盘196或软件键盘等键输入装置;在画面上显示信息的显示器等输出装置;它们之间的硬件I/F。外部/网络I/F151e是与搭载有USB存储器、软盘(注册商标)驱动器等存储装置、外部通信接口的外部设备或网络连接用于进行信息的输入输出的I/F。通过外部/网络I/F151e,能够从搭载外部通信接口的外部设备取得客户端识别信息。另外,通过外部/网络I/F151e,经由网络能够与离线认证支持服务器101连接。作为外部通信接口,能够使用USB、蓝牙(注册商标)、无线LAN、红外线通信、Felica(注册商标)及RFID的非接触通信等各种通信接口。作为连接的外部设备,能够使用USB存储器、无线通信用数据卡(USB连接、PC卡连接、ExpressCard连接等)、Felica及RFID等IC卡、移动手机、生物认证信息(指纹、虹彩、静脉等)读取机等。在将离线双因素认证客户端151与离线认证支持服务器101不用网络连接的方式下,不一定需要验证数据请求模块151c2。
另外,离线双因素认证客户端151与客户端识别信息存储部172连接,该客户端识别信息存储部172存储用户使用的离线双因素认证客户端151相关联的客户端识别信息102c。另外,本发明的离线双因素认证客户端151只要能够取得客户端识别信息102c即可,不需要具备客户端识别信息存储部172。虽然客户端识别信息存储部172也可以与离线双因素认证客户端151存在于相同框体内,但如果本发明的离线双因素认证客户端151可利用任何装置充分取得客户端识别信息102c,就足够了,将这种客户端识别信息存储部172作为必须构成不是包含的概念。
作为客户端识别信息102c,可以使用如下信息,即,内置于用户使用的离线双因素认证客户端151的硬件的信息(硬件相关信息);在用户使用的离线双因素认证客户端151的软件中附带的信息(软件相关信息);从与用户使用的离线双因素认证客户端151连接的外部设备取得的信息(外部设备相关信息);从内置或连接用户使用的离线双因素认证客户端151的生物认证信息读取器取得的用户生物信息(生物认证信息)等。
关于硬件相关信息,可以将CPU等硬件组件序列号、网络接口卡的MAC地址、硬盘的序列号等作为客户端识别信息102c使用。这种情况下,客户端识别信息存储部172变成CPU等硬件组件内的序列号ID的记录区域、网络接口卡的MAC地址的存储区域、硬盘序列号的存储区域等。通过对硬件进行适当的读出操作,利用总线从存储其的硬件取得硬件相关信息。
关于软件相关信息,可以将Windows(注册商标)操作系统的GUID(GloballyUniqueIDentifier)、产品ID、程序密钥、TCP/IP网络的IP地址等作为客户端识别信息102c使用。此时,客户端识别信息存储部172变成存储Windows(注册商标)操作系统的GUID的信息的硬盘上的文件及内存上的区域;存储Windows操作系统的产品ID和程序密钥的信息的硬盘上的文件及内存上的区域;存储TCP/IP网络的IP地址的设定信息的硬盘上的文件及内存上的区域等。通过使用操作系统的指令,从存储其的硬件上的硬盘上的文件及内存上的区域取得软件相关信息。
关于外部设备相关信息,可以将USB存储器的序列号、无线通信用数据卡、手机的序列号、合同人ID、电话号码、蓝牙、无线LAN搭载各种设备的序列号、Felica及RFID等IC卡的ID号码(序列号)等作为客户端识别信息102c使用。这种情况下,客户端识别信息存储部172变成USB存储器的序列号的存储区域;无线通信用数据卡、手机的序列号、合同人号码、电话号码的存储区域;蓝牙、无线LAN搭载各种设备的序列号的存储区域;Felica及RFID等IC卡的ID号码(序列号)的存储区域等。通过对该外部设备发送适当的读出指令,通过外部/网络I/F151e从存储其的外部设备取得外部设备相关信息。
关于生物认证信息,可以将通过利用生物认证信息读取机读取适于指纹、虹膜、静脉等适于确认本人的规定的生物模式而输出的生物认证信息作为客户端识别信息102c使用。这种情况下,客户端识别信息存储部172变成读取用户规定的生物模式并输出生物认证信息时生物认证信息读取机中的信息处理装置。即,将固定的用户规定的生物模式变换为生物认证信息相当于从客户端识别信息存储部172读出客户端识别信息102c。由对生物认证信息读取机发送适当的读取指令,通过总线(生物认证信息读取机内置的情况下)或外部/网络I/F151e(生物认证信息读取机与外部连接的情况下)从读取用户规定的生物模式的生物认证信息读取机取得生物认证信息。
操作系统151c1、验证数据请求模块151c2、种子值选择及模式生成模块151c3、验证码确定及认证模块151c4、客户端识别信息取得模块151c5也可以变为如下形态,即,将它们的一部分或全部组合,在形式上形成一体的程序。例如,验证数据请求模块151c2、种子值选择及模式生成模块151c3、验证码确定及认证模块151c4、客户端识别信息取得模块151c5也可以为一体。另外,它们也可以编入独立的应用程序,或也可以编入其它的应用程序。另外,它们也可以分别分割为多个程序。
操作系统151c1是在离线双因素认证客户端151的硬件上进行密切的基本的信息处理的操作系统即与离线双因素认证客户端151的硬件对应的基本程序。操作系统151c1也可以是以平台为基准的结构固件的形态。验证数据请求模块151c2是在离线双因素认证客户端151和离线认证支持服务器101在同一网络进行登录时,向离线认证支持服务器101请求验证数据194的生成及发送的程序,典型的是,在登录网络进行认证时利用操作系统151c1调用的模块的形态。种子值选择及模式生成模块151c3是如下程序,即,与操作系统151c1同时运行,通过规定的选择规则从验证数据194中所包含的多个模式种子值183选择一个模式种子值183,基于此生成模式元素串190,并生成提示模式191,典型的是在登录计算机进行认证时利用操作系统151c1调用的模块的形态。生成的提示模式191利用操作系统151c1显示于画面。验证码确定及认证模块151c4是如下程序,即与操作系统151c1同时运行的从验证数据194中所包含的多个验证码193中确定与显示的提示模式191对应的一个验证码193,比较要接受认证的用户通过操作系统151c1输入的一次性密码192和确定的验证码193,如果它们相同,则使对该用户的认证成功,典型的是,在登录计算机进行认证时利用操作系统151c1调用的模块的形态。验证数据请求模块c2、提示模式选择及生成模块c3、验证码确定及认证模块c4、客户端识别信息取得模块151c5也可以是以平台为基准的结构的固件的方式。客户端识别信息取得模块151c5是用于从用户使用的离线双因素认证客户端151取得客户端识别信息102c的程序,典型的是在登录计算机进行认证时利用操作系统151c1调用的模块的形态。
典型的是,操作系统151c1为客户端用Windows操作系统,验证数据请求模块151c2在登录网络进行认证时等等的在线时进行验证数据请求,种子值选择及模式生成模块151c3、验证码确定及认证模块151c4、客户端识别信息取得模块151c5在登录计算机进行认证画面显示提示模式191并向用户请求认证,基于本发明相关的认证方法实施用户的认证。由此,代替登录标准的Windows的认证,优选实施基于本发明相关的认证方法的用户认证。
登录标准的Windows的认证画面的变更,具体而言,如下进行实施。在此,以WindowsXP为例子进行说明。首先,将实现验证数据请求模块c2、提示模式选择及生成模块c3、验证码确定及认证模块c4、客户端识别信息取得模块151c5的功能的程序即登录认证模块作为Windows用的DLL文件进行制作。在此,制作“SmxGina.dll”的标识符的DLL文件。在此,对Windows的登录认证画面的程序在下面表示的注册表的位置中作为名字为“GinaDLL”的标识符的键值数据被指定。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
标准的登录认证的模块为“msgina.dll”的DLL文件,并将其设定为上述的“GinaDLL”的标识符的键值数据。将该键值数据改写为“SmxGina.dll”时,实施本发明相关的认证方法的登录认证模块“SmxGinaDLL”在登录等认证时被调用。
图9是双因素用户认证系统100的登录认证画面197A及197B的效果图。通过在Windows的登录时启动登录认证模块“SmxGinaDLL”,首先显示登录认证画面197A。在登录认证画面197A中显示用户名输入字段、登录地址输入字段。在离线双因素认证客户端151与网络域连接的状态下,通过在登录地址输入域名进行在线使用,因此,能够进行登录Windows的网络域的进行认证。在离线双因素认证客户端151与网络域未连接的状态下,通过在登录地址输入域名,作为网络域的用户,可以进行用于离线使用计算机的登录认证,通过在登录地址输入计算机名,作为本地计算机的用户,可以进行用于离线使用计算机的登录认证。用户将自己的用户ID作为输入用户ID181输入登录认证画面197A的用户名输入字段时,接着显示含有提示模式191的登录认证画面197B。在登录认证画面197B中有密码输入字段,作为一次性密码,利用键盘196输入数字等字符时,与之对应,逐一显示为“*”。
[离线双因素用户认证系统100的功能块构成]
图2是本发明的一个实施方式的离线双因素用户认证系统100的框图。图2是从合作实施软件和硬件资源的信息处理的观点表示图1所示的硬件构成的离线双因素用户认证系统100的图,即以功能块的单位表示该信息处理的图。在图2中,离线认证支持服务器101由密码存储部102、请求接收装置103、模式种子值产生装置104、模式种子值发送装置105、验证码生成装置106、验证码发送装置111构成。这些功能块如下,即,用户认证应用支持程序101c2的必要部分与操作系统101c1的必要部分同时从存储装置101c读入RAM101b上,通过利用CPU101a执行这些软件,RAM101b、存储装置101c、用户I/F101d、外部/网络I/F101e等硬件因素一起适当合作来实现的。
密码存储部102是涉及各用户,使用户ID102a、该用户的密码即一次性密码导出规则102b以及客户端识别信息102c彼此相关联地预先存储的组件,是通过与CPU101a、RAM101b、存储装置101c等软件合作而实现的功能块。请求接收装置103带有接受认证的用户的用户ID的信息,是接收生成和输出该用户的验证数据194的请求即验证数据请求的组件,是通过与CPU101a、RAM101b、用户I/F101d或外部/网络I/F101e等软件合作而实现的功能块。验证数据请求也可以通过网络从离线双因素认证客户端151接收,另外,也可以通过用户I/F101d直接输入至离线认证支持服务器101。模式种子值产生装置104是通过规定的产生规则产生多个与客户端识别信息102c一起规定提示模式的值即模式种子值183的组件,是通过与CPU101a、RAM101b等软件合作而实现的功能块。模式种子值发送装置105是为了使产生的多个模式种子值183存储于离线双因素认证客户端151进行输出的组件,是通过与CPU101a、RAM101b、用户I/F101d或外部/网络I/F101e等软件合作而实现的功能块。多个模式种子值183也可以通过网络发送至离线双因素认证客户端151,也可以输出至存储媒体。验证码生成装置106是如下组件,即,基于通过请求接收装置103输入的输入用户ID181及产生的各模式种子值183,与通过规定的模式元素串生成规则生成的模式元素串190构成的各提示模式191对应,在各提示模式191中所包含的模式元素中应用与该输入用户ID181相关联的一次性密码导出规则102b并对应用后取得的结果实施单向函数运算而得到的结果即验证码193,是通过与CPU101a、RAM101b等软件合作而实现的功能块。验证码发送装置111是为了使生成的多个验证码193存储于离线双因素认证客户端151进行输出的组件,是通过与CPU101a、RAM101b、用户I/F101d或外部/网络I/F101e等软件合作而实现的功能块。多个验证码193也可以通过网络发送至离线双因素认证客户端151,也可以输出至存储媒体。
离线双因素认证客户端151由用户ID输入装置152、验证数据请求发送装置153、模式种子值接收装置154、模式元素串生成装置155、模式显示装置156、一次性密码输入装置157、验证数据存储部161、验证码接收装置162、模式种子值选择装置163、验证码确定装置164、用户认证装置165、客户端识别信息取得装置171构成。这些功能块是由验证数据请求模块151c2、种子值选择及模式生成模块151c3、验证码确定及认证模块151c4、客户端识别信息取得模块151c5等与操作系统151c1的必要部分同时从存储装置151c读入到RAM151b上,通过利用CPU151a执行这些软件,RAM151b、存储装置151c、用户I/F151d、外部/网络I/F151e等硬件因素一起适当合作来实现的。在离线双因素认证客户端151并非通过网络从离线认证支持服务器101取得验证数据194的情况下,不一定需要验证数据请求装置153。
用户ID输入装置152是将要接受认证的用户的用户ID作为输入用户ID181接收输入的组件,是通过与CPU151a、RAM151b、用户I/F151d等软件合作而实现的功能块。为了使用户在在线状态下使用离线双因素认证客户端151,在登录网络进行认证的情况下,向验证数据请求装置153传送输入用户ID181,并发送验证数据请求。验证数据请求装置153是向离线认证支持服务器101发送含有输入的输入用户ID181的信息的验证数据请求的组件,是通过与CPU151a、RAM151b、外部/网络I/F151e等软件合作而实现的功能块。模式种子值接收装置154是取得构成在离线认证支持服务器101生成的验证数据194的多个模式种子值183的组件,是通过与CPU151a、RAM151b、用户I/F151d或外部/网络I/F151e等软件合作而实现的功能块。多个模式种子值183也可以通过网络从离线认证支持服务器101取得,也可以从存储多个模式种子值183的存储媒体取得。模式元素串生成装置155是基于由后述的模式种子值选择装置163选择的模式种子值183和由后述的客户端识别信息取得装置171取得的客户端识别信息102c,通过规定的生成规则生成提示模式191中所含有的模式元素的组件,是通过与CPU151a、RAM151b等软件合作而实现的功能块。模式显示装置156是按规定模式191p排列由模式元素串生成装置155生成的模式元素串190的模式元素而生成提示模式191,并在画面中显示提示模式的组件,是通过与CPU151a、RAM151b、用户I/F151d等软件合作而实现的功能块。一次性密码输入装置156是通过画面中显示的提示模式191等接收来自一次性密码192的用户的输入的组件,是通过与CPU151a、RAM151b、用户I/F151d等软件合作而实现的功能块。验证数据存储部161是使由用于某用户的多个模式种子值183及多个验证码193构成的验证数据194和该用户的用户ID102a相关联地进行存储的组件,是通过与CPU151a、RAM151b、存储装置151c等软件合作而实现的功能块。验证数据存储部161存储的验证数据194从模式种子值接收装置154及验证码接收装置162取得,在取得它们时使用的用户ID作为用户ID102a对应并将其进行存储。验证数据存储部161能够存储多个用户的验证数据194。验证码接收装置162是取得构成在离线认证支持服务器101中生成的验证数据194的多个验证码193的组件,是通过与CPU151a、RAM151b、用户I/F151d、外部/网络I/F151e等软件合作而实现的功能块。多个验证码193也可以通过网络从离线认证支持服务器101取得,也可以从存储其的存储媒体取得。模式种子值选择装置163是如下组件,即,确认是否将与输入用户ID181相同的用户ID作为用户ID102a进行了存储,在具有与输入用户ID181相同的用户ID的情况下,通过规定的规则,从与该用户ID相关联的验证数据194中所包含的多个模式种子值183中选择一个,由此,选择用于生成提示模式191的模式种子值183组件,是通过与CPU151a、RAM151b、存储装置151c等软件合作而实现的功能块。验证码确定装置164是对由模式种子值选择装置163选择的模式种子值183对应的验证码193进行确定的组件,是通过与CPU151a、RAM151b、存储装置151c等软件合作而实现的功能块。用户认证装置165是将对输入的一次性密码192实施与在生成验证码193时使用的运算相同的单向函数运算的值,和确定的验证码193进行比较,在它们相同时,判定为用户认证成功的组件,是通过与CPU151a、RAM151b等软件合作而实现的功能块。客户端识别信息取得装置171是取得识别要接受认证的用户使用的离线双因素认证客户端151的客户端识别信息102c的组件,在客户端识别信息102c为硬件相关信息或软件相关信息的情况下,是通过与CPU151a、RAM151b等软件合作而实现的功能块,在客户端识别信息102c为外部设备相关联信息的情况下,是通过与CPU151a、RAM151b、外部/网络I/F151e等软件合作而实现的功能块。
具体而言,离线双因素用户认证系统100具有如下构成。离线认证支持服务器101具有现有的在线状态下的离线认证支持服务器功能,根据该功能,可实施通过离线双因素认证客户端151的网络的用户认证。离线双因素认证客户端151在客户端用Windows操作系统中运行,在用户登录Windows时,登陆认证模块“SmxGinaDLL”启动,首先,显示登录认证画面197A。在离线双因素认证客户端151与网络域连接的状态下,在登录认证画面197A中在登录地址中指定域名并向网络请求认证的情况下,接着,显示登录认证画面197B,执行与当前的在线状态下的用户认证系统中实施的认证一样的用户认证,并且,当登录该网络的认证成功时,从离线双因素认证客户端151对离线认证支持服务器101发送验证数据请求,离线双因素认证客户端151在在线的状态下从离线认证支持服务器101预先取得并存储验证数据194。在离线双因素认证客户端151与网络域未连接的状态下,在登录认证画面197A中在登录地址中指定域名或计算机名并向计算机请求认证的情况下,接着,显示登录认证画面197B,基于预先存储的验证数据194,实施本发明的离线用户认证。
[离线双因素用户认证系统100的动作]
接着,对离线双因素用户认证系统100的动作进行说明。离线双因素用户认证系统100的动作大体上可以分为两个阶段。一个阶段为:离线双因素认证客户端151在离线认证支持服务器101生成用于成为接受用户认证的用户的验证数据194,并将其预先取得存储的阶段。另一个阶段为:离线双因素认证客户端151基于预先存储的验证数据194在离线的状态下对要接受用户认证的用户实施用户认证的阶段。
[离线双因素用户认证系统100的动作(1)-验证数据取得]
首先,对取得验证数据194的动作流程进行说明。图3是离线双因素用户认证系统100的验证数据取得的动作流程图。首先,成为在离线双因素用户认证系统100中接受认证的用户在离线认证支持服务器101中预先输入该用户ID102a、密码即一次性密码导出规则102b、识别该用户接受认证时使用的离线双因素认证客户端151的客户端识别信息102c进行注册。密码存储部102使该用户ID102a、一次性密码导出规则102b以及客户端识别信息102c彼此相关联并在用户认证前预先进行存储(步骤S101)。离线认证支持服务器101优选向因特网或内部网的Web上提供用于注册用户ID、密码、客户端识别信息102c的初始注册Web网页等,用户通过该初始注册Web网页从离线双因素认证客户端151等终端访问离线认证支持服务器101。因此,在离线双因素认证客户端151显示将用于用户ID输入的输入字段和0~9的数字作为随机数的模式元素配置的提示模式191(未图示)。用户在输入字段输入自己要注册的用户ID102a。接着,用户根据自己要注册的一次性密码导出规则102b,进行包含于提示模式191的模式元素的位置选择或不基于该提示模式191的固定数字等字符的输入。离线认证支持服务器101将输入的用户ID102a作为该用户的用户ID存储于密码存储部102。另一方面,只有选择或输入的数字串不能确定一次性密码导出规则102b。因此,离线认证支持服务器101显示不同的提示模式191,并进行通过密码导出规则102b的数字等字符的第二次选择或输入,将选择或输入的数字等字符串与第一次字符串进行比较,对一次性密码导出规则102b进行确定。如果设法使得第二次提示模式191与第一次提示模式191有较大的不同产生,则通常可以利用两个提示模式191的提示确定一次性密码导出规则192b。在不能用两次提示模式191的提示确定一次性密码导出规则102b的情况下,改变提示模式191的内容并反复该提示,直到可确定一次性密码导出规则102b为止。由此,确定一次性密码导出规则102b,其是在包含于提示模式191的模式元素内选择的各元素的位置及不基于该提示模式191的固定的各字符和选择或输入该各模式元素的位置即该各固定的字符的顺序组合。特定的一次性密码导出规则102b与该用户的用户ID102a有关并存储于密码存储部102。另外,优选以能够从初始注册Web网页下载种子值选择及模式生成模块151c3、验证码确定及认证模块、客户端识别信息取得模块151c5等离线双因素请求客户端151所需要的软件的方式构成。由此,能够在可访问该初始注册Web网页的任意的PC中形成模式元素串生成装置155及客户端识别信息取得装置171,并可将其作为离线双因素认证客户端151运行。
为了注册用户ID102a和一次性密码导出规则102b,离线双因素认证客户端151在访问离线认证支持服务器101时,客户端识别信息取得装置171运行,由此,离线双因素认证客户端151取得可取得的客户端识别信息102c,并发送至离线认证支持服务器101。这也可以在用户ID102a和一次性密码导出规则102b的注册前进行,也可以在注册后进行。此时,初始注册Web网页是为了选择各种客户端识别信息102c的取得方(具有CPU、MAC地址、硬盘、Windows操作系统的GUID、产品ID、产品键、IP地址、USB存储器、无线通信用数据卡、移动手机、蓝牙、无线LAN搭载各种设备、Felica、RFID、生物认证信息读取机等客户端识别信息存储部172的设备)而显示。在此,优选通过总线及外部/网络I/F扫描确认客户端识别信息取得装置171可取得的客户端识别信息102c,并只显示可取得客户端识别信息102c的取得方。另外,也可以以如下方式构成,即,离线双因素用户认证系统100的管理者预先设定1个或多个客户端识别信息102c的取得位置,则用户不用选择获取地址。用户选择显示的任意获取地址时,利用客户端识别信息取得装置171从选择的获取地址读出客户端识别信息102c。另外,用户也可以选择多个获取地址。这种情况下,也可以使这些多个客户端识别信息102c与模式种子值183同时组合,生成提示模式191,也可以将用于认证的因素数实质性地扩展为三因素以上的多因素。读出的客户端识别信息102c发送至离线认证支持服务器101,离线认证支持服务器101通过使得接收的客户端识别信息102c与用户ID102a及一次性密码导出规则102b相关联,并存储在密码存储部102,进行注册。当这些注册操作结束时,离线认证支持服务器101可以生成用于对该用户的认证的验证数据194,该用户可以接受离线双因素用户认证系统100的认证。另外,在注册客户端识别信息102c时,优选在任意场所存储该获得地址的信息。是因为,由此,在用户接受认证时,可以使用存储的获得地址的信息自动地设定客户端识别信息102c的获取地址。例如,可以在离线双因素认证客户端151的存储装置151c内设置规定的存储区域,在该存储区域使获取地址信息与用户ID102a相关联并存储。
接着,在离线双因素认证客户端151中,要接受认证的用户将自己的用户ID作为输入用户ID181由用户ID输入装置152输入(步骤S103)。典型的是,在离线双因素认证客户端151与网络域连接的状态下,用户在离线双因素认证客户端151的Windows登录认证画面197A中在用户名字段输入自己的用户ID,并输入域名作为登录地址,进行用户认证的请求。由此,输入用户ID181输入于离线双因素认证客户端151。接着,显示登录认证画面197B,通过与现有的用户认证方法一样的方法实施用户认证。当用户认证成功时,接着,离线双因素认证客户端151利用验证数据请求装置153向离线认证支持服务器101发送带有输入的输入用户ID181的验证数据194的生成和输出的请求(步骤S105)。典型的是,显示登录认证画面197A及197B的登录认证模块“SmxGinaDLL”访问用于输出离线认证支持服务器101提供于网络上的验证数据194的资源,并发送含有输入用户ID181信息的验证数据请求的数据,。该资源典型的是可以以HTTPS协议存取的Java(注册商标)小程序的方式。接着,离线认证支持服务器101利用请求接收装置103接收带有从离线双因素认证客户端151发送的输入用户ID181的验证数据请求(步骤S107)。典型的是,离线认证支持服务器101利用模式种子值产生装置104通过规定的产生规则产生多个模式种子值183(步骤S109)。规定的产生规则典型的是产生规定范围内的随机数。在图5中,以16进数表示的“284E17…39D0”等作为模式种子值183作为例子。模式种子值183可以用例如16字节的规定位长的数字串表示,这种情况下,该规定的范围为以16进数从“0000000000000000”到“FFFFFFFFFFFFFFFF”的范围。因此,因为可以将该规定范围的任意数字串作为模式种子值183,所以可以最大限度生成只是该规定范围的数的不同的提示模式191。
接着,离线认证支持服务器101利用验证码生成装置106生成多个验证码193,该验证码193为:基于客户端识别信息102c及产生的各模式种子值183,通过规定的模式元素串生成规则生成模式元素串190,并对应由该模式元素串190构成的各提示模式191,在各提示模式191中包含的模式元素串中应用与该输入用户ID181相关联的一次性密码导出规则102b并对应用后取得的结果实施单向函数运算的值。(步骤S111)。在此,规定的模式元素串生成规则是相对于客户端识别信息102c和模式种子值183的组合确定为唯一的模式元素串,是产生极其难以仅由模式元素串推定初始的客户端识别信息102c和模式种子值183的规则,典型的是下面叙述那样,将客户端识别信息102c和模式种子值183的组合作为一种初始值的加密运算的规则。图6是提示模式191的生成方法的概念图。在此,模式元素串190基于“C8E30B178422”的客户端识别信息102c和“284E17…39D0”的模式种子值183生成。因此,首先,利用客户端识别信息102c和模式种子值183的组合,唯一地生成规定的数字串。在图6的第一段及第二段表示的例子中,分别结合用16进数表示的客户端识别信息102c和模式种子值183,生成规定的数字串。作为客户端识别信息102c和模式种子值183的组合方法,除此之外,还可以使用加法、减法、异等所谓的运算进行组合。接着,对该规定的数字串实施加密运算,生成规定位长的位串184。在此,为了生成由64个数字构成的提示模式191,规定位长是作为充分的信息量的256位。作为加密运算,只要是事实上不可能从运算结果求得初始的数字串即可,可以使用散列函数运算、公共密钥加密运算等。例如,作为散列函数,使用SHA256对该规定的数字串进行加密时,可以生成256位的位串184。另外,作为公共密钥加密运算,使用AES,由该规定的数字串生成键并利用该键对预先适当设定的256位的数字串进行加密时,可以生成256位的位串184。另外,也可以组合这些散列函数运算和公共密钥加密运算。另外,图6所示的位串184“0111001011001101…11010”的值是用于说明的示例,不表示正确的SHA256运算结果。接着,将256位的位串184变换为77位的十进数,然后,提取64位的数字并作为模式元素串190。另外,图6所示的模式元素串190“38064655…1017”的值为用于说明的示例,不表示正确的变换及提取结果。64位的数字提取可以使用删除不需要的上位位串、删除不需要的下位位串、除法等所谓的运算。通过这种规定的模式元素串生成规则生成模式元素串190,并对由该模式元素串190构成的各提示模式191中所含有的模式元素应用一次性密码导出规则102b并生成正确的一次性密码,对该一次性密码实施单向函数运算,由此,生成验证码193。
接着,离线认证支持服务器101利用模式种子值发送装置105向离线双因素认证客户端151发送产生的多个模式种子值183(步骤S113)。典型的是,离线认证支持服务器101使用户认证支持应用程序101c2运行,由此,向离线双因素认证客户端151发送多个模式种子值183。接着,离线双因素认证客户端151利用模式种子值接收装置154,接收从离线认证支持服务器101发送的多个模式种子值183,使其与输入用户ID181相关联并存储在验证数据存储部161(步骤S115)。典型的是,在离线双因素认证客户端151上运行的登录认证模块“SmxGinaDLL”接收并存储多个模式种子值183。接着,离线认证支持服务器101利用验证码发送装置111向离线双因素认证客户端151发送产生的多个验证码193(步骤S117)。典型的是,离线认证支持服务器101使用户认证支持应用程序101c2运行,由此,向离线双因素认证客户端发送多个验证码193。接着,离线双因素认证客户端151利用验证码接收装置162接收从离线认证支持服务器101发送的多个验证码193,使其与对应的模式种子值183相关联并存储于验证数据存储部161(步骤S119)。典型的是,在离线双因素认证客户端151上运行的登录认证模块“SmxGinaDLL”接收并存储多个验证码193。通过以上的运行,与输入用户ID181对应的验证数据194存储于离线双因素认证客户端151,离线用户认证的准备结束。
另外,验证数据请求也可以不经由网络而直接输入于离线认证支持服务器101。此时,在离线认证支持服务器101输入带有输入用户ID181的验证数据请求,并使与之对应的验证数据194输出于存储媒体等。离线双因素认证客户端151从该存储媒体读入验证数据194并进行存储。
[离线双因素用户认证系统100的动作(2)-用户认证]
接着,对离线状态下的用户认证的动作流程进行说明。图4是离线双因素用户认证系统100的离线用户认证的动作流程图。首先,要接受认证的用户通过用户ID输入装置152对离线双因素认证客户端151输入该用户ID(步骤S151)。典型的是,在离线双因素认证客户端151与网络域未连接的状态下,用户在离线双因素认证客户端151的Windows登录认证画面197A中在用户名字段输入自己的用户ID,并指定域名或计算机名作为登录地址的用户认证的请求,由此,将输入用户ID181输入。接着,离线双因素认证客户端151利用模式种子值选择装置163确认输入用户ID181包含于存储于验证数据存储部161的用户ID102a(步骤S153)。由此,确认将与要接受认证的用户相关联的验证数据194被存储了并能够进行离线用户认证。接着,离线双因素认证客户端151利用模式种子值选择装置163,通过规定的规则,从与输入用户ID181相关联的多个模式种子值183中选择一个模式种子值183(步骤S155)。作为选择的模式种子值183,优选的是,为了在该用户的认证中使用,在存储的多个模式种子值183中,不选择已选择过的模式种子值183,直至下次从离线认证支持服务器101重新取得存储验证数据194。由此,每次离线用户认证,都可以显示不同的提示模式191,可排除循环攻击,因此,能够进一步提高安全性。在例如存储100个模式种子值183的情况下,在重新取得验证数据194的期间内,可以连续实施100次的离线用户认证。未选择的模式种子值183变少时,显示该意思的警告。所有的模式种子值183被选择时,不能进行更多新的用户认证。接着,离线双因素认证客户端151利用验证码确定装置164从与输入用户ID181相关联的多个验证码193中确定与在步骤S155中选择的模式种子值183对应的验证码(步骤S157)。接着,离线双因素认证客户端151对用户选择客户端识别信息102c的取得地址,利用客户端识别信息取得装置171从选择的取得地址取得客户端识别信息102c(步骤S159)。另外,在注册客户端识别信息102c时的取得地址存储于存储装置151c内的规定区域的情况下,通过使用该取得地址的信息,客户端识别信息102c的取得地址在离线双因素认证客户端151中自动地设定。此时,不需要选择用户的客户端识别信息102c的取得地址。接着,离线双因素认证客户端151基于由模式元素串生成装置155在步骤S159中取得的客户端识别信息102c和在步骤S157中选择的模式种子值183,通过规定的模式元素串生成规则,生成构成提示模式191的模式元素串190(步骤S161)。该规定的模式元素串生成规则与在步骤S111中说明的规则完全相同。接着,离线双因素认证客户端151利用模式显示装置156生成图像并使该图像显示于离线双因素认证客户端151的画面中,该图像为在由4个4×4的矩阵构成的各模式元素的位置上配置生成的各模式元素串190的模式元素(步骤S163)。典型的是,如图9所示,在登录认证画面197A之后,显示含有提示模式191的登录认证画面197B。
要接受认证的用户依次实施在显示于离线双因素认证客户端151画面的提示模式191的特定位置选择显示的模式元素(0~9的任意数字),或输入不基于提示模式191的静态的数字等字符,由此,在离线双因素认证客户端151输入将自己的一次性密码导出规则102b应用到提示模式191的结果即一次性密码192。离线双因素认证客户端151利用一次性密码输入装置157接收一次性密码192的输入(步骤S165)。
接着,离线双因素认证客户端151利用用户认证装置165比较对输入的一次性密码192实施与生成的验证码193时使用的运算相同的单向函数运算的结果和所确定的验证码193,如果它们相同,则判定为该用户的用户认证成功(步骤S167)。当认证成功时,如下,允许与用户认证的利用方式对应的服务。即,在向Windows登录认证的情况下,Windows启动并对该用户提供对应的环境。
另外,以将用于认证的因素数实质性地扩展为三因素以上的多因素为目的,为了以使多个客户端识别信息102c同时与模式种子值183组合而生成提示模式191的方式构成,在处理客户端识别信息102c的装置及步骤中,只要以使用多个客户端识别信息102c的方式构成本发明即可。具体而言,也可以是以如下方式构成,即,密码存储部102是使用户的用户ID、该用户的一次性密码导出规则以及分别识别该用户使用的离线双因素认证客户端151的多个客户端识别信息102c彼此相关联并预先进行存储的存储部,模式种子值产生装置104是通过规定的产生规则产生与多个客户端识别信息组合而将提示模式确定为唯一的值即模式种子值的装置,客户端识别信息取得装置171是取得识别要接受认证的用户使用的离线双因素认证客户端151的多个客户端识别信息102c的装置,模式元素串生成装置155是基于取得的多个客户端识别信息102c和选择的模式种子值183,通过规定的模式元素串生成模式元素串190的装置,验证码生成装置106也可以以如下方式构成,即,基于接收的用户ID相关联的多个客户端识别信息102c及产生的各模式种子值183,由通过规定的模式元素串生成规则生成模式元素串构成各提示模式,对应各提示模式,在各提示模式中所包含的模式元素应用接收的用户ID相关联的一次性密码导出规则并对应用后取得的结果实施单向函数运算即生成验证码。
另外,在以上说明的动作流程中,只要在某步骤中不产生利用在该步骤中不应再利用的数据等动作流程上的矛盾,就可以任意变更动作流程。
以上说明的各实施方式是用于说明本发明的示例,本发明不限定于这些实施方式。只要本发明不脱离其宗旨,就可以用各种方式进行实施。
符号说明
100离线双因素用户认证系统
101离线认证支持服务器
101aCPU
101bRAM
101c存储装置
101c1操作系统
101c2用户认证支持应用程序
101d用户接口(I/F)
101e外部/网络接口(I/F)
102密码存储部
102a用户ID
102b一次性密码导出规则
102c客户端识别信息
103请求接收装置
104模式种子值产生装置
105模式种子值发送装置
106验证码生成装置
111验证码发送装置
151离线双因素认证客户端
151aCPU
151bRAM
151c存储装置
151c1操作系统
151c2验证数据请求模块
151c3种子值选择及模式生成模块
151c4验证码确定及认证模块
151c5客户端识别信息取得模块
151d用户接口(I/F)
151e外部/网络(I/F)
152用户ID输入装置
153验证数据请求装置
154模式种子值接收装置
155模式元素串生成装置
156模式显示装置
157一次性密码输入装置
161验证数据存储部
162验证码接收装置
163模式种子值选择装置
164验证码确定装置
165用户认证装置
171客户端识别信息取得装置
172客户端识别信息存储部
181输入用户ID
183模式种子值
184位串
190模式元素串
191提示模式
191p规定模式
192一次性密码
193验证码
194验证数据
196键盘
197A登录认证画面
197B登录认证画面

Claims (18)

1.一种离线双因素用户认证系统,将排列为规定模式的多个模式元素作为提示模式向接受认证的用户使用的客户端进行提示,将用于通过选择该提示模式中所含有的特定位置的模式元素而生成一次性密码的、并作为所选择的模式元素的各个位置和其选择顺序的组合的信息的一次性密码导出规则作为该用户在离线状态下的密码,并将识别所述用户使用的所述客户端的信息进一步用于所述认证,其特征在于,
所述离线双因素用户认证系统具有:
离线认证支持服务器,其支持所述用户在离线状态下的认证;
离线双因素认证客户端,其是可以利用网络与所述离线认证支持服务器连接,在网络非连接状态下即离线状态下可进行所述用户的认证的终端,
所述离线双因素认证客户端具有:
用户ID输入装置,其从所述用户接收用户ID的输入;
用户ID发送装置,其向所述离线认证支持服务器发送输入的所述用户ID,
所述离线认证支持服务器具有:
密码存储部,其使所述用户的用户ID、该用户的一次性密码导出规则以及识别所述用户使用的所述离线双因素认证客户端的客户端识别信息彼此相关联地预先进行存储;
模式种子值产生装置,其按规定的产生规则产生多个与所述客户端识别信息组合并唯一性地决定所述提示模式的值即模式种子值;
用户ID接收装置,其从所述离线双因素认证客户端接收接受认证的用户的用户ID;
验证码生成装置,其生成多个验证码,所述验证码为:基于与接收到的所述用户ID相关联的所述客户端识别信息及产生的各所述模式种子值,按规定的模式元素串生成规则生成各模式元素串,并对应由各模式元素串所构成的各提示模式,在所述各提示模式中包含的模式元素中应用与接收的所述用户ID相关联的所述一次性密码导出规则并对应用后取得的结果实施单向函数运算而得到的验证码;
模式种子值发送装置,其向接受认证的用户的离线双因素认证客户端发送产生的多个所述模式种子值;
验证码发送装置,其向接受认证的用户的离线双因素认证客户端发送生成的多个所述验证码,
所述离线双因素认证客户端还具有:
模式种子值接收装置,其接收所述离线认证支持服务器发送的多个所述模式种子值;
模式种子值存储部,其存储接收的多个所述模式种子值;
验证码接收装置,其接收所述离线认证支持服务器发送的多个所述验证码;
验证码存储部,其使接收的多个所述验证码和与所述验证码对应的模式种子值相关联并进行存储;
模式种子值选择装置,其选择所述模式种子值存储部存储的多个所述模式种子值中的一个模式种子值,用于所述用户认证;
验证码确定装置,其确定对应于选择的所述模式种子值的验证码;
客户端识别信息取得装置,其取得识别要接受认证的所述用户使用的所述离线双因素认证客户端的所述客户端识别信息;
模式元素串生成装置,其基于取得的所述客户端识别信息和选择的所述模式种子值,按所述规定的模式元素串生成规则生成模式元素串;
模式显示装置,其将生成的所述模式元素串中所含有的各模式元素按所述规定模式排列,生成提示模式,并将该提示模式显示于画面中;
一次性密码输入装置,其接收所述用户输入的、对包含于所述提示模式的模式元素应用所述一次性密码导出规则而得到的结果即一次性密码;
用户认证装置,其比较对输入的所述一次性密码实施所述单向函数运算而得到的结果和所确定的所述验证码,在它们相同的情况下,离线判定所述用户的认证成功。
2.如权利要求1所述的离线双因素用户认证系统,其中,所述一次性密码导出规则是在所选择的模式元素的各个位置和其选择顺序的组合的信息中,进一步添加固定密码的规则。
3.如权利要求1所述的离线双因素用户认证系统,其特征在于,
所述密码存储部是使所述用户的用户ID、该用户的一次性密码导出规则、分别识别所述用户使用的所述离线双因素认证客户端的多个客户端识别信息彼此相关联并将其进行预先存储的存储部,
所述模式种子值产生装置是按规定的产生规则产生多个与所述多个客户端识别信息组合并唯一性地决定所述提示模式的值即模式种子值的装置,
所述验证码生成装置生成多个验证码,所述验证码为:基于与接收的所述用户ID相关联的所述多个客户端识别信息及产生的各所述模式种子值,按规定的模式元素串生成规则生成各模式字符串,并对应由各模式字符串所构成的各提示模式,在所述各提示模式中包含的模式元素中应用与接收的所述用户ID相关联的所述一次性密码导出规则并对应用后取得的结果实施单向函数运算而得到的验证码,
所述客户端识别信息取得装置是取得识别要接受认证的所述用户使用的所述离线双因素认证客户端的所述多个客户端识别信息的装置,
所述模式元素串生成装置是基于取得的所述多个客户端识别信息和选择的所述模式种子值,按所述规定的模式元素串生成规则生成模式元素串的装置。
4.如权利要求1所述的离线双因素用户认证系统,其特征在于,
所述模式种子值产生装置是通过规定的产生规则产生多个与所述用户ID及所述客户端识别信息组合而唯一性地决定所述提示模式的值即模式种子值的装置,
所述验证码生成装置生成多个验证码,所述验证码为:基于接收的所述用户ID和与接收的所述用户ID相关联的所述客户端识别信息及产生的各所述模式种子值,按规定的模式元素串生成规则生成各模式元素串,并对应于各模式元素串所构成的各提示模式,在所述各提示模式中包含的模式元素中应用与所述用户ID相关联的所述一次性密码导出规则并对应用后取得的结果实施单向函数运算而得到的验证码,
所述模式元素串生成装置是基于输入的所述用户ID、识别要接受认证的所述用户使用的所述离线双因素认证客户端的所述客户端识别信息以及选择的所述模式种子值,按所述规定的模式元素串生成规则生成模式元素串的装置。
5.如权利要求1所述的离线双因素用户认证系统,其中,
所述客户端识别信息取得装置取得内置于所述离线双因素认证客户端的硬件的识别信息。
6.如权利要求1所述的离线双因素用户认证系统,其中,
所述客户端识别信息取得装置取得所述离线双因素认证客户端的操作系统的ID信息。
7.如权利要求1所述的离线双因素用户认证系统,其中,
所述客户端识别信息取得装置取得设定于所述离线双因素认证客户端的网络地址信息。
8.如权利要求1所述的离线双因素用户认证系统,其中,
所述客户端识别信息取得装置通过所述离线双因素认证客户端的接口取得外部设备的识别信息。
9.如权利要求1所述的离线双因素用户认证系统,其中,
所述客户端识别信息取得装置取得要接受认证的用户的生物识别信息。
10.一种离线双因素用户认证方法,其在离线双因素认证客户端中在网络非连接状态即离线状态下进行用户的认证,所述离线双因素认证客户端可通过网络与离线认证支持服务器连接,所述离线双因素认证客户端将排列为规定模式的多个模式元素作为提示模式向接受认证的用户使用的客户端进行提示,将用于通过选择该提示模式中所含有的特定位置的模式元素而生成一次性密码的、并作为所选择的模式元素的各个位置和其选择顺序的组合的信息的一次性密码导出规则作为该用户在离线状态下的密码,并将识别所述用户使用的所述客户端的信息进一步用于所述认证,由此来支持所述用户的离线状态下的认证,
所述离线双因素用户认证方法的特征在于,具有:
所述离线认证支持服务器使所述用户的用户ID、该用户的一次性密码导出规则以及识别所述用户使用的所述离线双因素认证客户端的客户端识别信息彼此相关联并预先存储的步骤;
所述离线双因素认证客户端接收接受认证的用户输入的用户ID的步骤;
所述离线双因素认证客户端向所述离线认证支持服务器发送输入的所述用户ID的步骤;
所述离线认证支持服务器按规定的产生规则,产生多个与所述客户端识别信息组合并唯一性地决定所述提示模式的值即模式种子值的步骤;
所述离线认证支持服务器从所述离线双因素认证客户端接收接受认证的用户的用户ID的步骤;
所述离线认证支持服务器生成多个验证码的步骤,所述验证码为:基于与接收的所述用户ID相关联的所述客户端识别信息及产生的各所述模式种子值,按规定的模式元素串生成规则生成各模式元素串,并对应于各模式元素串所构成的各提示模式,在各提示模式中包含的模式元素中应用与接收的所述用户ID相关联的所述一次性密码导出规则并对应用后取得的结果实施单向函数运算而得到的验证码;
所述离线认证支持服务器向接受认证的用户的离线双因素认证客户端发送产生的多个所述模式种子值的步骤;
所述离线认证支持服务器向接受认证的用户的离线双因素认证客户端发送生成的多个所述验证码的步骤;
所述离线双因素认证客户端接收从所述离线认证支持服务器发送的多个所述模式种子值的步骤;
所述离线双因素认证客户端存储接收的多个所述模式种子值的步骤;
所述离线双因素认证客户端接收从所述离线认证支持服务器发送的多个所述验证码的步骤;
所述离线双因素认证客户端使接收的多个所述验证码和与其对应的模式种子值相关联并进行存储的步骤;
所述离线双因素认证客户端在存储的多个所述模式种子值中选择一个模式种子值用于所述用户的认证的步骤;
所述离线双因素认证客户端确定对应于所选择的所述模式种子值的验证码的步骤;
所述离线双因素认证客户端取得识别要接受认证的所述用户使用的所述离线双因素认证客户端的所述客户端识别信息的步骤;
所述离线双因素认证客户端基于取得的所述客户端识别信息和选择的所述模式种子值,按所述规定的模式元素串生成规则生成模式元素串的步骤;
所述离线双因素认证客户端将生成的所述模式元素串中所含有的各模式元素按所述规定模式排列,生成提示模式,并将该提示模式显示于画面中的步骤;
所述离线双因素认证客户端接收所述用户输入的、对包含于所述提示模式的模式元素应用所述一次性密码导出规则的结果即一次性密码的步骤;
所述离线双因素认证客户端将对输入的所述一次性密码实施所述单向函数运算的结果和所确定的所述验证码进行比较,在它们相同的情况下,离线判定所述用户的认证成功的步骤。
11.如权利要求10所述的离线双因素用户认证方法,其中,所述一次性密码导出规则是在所选择的模式元素的各个位置和其选择顺序的组合的信息中,进一步添加固定密码的规则。
12.一种离线双因素认证客户端,其是离线双因素用户认证系统中的在离线状态下进行所述用户认证的终端,该离线双因素用户认证系统为:将排列为规定模式的多个模式元素作为提示模式向接受认证的用户使用的客户端进行提示,将用于通过选择该提示模式中所含有的特定位置的模式元素而生成一次性密码的、并作为所选择的模式元素的各个位置和其选择顺序的组合的信息的一次性密码导出规则作为该用户在离线状态下的密码,并将识别所述用户使用的所述客户端的信息进一步用于所述认证,
所述离线双因素认证客户端的特征在于,具有:
模式种子值输入装置,其预先接收模式种子值的输入,所述模式种子值为:与按规定的产生规则预先产生的多个识别所述离线双因素认证客户端的客户端识别信息组合而唯一性地决定所述提示模式的值;
模式种子值存储部,其预先存储输入的多个所述模式种子值;
验证码输入装置,其预先接收验证码的输入,所述验证码为:基于与接受认证的用户的用户ID相关联的所述客户端识别信息及预先产生的各所述模式种子值,按规定的模式元素串生成规则生成各模式元素串,并对应由各模式元素串所构成的各提示模式,而预先生成多个在各提示模式中包含的模式元素中应用与接收所述认证的用户相关联的作为密码的所述一次性密码导出规则并对应用后取得的结果实施单向函数运算而得到的验证码;
验证码存储部,其预先存储输入的多个所述验证码;
用户ID输入装置,其接收要接受认证的用户输入的所述用户ID;
模式种子值选择装置,其选择所述模式种子值存储部预先存储的多个所述模式种子值中的一个模式种子值,用于所述用户的认证;
验证码确定装置,其确定对应于选择的所述模式种子值的验证码;
客户端识别信息取得装置,其取得识别要接受认证的所述用户使用的所述离线双因素认证客户端的所述客户端识别信息;
模式元素串生成装置,其基于取得的所述客户端识别信息和选择的所述模式种子值,按所述规定的模式元素串生成规则,生成模式元素串;
模式显示装置,其将生成的所述模式元素串中所包含的各模式元素按所述规定模式排列,而生成提示模式并将其在画面中显示;
一次性密码输入装置,其接收所述用户输入的、在所述提示模式中所包含的模式元素中应用所述一次性密码导出规则的结果即一次性密码;
用户认证装置,其比较对输入的所述一次性密码实施所述单向函数运算的结果和所确定的所述验证码,在它们相同的情况下,离线判定所述用户的认证为成功。
13.如权利要求12所述的离线双因素认证客户端,其中,所述一次性密码导出规则是在所选择的模式元素的各个位置和其选择顺序的组合的信息中,进一步添加固定密码的规则。
14.一种离线双因素用户认证方法,其在离线双因素用户认证系统中的在离线状态下进行所述用户认证的终端即离线双因素认证客户端进行认证,该离线双因素用户认证系统为:将排列为规定模式的多个模式元素作为提示模式向接受认证的用户使用的客户端进行提示,将用于通过选择该提示模式中所含有的特定位置的模式元素而生成一次性密码的、并作为所选择的模式元素的各个位置和其选择顺序的组合的信息的一次性密码导出规则作为该用户在离线状态下的密码,并将识别所述用户使用的所述客户端的信息进一步用于所述认证,
所述离线双因素用户认证方法的特征在于,具有:
预先接收多个模式种子值的输入的步骤,所述模式种子值为:按规定的产生规则预先产生的、与识别所述离线双因素认证客户端的客户端识别信息组合而唯一性地决定所述提示模式的值;
预先存储输入的多个所述模式种子值的步骤;
预先接收验证码的输入的步骤,所述验证码为:基于与接受认证的用户的用户ID相关联的所述客户端识别信息及所述预先产生的各所述模式种子值,按规定的模式元素串生成规则生成各模式元素串,对应于由各模式元素串所构成的各提示模式,预先产生多个在所述各提示模式中包含的模式元素中应用与接受认证的用户相关联的作为密码的所述一次性密码导出规则并对应用后取得的结果实施单向函数运算而得到的验证码;
预先存储输入的多个所述验证码的步骤;
接收要接受认证的用户输入的所述用户ID的步骤;
为用于所述用户的认证,选择预先存储的多个所述模式种子值中的一个模式种子值的步骤;
确定对应于所选择的所述模式种子值的验证码的步骤;
取得识别要接受认证的所述用户使用的所述离线双因素认证客户端的所述客户端识别信息的步骤;
基于取得的所述客户端识别信息和选择的所述模式种子值,按所述规定的模式元素串生成规则生成模式元素串的步骤;
将生成的所述模式元素串中所含有的各模式元素按所述规定模式排列,生成提示模式,并将该提示模式显示于画面中的步骤;
接收所述用户输入的一次性密码的步骤,所述一次性密码为对包含于所述提示模式的模式元素应用所述一次性密码导出规则的结果;
比较对输入的所述一次性密码实施所述单向函数运算的结果和所确定的所述验证码,在它们相同的情况下,离线判定所述用户的认证成功的步骤。
15.如权利要求14所述的离线双因素用户认证方法,其中,所述一次性密码导出规则是在所选择的模式元素的各个位置和其选择顺序的组合的信息中,进一步添加固定密码的规则。
16.一种离线双因素用户认证程序,其在离线双因素用户认证系统中对离线的离线双因素认证客户端执行离线双因素用户认证方法,所述离线双因素用户认证系统为:将排列为规定模式的多个模式元素作为提示模式向接受认证的用户使用的客户端进行提示,将用于通过选择该提示模式中所含有的特定位置的模式元素而生成一次性密码的、并作为所选择的模式元素的各个位置和其选择顺序的组合的信息的一次性密码导出规则作为该用户在离线状态下的密码,并将识别所述用户使用的所述客户端的信息进一步用于所述认证,所述离线双要素用户认证程序的特征在于,
所述离线双因素用户认证方法具有:
预先接收按规定的产生规则产生的多个模式种子值的步骤,所述模式种子值为:与所述客户端识别信息组合而唯一性地决定所述提示模式的值;
预先存储输入的多个所述模式种子值的步骤;
预先接收验证码的输入的步骤,所述验证码为:基于与接受认证的用户的用户ID相关联的所述客户端识别信息及预先产生的各所述模式种子值,按规定的模式元素串生成规则生成各模式元素串,并对应于各模式元素串所构成的各提示模式而预先生成多个在所述各提示模式中包含的模式元素中应用与接受所述认证的用户相关联的作为密码的所述一次性密码导出规则并对应用后取得的结果实施单向函数运算而得到的验证码;
预先存储输入的多个所述验证码的步骤;
接收要接受认证的用户输入的所述用户ID的步骤;
为用于所述用户的认证,选择预先存储的多个所述模式种子值中的一个模式种子值的步骤;
确定对应于选择的所述模式种子值的验证码的步骤;
取得识别要接受认证的所述用户使用的所述离线双因素认证客户端的所述客户端识别信息的步骤;
基于取得的所述客户端识别信息和选择的所述模式种子值,按所述规定的模式元素串生成规则生成模式元素串的步骤;
将生成的所述模式元素串中所含有的各模式元素按所述规定模式排列,生成提示模式,并将该提示模式显示于画面中的步骤;
接收所述用户输入的、对包含于所述提示模式的模式元素应用所述一次性密码导出规则的结果即一次性密码的步骤;
比较对输入的所述一次性密码实施所述单向函数运算的结果和所确定的所述验证码,在它们相同的情况下,离线判定所述用户的认证成功的步骤。
17.如权利要求16所述的离线双因素用户认证程序,其中,所述一次性密码导出规则是在所选择的模式元素的各个位置和其选择顺序的组合的信息中,进一步添加固定密码的规则。
18.如权利要求16所述的离线双因素用户认证程序,其中,
所述离线用户认证程序为在操作系统启动时通过该操作系统的设定而被调用的登录认证程序的形态。
CN201080065516.4A 2010-10-05 2010-10-05 离线双因素用户认证系统、其方法及其程序 Active CN102804201B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2010/067472 WO2012046303A1 (ja) 2010-10-05 2010-10-05 オフライン二要素ユーザ認証システム、その方法、およびそのプログラム

Publications (2)

Publication Number Publication Date
CN102804201A CN102804201A (zh) 2012-11-28
CN102804201B true CN102804201B (zh) 2016-01-20

Family

ID=44292671

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201080065516.4A Active CN102804201B (zh) 2010-10-05 2010-10-05 离线双因素用户认证系统、其方法及其程序

Country Status (6)

Country Link
US (1) US8875264B2 (zh)
EP (1) EP2626806A4 (zh)
JP (1) JP4713693B1 (zh)
CN (1) CN102804201B (zh)
SG (1) SG189122A1 (zh)
WO (1) WO2012046303A1 (zh)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8291495B1 (en) 2007-08-08 2012-10-16 Juniper Networks, Inc. Identifying applications for intrusion detection systems
US8112800B1 (en) 2007-11-08 2012-02-07 Juniper Networks, Inc. Multi-layered application classification and decoding
US9560035B2 (en) * 2010-08-04 2017-01-31 At&T Mobility Ii Llc Systems, devices, methods and computer program products for establishing network connections between service providers and applications that run natively on devices
SG189120A1 (en) 2010-10-05 2013-05-31 Cse Co Ltd System and method for two-factor user authentication
US9659164B2 (en) * 2011-08-02 2017-05-23 Qualcomm Incorporated Method and apparatus for using a multi-factor password or a dynamic password for enhanced security on a device
US9367678B2 (en) * 2012-02-29 2016-06-14 Red Hat, Inc. Password authentication
SG194267A1 (en) * 2012-05-03 2013-11-29 C3S Pte Ltd Method and system for protecting a password during an authentication process
JP5608838B1 (ja) 2013-05-23 2014-10-15 パスロジ株式会社 ユーザ認証方法及びこれを実現するためのシステム並びにこれに用いられる情報通信端末
US9043605B1 (en) * 2013-09-19 2015-05-26 Emc Corporation Online and offline validation of tokencodes
KR101444305B1 (ko) * 2013-12-13 2014-09-26 (주)세이퍼존 다중 otp를 사용한 보안키, 보안 서비스 장치 및 보안 시스템
CN104639563A (zh) * 2015-03-02 2015-05-20 利诚服装集团股份有限公司 一种数据安全处理方法及装置
US9813439B2 (en) 2015-09-11 2017-11-07 Vidoc Razor, LLC Evaluation node for reporting status via a secure link
US9769157B2 (en) * 2015-09-21 2017-09-19 American Express Travel Related Services Company, Inc. Systems and methods for secure one-time password validation
CN106656913A (zh) * 2015-10-28 2017-05-10 珠海金山办公软件有限公司 一种数字验证码的生成方法及装置
US20170154173A1 (en) * 2015-11-27 2017-06-01 Chao-Hung Wang Array password authentication system and method thereof
CN105429761B (zh) * 2015-12-29 2018-12-25 宇龙计算机通信科技(深圳)有限公司 一种密钥生成方法及装置
US10305901B2 (en) * 2016-05-06 2019-05-28 Blackberry Limited System and method for multi-factor authentication
CN107689944A (zh) * 2016-08-05 2018-02-13 阿里巴巴集团控股有限公司 身份认证方法、装置和系统
TWI661367B (zh) * 2017-01-23 2019-06-01 蓋特資訊系統股份有限公司 自定義圖案交易認證方法、系統與電腦可讀取儲存裝置
CN106936590A (zh) * 2017-04-26 2017-07-07 郭至涵 用户合法性验证方法和装置
KR102413638B1 (ko) * 2017-05-30 2022-06-27 삼성에스디에스 주식회사 인증 서비스 시스템 및 방법
CN108134769A (zh) * 2017-10-19 2018-06-08 黄策 验证短信的系统级防盗方法
GB2569398B (en) 2017-12-18 2022-03-02 V Auth Ltd Authentication method and device
CN108932425B (zh) * 2018-07-11 2020-06-16 飞天诚信科技股份有限公司 一种离线身份认证方法、认证系统及认证设备
US11005971B2 (en) * 2018-08-02 2021-05-11 Paul Swengler System and method for user device authentication or identity validation without passwords or matching tokens
US11720660B2 (en) * 2019-01-28 2023-08-08 EMC IP Holding Company LLC Temporary partial authentication value provisioning for offline authentication
US11997635B2 (en) 2019-04-29 2024-05-28 Sonicwall Inc. Establishing simultaneous mesh node connections
US10972916B2 (en) 2019-04-29 2021-04-06 Sonicwall Inc. Instant secure wireless network setup
US12022295B2 (en) * 2019-04-29 2024-06-25 Sonicwall Inc. Streamlined creation and expansion of a wireless mesh network
JP7438095B2 (ja) * 2020-12-25 2024-02-26 本田技研工業株式会社 機器管理システム、管理装置、機器管理方法、およびプログラム
WO2024173605A1 (en) * 2023-02-14 2024-08-22 Traitware inc. Authentication system and method for windows systems
KR102787932B1 (ko) * 2024-12-27 2025-03-31 (주)케이스마텍 클라우드 디지털 키 서비스 기반 Key 사용 통계 시스템 및 그 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1682491A (zh) * 2002-09-06 2005-10-12 松下电器产业株式会社 本地终端装置和通信系统

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8751801B2 (en) * 2003-05-09 2014-06-10 Emc Corporation System and method for authenticating users using two or more factors
US20050021975A1 (en) * 2003-06-16 2005-01-27 Gouping Liu Proxy based adaptive two factor authentication having automated enrollment
US8060745B2 (en) 2003-12-16 2011-11-15 Seiko Epson Corporation Security for wireless transmission
CN101375546B (zh) * 2005-04-29 2012-09-26 甲骨文国际公司 用于欺骗监控、检测和分层用户鉴权的系统和方法
GB2433147A (en) 2005-12-01 2007-06-13 Jonathan Geoffrey Milt Craymer A method for verifying a person's identity or entitlement using one-time transaction codes
JP3939736B1 (ja) 2006-03-27 2007-07-04 株式会社シー・エス・イー ユーザ認証システム、およびその方法
JP3996939B2 (ja) 2006-03-30 2007-10-24 株式会社シー・エス・イー オフラインユーザ認証システム、その方法、およびそのプログラム
US7512567B2 (en) 2006-06-29 2009-03-31 Yt Acquisition Corporation Method and system for providing biometric authentication at a point-of-sale via a mobile device
US20090063850A1 (en) * 2007-08-29 2009-03-05 Sharwan Kumar Joram Multiple factor user authentication system
US20090183246A1 (en) 2008-01-15 2009-07-16 Authlogic Inc. Universal multi-factor authentication
JP4999736B2 (ja) 2008-03-13 2012-08-15 キヤノン株式会社 データ処理装置
US8001379B2 (en) * 2008-03-26 2011-08-16 Mformation Technologies Inc. Credential generation system and method for communications devices and device management servers
JP2010034967A (ja) 2008-07-30 2010-02-12 Osamu Kameda 三値認証法及びそのシステム
JP5217890B2 (ja) * 2008-10-17 2013-06-19 大日本印刷株式会社 携帯端末のアプリケーションダウンロードシステム及び方法
SG183313A1 (en) 2010-02-15 2012-09-27 Cse Co Ltd Content presentation-type authentication system
SG189120A1 (en) 2010-10-05 2013-05-31 Cse Co Ltd System and method for two-factor user authentication

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1682491A (zh) * 2002-09-06 2005-10-12 松下电器产业株式会社 本地终端装置和通信系统

Also Published As

Publication number Publication date
WO2012046303A1 (ja) 2012-04-12
US20130185778A1 (en) 2013-07-18
EP2626806A1 (en) 2013-08-14
SG189122A1 (en) 2013-05-31
EP2626806A4 (en) 2014-07-23
JPWO2012046303A1 (ja) 2014-02-24
JP4713693B1 (ja) 2011-06-29
CN102804201A (zh) 2012-11-28
US8875264B2 (en) 2014-10-28

Similar Documents

Publication Publication Date Title
CN102804201B (zh) 离线双因素用户认证系统、其方法及其程序
CN102804200B (zh) 双因素用户认证系统及其方法
EP2684330B1 (en) Method and system for granting access to a secured website
US9524395B2 (en) Apparatus and methods for obtaining a password hint
CN103607284B (zh) 身份认证方法及设备、服务器
JP4741629B2 (ja) アイコン暗号を用いた認証方法
US7945948B2 (en) System, method and program for off-line user authentication
US20070130463A1 (en) Single one-time password token with single PIN for access to multiple providers
CN107077559B (zh) 认证系统、提醒终端、以及信息记录介质
EP2894891B1 (en) Mobile token
CN104270338A (zh) 一种电子身份注册及认证登录的方法及其系统
CN108369614B (zh) 用户认证方法及用于实现该方法的系统
KR101897085B1 (ko) 실시간 패스워드를 생성하는 장치 및 방법 및 저장 매체
CN102316120A (zh) 基于网络隐私保护的动态密码锁
EP2613279B1 (en) Communication apparatus, reminder apparatus, and information recording medium
CN109428725A (zh) 信息处理设备、控制方法和存储介质
JP2019527518A (ja) 署名付きメッセージを用いるトークンベースの認証
EP2916509B1 (en) Network authentication method for secure user identity verification
JP6499736B2 (ja) ユーザ認証方法及びかかる方法を実現するためのシステム
JP2012079284A (ja) オフライン二要素ユーザ認証システム、その方法、およびそのプログラム
US9323909B1 (en) Sharing a cryptographic device by partitioning challenge-response space
Akram et al. A usable and secure two-factor authentication scheme
JP2012079285A (ja) 二要素ユーザ認証システム、およびその方法
CN115859329A (zh) 一种加密、解密方法及装置
JP6470006B2 (ja) 共有認証情報更新システム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant