CN113196263B - 用户认证系统、用户认证服务器及用户认证方法 - Google Patents

用户认证系统、用户认证服务器及用户认证方法 Download PDF

Info

Publication number
CN113196263B
CN113196263B CN202080006346.6A CN202080006346A CN113196263B CN 113196263 B CN113196263 B CN 113196263B CN 202080006346 A CN202080006346 A CN 202080006346A CN 113196263 B CN113196263 B CN 113196263B
Authority
CN
China
Prior art keywords
user
authentication
pattern
verification code
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202080006346.6A
Other languages
English (en)
Other versions
CN113196263A (zh
Inventor
小岛贵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Computer Systems Engineering Co Ltd
Original Assignee
Computer Systems Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Systems Engineering Co Ltd filed Critical Computer Systems Engineering Co Ltd
Publication of CN113196263A publication Critical patent/CN113196263A/zh
Application granted granted Critical
Publication of CN113196263B publication Critical patent/CN113196263B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种系统,不需要用户ID输入步骤,仅通过一次性密码输入的一个步骤就同时进行用户ID的识别和认证。将用于生成一次性密码的一次性密码导出规则设为进行认证的用户的密码,基于在一次性密码内的规定的嵌入位置嵌入有用户ID的认证用字符串进行用户的认证,所述一次性密码导出规则通过被应用于在将排列成规定图案的多个图案元素作为提示图案提示给所述用户时的特定位置的图案元素来生成所述一次性密码。此时,针对所有的用户ID生成针对提示的提示图案的正确的认证用字符串并设为验证码,在存在与由用户输入的认证用字符串相等的验证码的情况下,使与该验证码对应的用户ID的用户认证成功。

Description

用户认证系统、用户认证服务器及用户认证方法
技术领域
本发明涉及用户认证系统,更具体而言,涉及如下用户认证系统:其将规定图案中排列的多个图案元素作为提示图案提示给要进行认证的用户,将通过被应用于该提示图案中所含的特定位置的图案元素来生成一次性密码的一次性密码导出规则设为该用户的密码。
背景技术
作为改善现有的质询·响应方式的问题的用户认证方式,使用着所谓的矩阵认证(注册商标)方式的用户认证系统(例如,参照专利文献1)。在矩阵认证中,将规定图案中排列有随机数的矩阵形状的提示图案提示给要进行认证的用户,将通过被应用于该提示图案中所含的图案元素(各个随机数的数字)来生成一次性密码的一次性密码导出规则设为该用户的密码。然后,在服务器和客户端共用相同的提示图案,通过比较客户端中将作为密码的一次性密码导出规则应用于提示图案中的结果即一次性密码,与服务器中将作为密码的一次性密码导出规则应用于提示图案中的结果即验证码,不用直接比较密码,就可实施用户认证。在矩阵认证中,作为密码的一次性密码导出规则是在矩阵上选择的图案元素的位置和顺序,其容易存储为图像,还具有即使在密码输入时被偷看也不能特定密码之类的特征。
图3是使用了现有的代表性的矩阵认证的用户认证系统200的块图(专利文献1)。用户认证系统200大致由进行用户认证的认证服务器201和作为用户请求认证的终端的认证请求客户端251构成。认证服务器201由一次性密码导出规则存储部202、用户ID接收单元203、图案生成单元204、图案发送单元205、验证码生成单元206、一次性密码接收单元207、以及用户认证单元208构成。
认证请求客户端251由用户ID输入单元252、用户ID发送单元253、图案接收单元254、图案显示单元255、一次性密码输入单元256、以及一次性密码发送单元257构成。
在认证服务器201中,一次性密码导出规则存储部202将用户ID 202a及一次性密码导出规则202b彼此相关联地预先存储。用户ID接收单元203从认证请求客户端251接收要进行认证的用户的用户ID 281,图案生成单元204根据伪随机数等规定的生成规则,生成矩阵形状的提示图案291中所含的图案元素的排列即图案元素序列290,图案发送单元205将生成的图案元素序列290发送给认证请求客户端251。
在认证时,首先,在认证请求客户端251,要进行认证的用户从键盘等用户ID输入单元252输入自己的用户ID 281。用户ID发送单元253将输入的用户ID 281发送至认证服务器201。在认证服务器201中,用户ID接收单元203接收用户ID 281。图案生成单元204根据规定的生成规则,生成构成矩阵形状的提示图案291的随机数。图案发送单元205将生成的图案元素序列290发送至认证请求客户端251。在认证请求客户端251中,图案接收单元254接收图案元素序列290。图案显示单元255将接收的图案元素序列290在规定图案291p中排列而生成提示图案291,并将其显示在画面中。
图7是矩阵认证方式中的一次性密码输入方法的概念图。用户通过对提示图案291应用一次性密码导出规则202b,依次提取显示在矩阵上的规定位置的数字,并从一次性密码输入单元256输入。另外,也可向提示图案291输入无关系的数字。即,也能够将固定密码包含于一次性密码中。这些数字的输入典型地利用触摸面板等指示器或键盘296等进行。图7中以虚线表示的箭头和圆表示从键盘296输入基于提示图案291的一次性密码。一次性密码发送单元257将输入的一次性密码292发送至认证服务器201。在认证服务器201中,一次性密码接收单元207接收一次性密码292。验证码生成单元206生成将与接收的用户ID 281相关联的一次性密码导出规则202b应用于发送的图案元素序列290的结果即验证码293。用户认证单元208比较接收的一次性密码292和验证码293,在它们相等的情况下使该用户的认证成功。
现有技术文献
专利文献
专利文献1:日本特开2007-264839号公报
发明内容
发明所要解决的问题
在现有的矩阵认证系统中,首先,在认证请求客户端,在用户ID的输入画面输入用户ID并传送至认证服务器之后,从认证服务器向认证请求客户端发送构成矩阵形状的提示图案的图案元素等。然后,显示提示图案后,用户输入对该提示图案的响应即一次性密码。即,在输入用户ID之后,需要在另一画面中输入一次性密码。这种为了认证必须使两个画面切换显示的现有的认证方法的用户的操作性并不总是很好。存在改善该情况的、不需要用户ID输入步骤,而仅通过一次性密码输入的一个步骤就同时进行用户ID的识别和认证的系统的必要性。
用于解决问题的技术方案
本发明是鉴于上述课题而研发的,具有如下特征。即,本发明提供一种用户认证系统,其包括认证服务器和认证请求客户端,将用于生成一次性密码的一次性密码导出规则设为进行认证的用户的密码,基于在所述一次性密码内的规定的嵌入位置嵌入有用户ID的认证用字符串进行所述用户的认证,所述一次性密码导出规则通过被应用于在将排列成规定图案的多个图案元素作为提示图案提示给所述用户时的特定位置的图案元素来生成所述一次性密码,所述用户认证系统的特征在于,
所述认证服务器具有:
密码存储部102,其针对每个所述用户ID,将所述用户的用户ID102a、所述用户的一次性密码导出规则102b、和识别将所述用户ID嵌入所述一次性密码内的嵌入位置的用户ID嵌入位置102c彼此相关联地预先存储;
提示图案确定信息生成单元111,其根据规定的生成规则生成确定所述提示图案的提示图案确定信息;
验证码生成单元106,其针对每个所述用户ID,针对对构成基于所述提示图案确定信息确定的所述提示图案的所述图案元素应用与所述用户ID相关联的所述一次性密码导出规则的结果,生成基于所述用户ID嵌入位置嵌入有所述用户ID的验证码;以及
提示图案确定信息发送单元112,其将生成的所述提示图案确定信息发送至所述进行认证的用户的所述认证请求客户端,
所述认证请求客户端具有:
提示图案确定信息接收单元161,其接收从所述认证服务器发送的所述提示图案确定信息;
图案元素确定单元162,其基于所述提示图案确定信息确定构成所述提示图案的图案元素;
图案显示单元155,其将确定的各个所述图案元素在所述规定图案中进行排列而生成提示图案,并使所述提示图案显示于画面;
认证用字符串输入单元156,其从所述进行认证的用户接收在对所述提示图案中所含的所述图案元素应用所述一次性密码导出规则的结果即一次性密码中,将所述用户ID嵌入所述用户ID嵌入位置的认证用字符串的输入;以及
认证用字符串发送单元157,其将输入的所述认证用字符串发送至所述认证服务器,
所述认证服务器还具有:
认证用字符串接收单元107,其从所述认证请求客户端接收所述认证用字符串;以及
用户认证单元108,其比较接收的所述认证用字符串和针对每个所述用户ID生成的所述验证码,在存在与接收的所述认证用字符串相等的所述验证码的情况下,使与该验证码对应的所述用户ID的认证成功。
在本发明中,所述提示图案确定信息能够设为构成所述提示图案的所述图案元素。另外,在本发明中,所述提示图案确定信息能够设为通过应用于规定的图案元素序列生成规则而生成构成所述提示图案的所述图案元素的图案种子值。另外,在本发明中,所述验证码生成单元能够构成为,在针对任意两个以上的所述用户ID存在相等的所述验证码的情况下,反复执行通过所述提示图案确定信息生成单元生成新的所述提示图案确定信息,且基于该信息针对各个所述用户ID生成所述验证码,直到不存在相等的所述验证码。另外,在本发明中,所述认证用字符串发送单元将输入的所述认证用字符串进行存储,并且通过散列函数散列化并发送至所述认证服务器,
所述用户认证单元也能够设为:比较接收的被散列化的所述认证用字符串和通过利用所述散列函数散列化针对每个所述用户ID生成的所述验证码而获得的被散列化的验证码,在存在与接收的被散列化的所述认证用字符串相等的被散列化的所述验证码的情况下,将与该验证码对应的所述用户ID嵌入位置及所述用户ID的字符串的长度发送至所述认证请求客户端,进行所述认证用字符串中的所述用户ID的查询,在通过所述查询获得的所述用户ID和与所述验证码对应的所述用户ID相等的情况下,使所述用户ID的认证成功。
本发明作为使用了上述用户认证系统的用户认证方法、或用于实现这种用户认证系统的认证服务器、或通过这种认证服务器执行的用户认证方法也成立。
在上述或权利要求书所记载的发明中,服务器、客户端等术语不限定装置的具体的形式及具体的称呼,而用于表示具备其通常的功能的装置。一个构成元素具有的功能也可以通过两个以上的物理结构实现,两个以上的构成元素具有的功能也可以通过一个物理结构实现。系统的发明也能够作为逐次执行各个构成元素具有的功能的方法的发明而掌握,反之也成立。在方法的发明中,各步骤不限定于按照记载的顺序执行,作为整体的功能只要可无矛盾地执行,就能够以自由的顺序执行各步骤。这些发明作为与规定的硬件协作来实现规定的功能的程序也成立,并且作为记录程序的记录介质也成立。
发明效果
本发明具有如下效果,将用于生成一次性密码的一次性密码导出规则设为进行认证的用户的密码,基于在一次性密码内的规定的嵌入位置嵌入有用户ID的认证用字符串进行用户的认证,所述一次性密码导出规则通过被应用于在将排列成规定图案的多个图案元素作为提示图案提示给用户时的特定位置的图案元素而生成一次性密码,此时,针对所有的用户ID生成针对提示的提示图案的正确的认证用字符串并设为验证码,在存在与由用户输入的认证用字符串相等的验证码的情况下,使与该验证码对应的用户ID的用户认证成功,通过采用如上结构,不需要在开始认证时将用户ID输入认证系统来特定用户,而通过在认证时输入单一的认证用字符串,就能够进行用户的特定和用户的真实性的确认,在认证时不需要在输入密码前输入用户ID,不需要为了认证而使两个画面切换显示。即,本发明具有如下效果:不需要用户ID输入步骤,而仅通过包含一次性密码的字符串的输入的一个步骤,就能够同时进行用户ID的识别和认证。
附图说明
图1是本发明的一个实施方式的用户认证系统100的硬件结构图。
图2是本发明的一个实施方式的用户认证系统100的功能块图。
图3是现有的矩阵认证方式的用户认证系统200的块图。
图4是本发明的一个实施方式的用户认证系统100的操作流程图。
图5是本发明的一个实施方式的用户认证系统100的操作流程图,是图4所示的操作流程的接续。
图6是矩阵认证方式的一次性密码导出规则的概念图。
图7是矩阵认证方式的一次性密码输入方法的概念图。
图8是认证用字符串的结构的说明图。
图9是用户认证系统100的登录认证画面的形象图。
具体实施方式
[本发明的用户认证方法]
参照这些附图对本发明的实施方式的用户认证系统100进行说明。在附图中,关于在现有的用户认证系统200和本发明的用户认证系统100之间对应的构成元素,标注的参照编号的后两位设为相同的编号。图1为硬件结构图,图2为块图,图4及图5为操作流程图。首先,对本发明的用户认证方法的概要进行说明。本发明的用户认证方法是如上所述的、一种作为质询·响应方式的认证方法的矩阵认证。本发明的用户认证方法中,将排列成规定图案的多个图案元素作为提示图案191提示给在认证请求客户端151进行认证的用户,将通过被用户应用于该提示图案191中所含的特定位置的图案元素190而生成一次性密码192的一次性密码导出规则102b设为该用户的密码。提示图案确定信息183在认证服务器101中生成,并被发送至认证请求客户端151,提示图案确定信息183是被用来生成要在认证请求客户端151提示给用户的提示图案191的信息。提示图案确定信息183是唯一确定提示图案191的信息,也可以是图案元素190其本身,另外,也可以是通过进行规定的运算而唯一确定图案元素190的图案种子值。
用户通过将与自己的用户ID 102a相对应的一次性密码导出规则102b应用于提示图案191,生成一次性密码192,但在将该密码输入认证请求客户端151时,作为嵌入有用户ID 102a的认证用字符串192A输入一次性密码192内的规定的嵌入位置。用户预先确定该规定位置,作为用户ID嵌入位置102c与用户ID 102a相对应地预先存储于认证服务器101中。用户ID 102a是能够唯一特定用户的信息,一般而言,是用户自己设定的字符串。作为用户ID 102a,除了用户设定的字符串以外,还能够使用我的电话号码、银行帐号、员工编号、会员编号、邮件地址等用户固有的任意信息。
在认证请求客户端151,由用户输入的认证用字符串192A从认证请求客户端151发送至认证服务器101。认证服务器101通过针对所有的用户ID102a,对认证请求客户端151中显示的提示图案191应用与用户ID 102a相对应的一次性密码导出规则102b,而预先生成正确的一次性密码192,通过向用户ID嵌入位置102c的嵌入位置嵌入用户ID 102a,而预先生成验证码193。然后,认证服务器101将从认证请求客户端151发送来的认证用字符串192A与验证码193进行比较,如果它们相等,则使对该用户的认证成功。
[提示图案和图案元素]
提示图案191是将图案元素190在规定图案191p中排列而成的图案。作为规定图案191p,典型的是在纵m个×横n个的各个位置以整体形成方形的方式配置的矩阵,且排列多个这种矩阵而成的图案等,但除此之外,还能够设为任意图形的形状。本说明书中,在使用了这种典型的矩阵形状以外的形状的提示图案的情况下,也称为矩阵认证方式。作为规定图案191p,规则的形状及印象深刻的形状容易留在用户的记忆中,因此,为了用户容易记忆作为密码的一次性密码导出规则102b而是优选的。
图案元素190是在提示图案191内以构成规定图案191p的方式配置于规定位置的元素,优选为0~9的个位数字,但除此之外,还能够设为字母、记号等任意的字符。此外,作为记号,特别优选为在PC的标准键盘分配的“+”、“-”、“*”、“=”、“_”、“!”、“?”、“#”、“$”、“&”等记号。作为字符,也能够使用图形、插图、照片等图案。优选在提示图案191内显示多个相同的图案元素190。这样,作为密码的一次性密码导出规则102b和将一次性密码导出规则102b应用于提示图案191的结果即一次性密码192成为多对一的对应,在输入一次性密码192时自动进行单向化。即,在输入一次性密码192时,自动地进行与散列函数运算一样的处理,因此,仅根据一个一次性密码192,不能特定一次性密码导出规则102b。
本实施例中,设定以如图7等所示的0~9的个位数字构成图案元素190,将在由四个4×4的矩阵构成的规定图案191p中排列各个图案元素190而成的图案设为提示图案191。此外,在例如手机等的画面的面积较小的情况下,优选使用将4×4的矩阵的数量减少至3个等的提示图案191。
[提示图案确定信息]
提示图案确定信息183是能够唯一确定为了生成提示图案191而配置于规定图案191p的图案元素190的信息。提示图案确定信息183也可以是依次排列图案元素190其本身的数据,另外,也可以是通过进行规定的运算而能够唯一生成图案元素190的图案种子值。作为规定的运算,能够使用散列函数运算、加法、减法、异或、位数调整等所有的运算。图案种子值典型的是根据规定的生成规则在规定的范围内生成的常数。
[一次性密码导出规则]
一次性密码导出规则102b是通过被应用于提示图案191中所含的特定位置的图案元素190而用于生成一次性密码192的规则,是作为用户的密码发挥作用的数据。对图案元素190应用的规则典型的是,以哪个顺序选择哪个位置的图案元素190。在该情况下,一次性密码导出规则102b是,提示图案191中所含的被选择的图案元素190各自的位置和选择该各个图案元素190的顺序的组合的信息。另外,一次性密码导出规则102b也可以包含与提示图案191无关系地输入的数字等字符信息作为固定密码,在该情况下,一次性密码导出规则102b是提示图案191中所含的被选择的图案元素190各自的位置及与该提示图案191无关系的固定密码的各个字符、和选择或输入该各个图案元素190的位置及该各个字符的顺序的组合的信息。
图6中表示典型的一次性密码导出规则102b的结构。本实施例中例示出,设定以0~9的个位数字构成图案元素190,针对将各个图案元素190配置于由四个4×4的矩阵构成的规定图案191p的各个元素的位置的提示图案191的一次性密码导出规则102b。在图6中,规定图案191p的各个元素的位置以01~64的数字区别并显示。对要进行认证的用户显示提示图案191时,在规定图案191p的各个元素的位置显示0~9的个位数字。
一次性密码192优选使用基于提示图案191的数字和与提示图案191无关系地输入的数字。提示图案191中所含的图案元素的数量为64个,因此,利用分配于各个位置的01~64的两位数字表示选择提示图案191中所含的图案元素的各个位置。并且,利用两位数字表示与提示图案191无关系地输入的数字,其中首先分配表示是这种数字的数字“9”,接着分配输入的个位数字。图6的例子中,通过选择提示图案191的特定位置的图案元素,输入一次性密码192的最初的四个数字。将表示这四个数字的位置的数字即“01”、“16”、“29”、“20”,按照该顺序配置为一次性密码导出规则102b的与这四个数字对应的部分。选择的图案元素190由键盘196、或触摸面板等指示器输入。一次性密码192的接下来的两个数字与提示图案191无关系,由键盘196等输入。在表示直接输入的数字“9”之后分别附加了被输入的数字即“2”及“9”后得到的“92”、“99”,按照该顺序配置为一次性密码导出规则102b的与这两个数字对应的部分。通过选择提示图案191的特定位置的图案元素,输入一次性密码192的接下来的一个最后的数字。继续将表示该最后的数字的位置的数字即“33”配置为一次性密码导出规则102b的与该最后的数字对应的部分,至此一次性密码导出规则102b结束。也可以在一次性密码导出规则102b的最后进一步附加唯一特定其结束点的结束标志、例如“00”等数字,或,也可以将表示一次性密码导出规则102b整体的长度的数值与其相关联。
[一次性密码]
一次性密码192是通过要进行认证的用户对提示图案191应用自己的一次性密码导出规则102b而生成和输入的一次性的密码。图7是矩阵认证方式中的一次性密码输入方法的概念图。图7中使用的一次性密码导出规则102b与图6中表示的规则相同。用户根据自己的一次性密码导出规则102b,以规定的顺序进行提示图案191中所含的规定位置的图案元素190的选择、及与提示图案191无关系的规定数字的输入,由此,作为一次性密码192生成“2504290”。
[用户ID嵌入位置和认证用字符串]
图8是认证用字符串192A的结构的说明图。通过向一次性密码192内的规定的嵌入位置嵌入用户ID 102a,而构成认证用字符串192A,用户ID嵌入位置102c是特定此时的嵌入位置的信息。图8的例子中,向在“2504290”这种一次性密码192中的可能的嵌入位置分配0~7的数字,用户ID嵌入位置102c是以一次性密码192的“5”和“0”之间的“2”(以虚线的三角形符号包围的数字)表示的嵌入位置。用户预先确定自己的用户ID嵌入位置102c,并预先存储于密码存储部102。用户ID嵌入位置102c是用户设定的信息,因此,也作为密码的一部分发挥作用。图8的例子中,在作为一次性密码192的“2504290”中,向“2”的用户ID嵌入位置102c嵌入“USER1”这种用户ID102a,由此,构成“25USER104290”这种认证用字符串192A。这样,认证用字符串192A将特定了用户的用户ID 102a信息、和根据作为密码的一次性密码导出规则102b生成的用于确认用户的真实性的一次性密码192信息这两个信息合并成单一字符串。即,通过验证认证用字符串192A这种单一字符串是合理的字符串,能够确认哪个用户ID 102a的用户正在进行认证,及该用户的真实性,并确认对该用户的本人认证是否成功。
[用户认证系统100的硬件构成]
接着,说明用户认证系统100的结构。图1是本发明的一个实施方式的用户认证系统100的硬件结构图。参照图1,用户认证系统100大致上由认证服务器101和认证请求客户端151构成。认证服务器101由CPU 101a、RAM 101b、存储装置101c、用户接口(I/F)101d、网络接口(I/F)101e构成。存储装置101c在其存储区域中存储OS 101c1、用户认证应用101c2,在其存储区域还包含密码存储部102。密码存储部102存储用户ID 102a、一次性密码导出规则102b、用户ID嵌入位置102c。认证请求客户端151由CPU 151a、RAM 151b、存储装置151c、用户接口(I/F)151d、网络接口(I/F)151e构成。存储装置151c在其存储区域中存储OS151c1、浏览器应用151c2、图案元素生成模块151c3。
认证服务器101是用户认证系统100中与来自认证请求客户端151的用户认证请求响应并进行用户的认证的构成元素。认证服务器101是安装有OS 101c1、用户认证应用101c2等的、作为服务器的计算机等形式。另外,认证服务器101也能够设为提供用于向因特网上提供虚拟专线网络的SSL-VPN网关之类的网关装置等中的用户认证的硬件的形式。CPU101a是在OS 101c1上执行用户认证应用101c2等、并进行与用户认证相关的信息处理的处理器。RAM 101b是提供将存储装置101c中存储的软件在其上读入的存储器空间、和由CPU101a执行读入的软件时所需要的工作区域等的存储器。存储装置101c是存储和管理软件及数据等信息的构成元素,通常是硬盘驱动器等形式。存储装置101c优选存储OS 101c1、用户认证应用101c2的程序的文件,这些程序在RAM 101b上被读出并执行。用户I/F 101d是用于在与用户之间进行数据的输入输出的构成元素,通常利用由键盘196、鼠标等指示器构成的输入单元、在画面中显示信息的显示器等输出单元、以及它们之间的硬件I/F构成。
认证服务器101和认证请求客户端151通过网络连接。网络优选为根据基于TCP/IP的协议进行操作的因特网或内部网。在内部网中,在认证请求客户端151在客户端用Windows(注册商标。以下,相同)OS进行操作的情况下,网络能够设为根据基于TCP/IP的协议进行操作的Windows域网络。此外,本说明书中,以Windows为例作为OS进行了说明,但也可使用其它的OS、例如Mac OS(注册商标)、Linux(注册商标)、Unix(注册商标)等。
本发明的认证方法能够以至少以下的两个利用形式实施。一个利用形式是,用于允许该用户在将认证请求客户端151连接于网络上的Web服务的状态下,利用Web浏览器等使用Web上的内容、SSL-VPN服务、应用时的、认证的形式。在该情况下,认证服务器101通常是,配置于因特网或内部网等网络上,通过该网络对访问的认证请求客户端151提供用于用户认证的Web网页,通过该Web网页进行用于用户认证的数据的收发之类的Web服务器的形式;或在与RADIUS服务器联合地实施认证及计费管理的SSL-VPN网关之类的因特网上提供虚拟专线网络的装置的形式。
另一个利用形式是,用户作为适当的网络用户使用认证请求客户端151与和认证服务器101相同的Windows域网络连接时的、该用户登录该网络的登录认证的形式。在该情况下,认证服务器101通常向网络上提供用于认证的资源,由此,与用户使用认证请求客户端151登录Windows域网络的登录认证请求响应并执行用户认证,并将该认证结果传送至管理该Windows域网络的网络用户的权限的域控制器。
OS 101c1是在认证服务器101的硬件上进行密切的基本的信息处理的操作系统。用户认证应用101c2是用于在OS 101c1上操作的用户认证的应用程序软件。在认证服务器101为Web服务器的形式的情况下,用户认证应用101c2通常是具备以CGI调出的形式或Servlet程序的形式的认证程序的、向因特网或内部网的Web上提供用于认证的Web网页或资源的Web服务器程序。密码存储部102通常是硬盘驱动器等存储装置的一个区域,优选数据作为加密文件存储于密码存储部102。用户ID 102a是用于唯一识别用户的字符串的数据。如上所述,一次性密码导出规则102b是通过对提示图案191中所含的特定位置的图案元素190进行应用而用于生成一次性密码192的规则,是作为用户的密码发挥作用的数据。用户ID嵌入位置102c是用于通过向一次性密码192内嵌入用户ID 102a而构成认证用字符串192A的嵌入位置。
认证请求客户端151是用户认证系统100中用户对认证服务器101请求认证的构成元素,是安装有OS 151c1、浏览器应用151c2、图案元素生成模块151c3等的信息终端,具体而言,是PC、智能手机、手机等形式。CPU 151a是在OS 151c1上执行浏览器应用151c2、图案元素生成模块151c3等、进行与用户认证请求相关的信息处理的处理器。RAM 151b是提供在其上读入存储于存储装置151c的软件的存储器空间、和由CPU151a执行读入的软件时所需要的工作区域等的存储器。存储装置151c是存储和管理软件及数据等信息的构成元素,通常是硬盘驱动器等形式。存储装置151c优选存储OS 151c1、浏览器应用151c2、图案元素生成模块151c3的程序的文件,这些程序在RAM 151b上被读出并执行。此外,存储装置151c也可以是将OS 151c1、浏览器应用151c2、图案元素生成模块151c3的程序存储于ROM的形式。在该情况下,这种ROM与CPU 151a等程序执行元素一起构成固件。用户I/F 151d是用于在与用户之间进行数据的输入输出的构成元素,通常,虽然未图示,但利用由键盘196或触摸面板等指示器构成的输入单元、在画面中显示信息的显示器等输出单元、以及它们之间的硬件I/F构成。网络I/F 151e是与网络连接用于进行信息的输入输出的I/F。
OS 151c1、浏览器应用151c2、图案元素生成模块151c3也可以将它们的一部分或全部组合,在形式上成为一体程序的形式。例如,浏览器应用151c2也可以包含图案元素生成模块151c3的功能,OS 151c1也可以包含浏览器应用151c2及图案元素生成模块151c3的功能。另外,也可以将它们编入其它的应用。另外,也可以将它们分别分割成多个程序。
OS 151c1是在认证请求客户端151的硬件上进行密切的基本的信息处理的操作系统,是与认证请求客户端151的硬件相应的基本程序。OS 151c1也可以是基于平台的结构固件的形式。浏览器应用151c2是在OS 151c1上操作的、访问向网络上提供的信息且使其显示,并进一步实现用于接收来自用户的数据的输入的浏览器功能的软件,通常是用于访问因特网或内部网上的Web网页的Web浏览器应用的形式。此外,浏览器应用151c2不限于Web浏览器应用,如果是能够访问服务器向网络上提供的用户认证用的画面的应用,则也可以是任意的应用。浏览器应用151c2也可以是以其它应用进行认证时的提供用于画面显示的API的平台为基准的结构固件的形式。图案元素生成模块151c3是被编入浏览器应用151c2并执行的、用于生成提示图案191且显示于浏览器的程序,在认证请求客户端151为PC的情况下,通常是Java(注册商标)Applet、ActiveX(注册商标)、Flash(注册商标)等形式。图案元素生成模块151c3也可以是以提供用于其它应用进行认证的API的平台为基准的结构固件的形式。
在认证服务器101进行登录Windows域网络的登录认证的情况下,用于认证的浏览器应用151c2及图案元素生成模块151c3被编入作为客户端用Windows OS的OS 151c1,使认证请求客户端151的登录Windows域网络的登录认证画面显示提示图案191,并将基于本申请发明的认证方法的认证手续提供给用户。
图9是用户认证系统100中的登录认证画面197的形象图。其也可以是要登录Windows域网络时的认证画面,也可以是通过浏览器应用151c2要登录Web服务时的认证画面。在登录认证画面197中显示提示图案191、密码输入栏。当通过键盘196或触摸面板等指示器将作为认证用字符串192A的数字等字符输入密码输入栏时,与其响应,将该字符或“*”这种记号逐一显示。在登录Windows域网络的情况下,当认证用字符串192A的输入完成时,该认证模块向认证服务器101传送认证用字符串192A并执行用户认证,并将其认证结果传送至域控制器。在通过浏览器应用151c2进行基于Web的登录的情况下,认证服务器101向要使用的Web服务传送认证结果。
[用户认证系统100的功能块构成]
图2是本发明的一个实施方式的用户认证系统100的功能块图。图2是从软件和硬件资源合作进行信息处理的观点表示图1所示的硬件构成的用户认证系统100的图,是以功能块的单位表示该信息处理的图。在图2中,认证服务器101由密码存储部102、验证码生成单元106、认证用字符串接收单元107、用户认证单元108、提示图案确定信息生成单元111、提示图案确定信息发送单元112构成。用户认证应用101c2与OS 101c1一起从存储装置101c读入到RAM 101b上,利用CPU 101a执行这些软件,由此RAM 101b、存储装置101c、用户I/F101d、网络I/F 101e等硬件元素适当合作,从而实现这些功能块。
密码存储部102是用于关于各个用户,将用户ID 102a、作为该用户的密码的一次性密码导出规则102b、和用户ID嵌入位置102c彼此相关联地预先存储的存储装置,是通过CPU 101a、RAM 101b、存储装置101c等与软件合作来实现的功能块。验证码生成单元106是在将要进行认证的用户的密码即一次性密码导出规则102b应用到显示于认证请求客户端151的提示图案191的结果中,生成将用户ID 102a嵌入以用户ID嵌入位置102c表示的位置的验证码193的构成元素,是通过CPU 101a、RAM 101b等与软件合作而实现的功能块。在此,验证码193是与正确的一次性密码导出规则102b应用于正确的提示图案的结果、即在正确的一次性密码192中将用户ID 102a嵌入以正确的用户ID嵌入位置102c表示的位置时的认证用字符串192A相同的值。认证用字符串接收单元107是从认证请求客户端151接收在该处输入的认证用字符串192A的构成元素,是通过CPU 101a、RAM 101b、网络I/F 101e等与软件合作而实现的功能块。用户认证单元108是比较认证用字符串192A和验证码193、在它们相等时使用户认证成功的构成元素,是通过CPU 101a、RAM 101b等与软件合作而实现的功能块。提示图案确定信息生成单元111是根据规定的生成规则生成作为规定提示图案的信息的提示图案确定信息183的构成元素,是通过CPU 101a、RAM 101b等与软件合作而实现的功能块。提示图案确定信息发送单元112是将由提示图案确定信息生成单元111生成的提示图案确定信息183发送至认证请求客户端151的构成元素,是通过CPU 101a、RAM 101b、网络I/F 101e等与软件合作而实现的功能块。
认证请求客户端151由图案显示单元155、认证用字符串输入单元156、认证用字符串发送单元157、提示图案确定信息接收单元161、图案元素确定单元162构成。浏览器应用151c2的必要部分、图案元素生成模块151c3与OS 151c1的必要部分一起从存储装置151c读入RAM 151b,利用CPU 151a执行这些软件,由此RAM 151b、存储装置151c、用户I/F 151d、网络I/F 151e等硬件元素适当合作,从而实现这些功能块。
图案显示单元155是将由后述的图案元素确定单元162确定的图案元素190在规定图案191p中排列而生成提示图案191、并使其显示于画面的构成元素,是通过CPU 151a、RAM151b、用户I/F151d等与软件合作而实现的功能块。认证用字符串输入单元156是接收用户通过画面中显示的提示图案191等输入的认证用字符串192A的构成元素,是通过CPU 151a、RAM 151b、用户I/F 151d等与软件合作而实现的功能块。认证用字符串发送单元157是将输入的认证用字符串192A发送至认证服务器101的构成元素,是通过CPU 151a、RAM 151b、网络I/F 151e等与软件合作而实现的功能块。提示图案确定信息接收单元161是从认证服务器101接收提示图案确定信息183的构成元素,是通过CPU 151a、RAM 151b、网络I/F 151e等与软件合作而实现的功能块。图案元素确定单元162是基于从认证服务器101接收的提示图案确定信息183,确定图案元素190的构成元素,是通过CPU 151a、RAM 151b等与软件合作而实现的功能块。
[用户认证系统100的操作]
接着,对用户认证系统100的操作进行说明。图4及图5是用户认证系统100的操作流程图。首先,用户认证系统100中进行认证的用户将其用户ID 102a、作为密码的一次性密码导出规则102b、以及用户ID嵌入位置102c预先输入认证服务器101进行登录。密码存储部102将该用户的用户ID 102a、一次性密码导出规则102b以及用户ID嵌入位置102c彼此相关联且在用户的认证之前预先存储(步骤S101)。
接着,要进行认证的用户为了登录Windows及登录Web服务,在认证请求客户端151显示登录认证画面197。此时,从认证请求客户端151向认证服务器101发送认证请求(步骤S102),认证服务器101接收认证请求(步骤S103),开始认证处理。认证服务器101首先利用提示图案确定信息生成单元111生成提示图案确定信息183,由此,生成构成提示图案191的图案元素190(步骤S104)。即,认证服务器101以随机数等生成图案元素190其本身或通过进行规定的运算而唯一确定图案元素190的图案种子值,生成图案元素190及将该图案元素190在规定图案191p排列而成的提示图案191。
认证服务器101通过验证码生成单元106,针对所有的登录的用户ID102a中的每一个,在对基于生成的提示图案确定信息183而生成的提示图案191应用与该用户ID 102a相关联的一次性密码导出规则102b的结果(相当于正确的一次性密码192)中,在与该用户ID102a相关联的用户ID嵌入位置102c嵌入用户ID 102a,由此生成验证码193(相当于正确的认证用字符串192A)(步骤S105)。通过与该验证码193比较,能够确认在认证时是否从认证请求客户端151发送正确的认证用字符串192A。
在此,根据嵌入认证用字符串192A内的用户ID 102a的内容及其嵌入位置不同,可能产生如下冲突:即在针对某提示图案191的正确的认证用字符串192A相等的这种情况下,存在多个用户ID 102a。在该情况下,即使能够确认认证用字符串192A是合理的字符串,即存在与认证用字符串192A相同的验证码193,也不能区别这些用户ID 102a,不能唯一地特定用户。
为了防止如上所述的不良情况,优选认证服务器101通过验证码生成单元106确认针对不同的用户ID 102a是否存在相等的验证码193(步骤S106)。然后,在针对任意两个以上的用户ID102a存在相等的验证码193的情况下,判断为产生冲突,将处理返回至步骤S104,生成新的提示图案确定信息183(即,由新的图案元素190构成的新的提示图案191),在下一步骤S105中生成新的验证码193,在下一步骤S106中确认具有该验证码193的用户ID102a是否存在多个。执行这种确认直到针对不同的用户ID 102a不存在相等的验证码193。通过执行该处理,保证针对所有的用户ID 102a存在不同的验证码193,通过验证码193确认认证用字符串192A,由此能够同时进行用户的特定和该用户的真实性的确认。
此外,如果通过其它方法,针对所有的用户ID 102a可靠地存在不同的验证码193,则未必需要步骤S106。例如,当针对所有的用户,将用户ID嵌入位置102c设为相同的位置,且将用户ID 102a的字符串的长度设为相同时,在认证用字符串192A内的相同的位置出现用户ID 102a,因此,针对所有的用户ID 102a一定存在不同的验证码193。
认证服务器101通过提示图案确定信息发送单元112,将提示图案确定信息183发送至认证请求客户端151(步骤S107)。认证请求客户端151通过提示图案确定信息接收单元161,从认证服务器101接收提示图案确定信息183(步骤S108)。认证请求客户端151通过图案元素确定单元162,基于接收的提示图案确定信息183确定图案元素190(步骤S109)。即,图案元素确定单元162在提示图案确定信息183为图案元素190其本身的情况下,将接收的提示图案确定信息183设为图案元素190,在提示图案确定信息183为图案种子值的情况下,通过对其进行规定的运算而生成图案元素190。认证请求客户端151通过图案显示单元155,将生成的图案元素190在规定图案191p(通常是由四个4×4的矩阵构成的图案)中排列而构成提示图案191,将其包含于登录认证画面197并在画面中显示(步骤S110)。
接着,要进行认证的用户通过依次实施选择认证请求客户端151的画面中显示的提示图案191的显示于特定位置的图案元素,或输入与提示图案191无关系的数字等字符,生成将自己的一次性密码导出规则102b应用于提示图案191的结果即一次性密码192,通过在一次性密码192内预定的用户ID嵌入位置102c包含自己的用户ID 102a,生成认证用字符串192A,并输入认证请求客户端151。即,认证请求客户端151通过认证用字符串输入单元156,接收认证用字符串192A的输入(步骤S111)。接着,认证请求客户端151通过认证用字符串发送单元157,将输入的认证用字符串192A发送至认证服务器101(步骤S112)。接着,认证服务器101通过认证用字符串接收单元107,接收从认证请求客户端151发送的认证用字符串192A(步骤S113)。
接着,认证服务器101通过用户认证单元108与针对各个用户ID 102a生成的验证码193依次比较,由此,确认与接收的认证用字符串192A相等的验证码193是否存在,如果存在相等的验证码193,则能够确认与该验证码193对应的用户ID 102a的用户为真正的用户,使用户认证成功(步骤S114)。当用户认证成功时,如下所述,针对该用户ID 102a的用户允许与用户认证的利用形式对应的服务。即,在用于允许使用Web上的内容等的用户认证的情况下,允许访问内容,允许利用应用。在登录Windows域网络的登录认证的情况下,认证服务器101将认证结果传送至Windows的域控制器,允许加入Windows网络。如果认证服务器101为SSL-VPN网关的形式,则允许访问该SSL-VPN。
此外,本发明中收发的数据通过适当散列化,也能够进一步提高安全性。即,认证请求客户端151能够将输入的认证用字符串192A暂时性地进行存储,并且使通过散列函数对该认证用字符串192A进行散列化的结果发送至认证服务器101。然后,认证服务器101比较接收的被散列化的认证用字符串192A和针对每个用户ID 102a生成的验证码193分别通过散列函数进行散列化的结果。认证服务器101在存在与接收的被散列化的认证用字符串192A相等的被散列化的验证码193的情况下,能够对该用户ID 102a的用户认证成功。但是,在该情况下,是比较被散列化的认证用字符串192A和被散列化的验证码193,因此,由于冲突,即使认证用字符串192A和验证码193不同的情况下,被散列化的二者彼此相等的可能性也不是零。为了消除这种可能性,也能够追加执行如下所述的步骤。即,将与对应于该验证码193的用户ID 102a相关联的用户ID嵌入位置102c及上述用户ID 102a的字符串的长度发送至认证请求客户端151,进行认证用字符串192A中的用户ID 102a的查询。认证请求客户端151接收这些信息,从暂时性地存储的被输入的认证用字符串192A内的用户ID嵌入位置102c提取发送的字符串的长度量的字符串,并发送至认证服务器101。该字符串应相当于正确的用户ID 102a。认证服务器101在通过查询而获得的字符串与对应于验证码193的用户ID 102a相等的情况下,使该用户ID102a的认证成功。
此外,在以上说明的操作流程中,只要在某步骤中不产生利用在该步骤中还不应能够利用的数据等操作流程上的矛盾,就能够自由地变更操作流程。
以上说明的各实施方式是用于说明本发明的示例,本发明不限定于这些实施方式。只要本发明不脱离其宗旨,就能够以各种方式进行实施。
符号说明
100:用户认证系统
101:认证服务器
101a:CPU
101b:RAM
101c:存储装置
101c2:用户认证应用
101d:用户I/F
101e:网络I/F
102:密码存储部
102a:用户ID
102b:一次性密码导出规则
102c:用户ID嵌入位置
106:验证码生成单元
107:认证用字符串接收单元
108:用户认证单元
111:提示图案确定信息生成单元
112:提示图案确定信息发送单元
151:认证请求客户端
151a:CPU
151b:RAM
151c:存储装置
151c2:浏览器应用
151c3:图案元素生成模块
151d:用户I/F
151e:网络I/F
155:图案显示单元
156:认证用字符串输入单元
157:认证用字符串发送单元
161:提示图案确定信息接收单元
162:图案元素确定单元
183:提示图案确定信息
190:图案元素
191:提示图案
191p:规定图案
192:一次性密码
192A:认证用字符串
193:验证码
196:键盘
197:登录认证画面
200:用户认证系统
201:认证服务器
202:一次性密码导出规则存储部
202b:一次性密码导出规则
203:用户ID接收单元
204:图案生成单元
205:图案发送单元
206:验证码生成单元
207:一次性密码接收单元
208:用户认证单元
251:认证请求客户端
252:用户ID输入单元
253:用户ID发送单元
254:图案接收单元
255:图案显示单元
256:一次性密码输入单元
257:一次性密码发送单元
290:图案元素序列
291:提示图案
291p:规定图案
292:一次性密码
296:键盘。

Claims (12)

1.一种用户认证系统,其包括认证服务器和认证请求客户端,所述用户认证系统将用于生成一次性密码的一次性密码导出规则设为进行认证的用户的密码,基于在所述一次性密码内的规定的嵌入位置嵌入有用户ID的认证用字符串进行所述用户的认证,所述一次性密码导出规则通过被应用于在将排列成规定图案的多个图案元素作为提示图案提示给所述用户时的特定位置的图案元素来生成所述一次性密码,其特征在于,
所述认证服务器具有:
密码存储部,其针对每个所述用户ID,将所述用户的用户ID、所述用户的一次性密码导出规则、以及识别将所述用户ID嵌入所述一次性密码内的嵌入位置的用户ID嵌入位置彼此相关联地预先存储;
提示图案确定信息生成单元,其根据规定的生成规则生成确定所述提示图案的提示图案确定信息;
验证码生成单元,其针对每个所述用户ID,针对对构成基于所述提示图案确定信息而确定的所述提示图案的所述图案元素应用与所述用户ID相关联的所述一次性密码导出规则的结果,生成基于所述用户ID嵌入位置嵌入有所述用户ID的验证码;以及
提示图案确定信息发送单元,其将生成的所述提示图案确定信息发送至所述进行认证的用户的所述认证请求客户端,
所述认证请求客户端具有:
提示图案确定信息接收单元,其接收从所述认证服务器发送的所述提示图案确定信息;
图案元素确定单元,其基于所述提示图案确定信息确定构成所述提示图案的图案元素;
图案显示单元,其将确定的各个所述图案元素在所述规定图案中排列而生成提示图案,并使所述提示图案显示于画面;
认证用字符串输入单元,其从所述进行认证的用户接收在对所述提示图案中所含的所述图案元素应用所述一次性密码导出规则的结果即一次性密码中,将所述用户ID嵌入所述用户ID嵌入位置的认证用字符串的输入;以及
认证用字符串发送单元,其将输入的所述认证用字符串发送至所述认证服务器,
所述认证服务器还具有:
认证用字符串接收单元,其从所述认证请求客户端接收所述认证用字符串;以及
用户认证单元,其比较接收的所述认证用字符串和针对每个所述用户ID生成的所述验证码,在存在与接收的所述认证用字符串相等的所述验证码的情况下,使与所述验证码对应的所述用户ID的认证成功。
2.根据权利要求1所述的用户认证系统,其中,
所述提示图案确定信息是构成所述提示图案的所述图案元素。
3.根据权利要求1所述的用户认证系统,其中,
所述提示图案确定信息是通过应用于规定的图案元素序列生成规则而生成构成所述提示图案的所述图案元素的图案种子值。
4.根据权利要求1~3中任一项所述的用户认证系统,其中,
所述验证码生成单元在针对任意两个以上的所述用户ID存在相等的所述验证码的情况下,反复执行通过所述提示图案确定信息生成单元生成新的所述提示图案确定信息,且基于该信息针对各个所述用户ID生成所述验证码,直到不存在相等的所述验证码。
5.根据权利要求4所述的用户认证系统,其特征在于,
所述认证用字符串发送单元将输入的所述认证用字符串进行存储,并且通过散列函数散列化并发送至所述认证服务器,
所述用户认证单元比较接收的被散列化的所述认证用字符串和通过利用所述散列函数散列化针对每个所述用户ID生成的所述验证码而获得的被散列化的验证码,在存在与接收的被散列化的所述认证用字符串相等的被散列化的所述验证码的情况下,将与该验证码对应的所述用户ID嵌入位置发送至所述认证请求客户端,进行所述认证用字符串中的所述用户ID的查询,在通过所述查询获得的所述用户ID和与所述验证码对应的所述用户ID相等的情况下,使所述用户ID的认证成功。
6.一种用户认证方法,由认证服务器和认证请求客户端执行,将用于生成一次性密码的一次性密码导出规则设为进行认证的用户的密码,基于在所述一次性密码内的规定的嵌入位置嵌入有用户ID的认证用字符串进行所述用户的认证,所述一次性密码导出规则通过被应用于在将排列成规定图案的多个图案元素作为提示图案提示给所述用户时的特定位置的图案元素来生成所述一次性密码,其特征在于,
具有:通过所述认证服务器,
针对每个所述用户ID,将所述用户的用户ID、所述用户的一次性密码导出规则、以及识别将所述用户ID嵌入所述一次性密码内的嵌入位置的用户ID嵌入位置彼此相关联地预先存储的步骤;
根据规定的生成规则生成确定所述提示图案的提示图案确定信息的步骤;
针对每个所述用户ID,针对对构成基于所述提示图案确定信息而确定的所述提示图案的所述图案元素应用与所述用户ID相关联的所述一次性密码导出规则的结果,生成基于所述用户ID嵌入位置嵌入有所述用户ID的验证码的步骤;以及
将生成的所述提示图案确定信息发送至所述进行认证的用户的所述认证请求客户端的步骤,
具有:通过所述认证请求客户端,
接收从所述认证服务器发送的所述提示图案确定信息的步骤;
基于所述提示图案确定信息确定构成所述提示图案的图案元素的步骤;
将确定的各个所述图案元素在所述规定图案中排列而生成提示图案,并使所述提示图案显示于画面的步骤;
从所述进行认证的用户接收在对所述提示图案中所含的所述图案元素应用所述一次性密码导出规则的结果即一次性密码中、将所述用户ID嵌入所述用户ID嵌入位置的认证用字符串的输入的步骤;以及
将输入的所述认证用字符串发送至所述认证服务器的步骤,
具有:通过所述认证服务器,
从所述认证请求客户端接收所述认证用字符串的步骤;以及
比较接收的所述认证用字符串和针对每个所述用户ID生成的所述验证码,在存在与接收的所述认证用字符串相等的所述验证码的情况下,使与所述验证码对应的所述用户ID的认证成功的步骤。
7.根据权利要求6所述的用户认证方法,其中,
所述提示图案确定信息是构成所述提示图案的所述图案元素。
8.根据权利要求6所述的用户认证方法,其中,
所述提示图案确定信息是通过应用于规定的图案元素序列生成规则而生成构成所述提示图案的所述图案元素的图案种子值。
9.根据权利要求6~8中任一项所述的用户认证方法,其中,
生成所述验证码的步骤中,在针对任意两个以上的所述用户ID存在相等的所述验证码的情况下,反复执行通过生成所述提示图案确定信息的步骤生成新的所述提示图案确定信息,且基于该信息针对各个所述用户ID生成所述验证码,直到不存在相等的所述验证码。
10.根据权利要求9所述的用户认证方法,其特征在于,
将输入的所述认证用字符串发送至所述认证服务器的所述步骤包括将输入的所述认证用字符串进行存储,并且通过散列函数散列化并发送至所述认证服务器,
比较接收的所述认证用字符串和针对每个所述用户ID生成的所述验证码,在存在与接收的所述认证用字符串相等的所述验证码的情况下,使与所述验证码对应的所述用户ID的认证成功的所述步骤包括:比较接收的被散列化的所述认证用字符串和通过利用所述散列函数散列化针对每个所述用户ID生成的所述验证码而获得的被散列化的验证码,在存在与接收的被散列化的所述认证用字符串相等的被散列化的所述验证码的情况下,将与该验证码对应的所述用户ID嵌入位置及所述用户ID的字符串的长度发送至所述认证请求客户端,进行所述认证用字符串中的所述用户ID的查询,在通过所述查询获得的所述用户ID和与所述验证码对应的所述用户ID相等的情况下,使所述用户ID的认证成功。
11.一种认证服务器,其连接于认证请求客户端,将用于生成一次性密码的一次性密码导出规则设为进行认证的用户的密码,基于在所述一次性密码内的规定的嵌入位置嵌入有用户ID的认证用字符串进行所述用户的认证,所述一次性密码导出规则通过被应用于在将排列成规定图案的多个图案元素作为提示图案提示给所述用户时的特定位置的图案元素来生成所述一次性密码,其特征在于,
具有:
密码存储部,其针对每个所述用户ID,将所述用户的用户ID、所述用户的一次性密码导出规则、以及识别将所述用户ID嵌入所述一次性密码内的嵌入位置的用户ID嵌入位置彼此相关联地预先存储;
提示图案确定信息生成单元,其根据规定的生成规则生成确定所述提示图案的提示图案确定信息;
验证码生成单元,其针对每个所述用户ID,针对对构成基于所述提示图案确定信息而确定的所述提示图案的所述图案元素应用与所述用户ID相关联的所述一次性密码导出规则的结果,生成基于所述用户ID嵌入位置嵌入有所述用户ID的验证码;
提示图案确定信息发送单元,其将生成的所述提示图案确定信息发送至所述进行认证的用户的所述认证请求客户端,
认证用字符串接收单元,其接收从所述认证请求客户端发送的、在对根据所述提示图案确定信息确定的所述提示图案中所含的图案元素应用所述一次性密码导出规则的结果即一次性密码中,将所述用户ID嵌入所述用户ID嵌入位置的认证用字符串;以及
用户认证单元,其比较接收的所述认证用字符串和针对每个所述用户ID生成的所述验证码,在存在与接收的所述认证用字符串相等的所述验证码的情况下,使与所述验证码对应的所述用户ID的认证成功。
12.一种用户认证方法,由连接于认证请求客户端的认证服务器执行,将用于生成一次性密码的一次性密码导出规则设为进行认证的用户的密码,基于在所述一次性密码内的规定的嵌入位置嵌入有用户ID的认证用字符串进行所述用户的认证,所述一次性密码导出规则通过被应用于在将排列成规定图案的多个图案元素作为提示图案提示给所述用户时的特定位置的图案元素来生成所述一次性密码,其特征在于,
具有:
针对每个所述用户ID,将所述用户的用户ID、所述用户的一次性密码导出规则、以及识别将所述用户ID嵌入所述一次性密码内的嵌入位置的用户ID嵌入位置彼此相关联地预先存储的步骤;
根据规定的生成规则生成确定所述提示图案的提示图案确定信息的步骤;
针对每个所述用户ID,针对对构成基于所述提示图案确定信息而确定的所述提示图案的所述图案元素应用与所述用户ID相关联的所述一次性密码导出规则的结果,生成基于所述用户ID嵌入位置嵌入有所述用户ID的验证码的步骤;
将生成的所述提示图案确定信息发送至所述进行认证的用户的所述认证请求客户端的步骤,
接收从所述认证请求客户端发送的、在对根据所述提示图案确定信息确定的所述提示图案中所含的图案元素应用所述一次性密码导出规则的结果即一次性密码中,将所述用户ID嵌入所述用户ID嵌入位置的认证用字符串的步骤;以及
比较接收的所述认证用字符串和针对每个所述用户ID生成的所述验证码,在存在与接收的所述认证用字符串相等的所述验证码的情况下,使与所述验证码对应的所述用户ID的认证成功的步骤。
CN202080006346.6A 2019-11-28 2020-10-22 用户认证系统、用户认证服务器及用户认证方法 Active CN113196263B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019215185A JP6721225B1 (ja) 2019-11-28 2019-11-28 ユーザ認証システム、ユーザ認証サーバ、およびユーザ認証方法
JP2019-215185 2019-11-28
PCT/JP2020/039694 WO2021106445A1 (ja) 2019-11-28 2020-10-22 ユーザ認証システム、ユーザ認証サーバ、およびユーザ認証方法

Publications (2)

Publication Number Publication Date
CN113196263A CN113196263A (zh) 2021-07-30
CN113196263B true CN113196263B (zh) 2022-07-01

Family

ID=71402441

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080006346.6A Active CN113196263B (zh) 2019-11-28 2020-10-22 用户认证系统、用户认证服务器及用户认证方法

Country Status (6)

Country Link
US (1) US20230216686A1 (zh)
EP (1) EP3855325A4 (zh)
JP (1) JP6721225B1 (zh)
CN (1) CN113196263B (zh)
SG (1) SG11202104640RA (zh)
WO (1) WO2021106445A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115242558B (zh) * 2022-09-22 2022-12-09 城云科技(中国)有限公司 Api接口安全加密方法和认证方法及装置、可读存储介质

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001358683A (ja) * 2000-06-12 2001-12-26 Nippon Telegr & Teleph Corp <Ntt> 利用者識別方法,放送受信装置および利用者識別のためのプログラム記録媒体
US8224887B2 (en) * 2003-03-26 2012-07-17 Authenticatid, Llc System, method and computer program product for authenticating a client
JP3939736B1 (ja) 2006-03-27 2007-07-04 株式会社シー・エス・イー ユーザ認証システム、およびその方法
JP2008097170A (ja) * 2006-10-10 2008-04-24 Fuji Xerox Co Ltd 暗号化機能付き処理装置、暗号化装置、および暗号化機能付き処理プログラム
US8041954B2 (en) * 2006-12-07 2011-10-18 Paul Plesman Method and system for providing a secure login solution using one-time passwords
SG189120A1 (en) * 2010-10-05 2013-05-31 Cse Co Ltd System and method for two-factor user authentication
JP5985894B2 (ja) * 2012-06-06 2016-09-06 株式会社東海理化電機製作所 電子キー登録方法
US10592646B2 (en) * 2015-12-28 2020-03-17 Passlogy Co., Ltd. User authentication method and system for implementing the same

Also Published As

Publication number Publication date
CN113196263A (zh) 2021-07-30
SG11202104640RA (en) 2021-07-29
JP6721225B1 (ja) 2020-07-08
US20230216686A1 (en) 2023-07-06
EP3855325A1 (en) 2021-07-28
EP3855325A4 (en) 2022-05-04
JP2021086413A (ja) 2021-06-03
WO2021106445A1 (ja) 2021-06-03

Similar Documents

Publication Publication Date Title
JP4713693B1 (ja) オフライン二要素ユーザ認証システム、その方法、およびそのプログラム
JP4713694B1 (ja) 二要素ユーザ認証システム、およびその方法
JP3996939B2 (ja) オフラインユーザ認証システム、その方法、およびそのプログラム
JP4960883B2 (ja) 認証デバイスおよび/または方法
JP3939736B1 (ja) ユーザ認証システム、およびその方法
US9419969B2 (en) Method and system for granting access to a secured website
AU2005318933B2 (en) Authentication device and/or method
US9246897B2 (en) Method and system of login authentication
CN101427510B (zh) 用于网络功能描述的数字通行
US7500099B1 (en) Method for mitigating web-based “one-click” attacks
KR101851686B1 (ko) 거래 인증을 위하여 추출된 무작위 일회용 패스워드
US10326758B2 (en) Service provision system, information processing system, information processing apparatus, and service provision method
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
JP5003749B2 (ja) 情報処理装置、情報処理方法および情報処理プログラム
CN107580002B (zh) 双因子认证安全管理机登录系统及方法
CN113196263B (zh) 用户认证系统、用户认证服务器及用户认证方法
JP5602054B2 (ja) オフライン二要素ユーザ認証システム、その方法、およびそのプログラム
JP2007249344A (ja) ユーザ認証システムおよび方法
JP4882463B2 (ja) ユーザ認証システムおよび方法
JP2005078371A (ja) 情報処理サーバ及び情報処理方法
JP5602055B2 (ja) 二要素ユーザ認証システム、およびその方法
JP2006338161A (ja) 認証システム及び認証方法
JP2016152042A (ja) 情報処理装置、それにおける認証処理方法、及びプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant