CN115698991A - 密码认证装置、密码认证方法和密码认证程序 - Google Patents
密码认证装置、密码认证方法和密码认证程序 Download PDFInfo
- Publication number
- CN115698991A CN115698991A CN202080101120.4A CN202080101120A CN115698991A CN 115698991 A CN115698991 A CN 115698991A CN 202080101120 A CN202080101120 A CN 202080101120A CN 115698991 A CN115698991 A CN 115698991A
- Authority
- CN
- China
- Prior art keywords
- password
- policy
- authentication
- authentication information
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 61
- 238000000605 extraction Methods 0.000 claims abstract description 157
- 239000000284 extract Substances 0.000 claims abstract description 13
- 230000008569 process Effects 0.000 claims description 51
- 238000012545 processing Methods 0.000 description 59
- 238000006243 chemical reaction Methods 0.000 description 24
- 238000004891 communication Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 15
- 238000012795 verification Methods 0.000 description 12
- 238000012790 confirmation Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
策略存储部(105)存储多个密码策略,该多个密码策略记述有在用户的认证中使用的密码的认定要件,该多个密码策略是指,如果密码符合多个密码策略中的至少任意1个密码策略,则能够将密码认定为正当的密码。策略提取部(100)从多个密码策略中提取1个以上的密码策略。认证信息取得部(101)取得包含密码的认证信息。符合性判定部(102)判定认证信息中包含的密码是否符合1个以上的密码策略中的至少任意1个密码策略。在符合性判定部(102)判定为符合至少任意1个密码策略时,认证信息登记部(103)登记认证信息作为登记信息。
Description
技术领域
本公开涉及密码认证装置、密码认证方法和密码认证程序。
背景技术
在使用密码的密码认证系统中,为了让用户使用牢固且安全的密码,密码认证系统侧指定单一的密码生成规则(以下称作密码策略)。而且,有时使用用户按照该密码策略生成密码并进行登记的方法。但是,在这种方法中,存在如下课题:即使用户的密码生成方针和密码策略矛盾,用户也必须按照与用户的密码生成方针相差甚远的密码策略生成密码并进行登记。
为了解决该课题,在专利文献1中公开有如下的密码生成装置:根据用户等输入的字符串生成符合密码策略的密码。更具体而言,专利文献1公开的密码生成装置受理表示构成密码的字符类别的密码策略,根据受理的密码策略决定多个转换模式中的要使用的转换模式。然后,密码生成装置受理第1字符串的输入,对输入的第1字符串进行分析,提取在转换中使用的多个字符组。然后,密码生成装置根据决定的转换模式,将提取出的多个字符组转换成第2字符串,对转换后的第2字符串进行合成而生成密码。
通过该密码生成装置,能够根据用户输入的字符串生成符合密码策略且遵循用户自身的密码生成方针的牢固且安全的密码。
现有技术文献
专利文献
专利文献1:日本特开2014-178978号公报
发明内容
发明要解决的课题
在专利文献1记载的方法中存在如下课题:为了保障密码的安全性,密码生成装置必须将对用户输入的字符串进行转换的转换模式作为秘密信息而以非公开的方式进行管理。
如果转换模式被公开,则攻击者能够进行如下的密码推测攻击:估计由用户输入的字符串,使用被公开的转换模式对估计出的字符串进行转换而推测密码。
进而,这是由于,如果由用户输入的字符串未符合密码策略而不是足够安全的字符串,则可高效地进行该密码推测攻击,可能无法保障密码的安全性。
本公开的主要目的在于,能够进行符合密码策略且遵循用户自身的密码生成方针的安全的密码生成。
用于解决课题的手段
本公开的密码认证装置具有:策略存储部,其存储多个密码策略,所述多个密码策略记述有在用户的认证中使用的密码的认定要件,所述多个密码策略是指,如果密码符合所述多个密码策略中的至少任意1个密码策略,则能够将所述密码认定为正当的密码;策略提取部,其从所述策略存储部存储的所述多个密码策略中提取1个以上的密码策略;认证信息取得部,其取得包含密码的认证信息;符合性判定部,其判定所述认证信息取得部取得的所述认证信息中包含的密码是否符合所述策略提取部提取出的所述1个以上的密码策略中的至少任意1个密码策略;以及认证信息登记部,其在所述符合性判定部判定为符合所述至少任意1个密码策略时,登记所述认证信息作为登记信息。
发明效果
根据本公开,能够进行符合密码策略且遵循用户自身的密码生成方针的安全的密码生成。
附图说明
图1是示出实施方式1的密码认证系统的结构例的图。
图2是示出实施方式1的密码认证装置的硬件结构例的图。
图3是示出实施方式1的密码认证装置的功能结构例的图。
图4是示出实施方式1的认证信息登记的处理的流程图。
图5是示出实施方式1的策略存储部中存储的多个密码策略的例子的图。
图6是示出实施方式1的针对登记表单的密码输入例的图。
图7是示出实施方式1的认证的处理的流程图。
图8是示出实施方式1的针对认证表单的密码输入例的图。
图9是示出实施方式1的在认证信息登记时显示了提取策略的密码输入例的图。
图10是示出实施方式2的密码认证装置的功能结构例的图。
图11是示出实施方式2的密码认证装置的认证信息登记的处理例的流程图。
图12是示出实施方式2的策略存储部中存储的多个密码策略的例子的图。
图13是示出实施方式2的提取结果存储部中存储的提取策略的例子的图。
图14是示出实施方式3的密码认证装置的功能结构例的图。
图15是示出实施方式3的认证信息登记的处理例的流程图。
图16是示出实施方式3的认证信息登记时的用户策略的选择例的图。
图17是示出实施方式3的认证的处理例的流程图。
图18是示出实施方式3的认证时的密码输入例的图。
图19是示出实施方式4的密码认证系统的结构例的图。
图20是示出实施方式4的密码认证装置的功能结构例的图。
图21是示出实施方式4的策略取得部的动作例的流程图。
图22是示出实施方式4的认证信息登记的处理例的流程图。
图23是示出实施方式4的转换密码的生成例的流程图。
图24是示出实施方式4的认证的处理例的流程图。
具体实施方式
下面,使用附图对本公开的实施方式进行说明。在以下的实施方式的说明和附图中,标注有相同标号的部分表示相同的部分或相当的部分。
实施方式1
使用图1~图9对本实施方式进行说明。
***结构的说明***
使用图1对本实施方式的密码认证系统1的结构例进行说明。
图1示出本实施方式的密码认证系统1的结构例。
密码认证系统1具有密码认证装置10、终端装置20和网络30。
密码认证装置10进行包含使用终端装置20输入的密码的认证信息的登记。此外,密码认证装置10使用包含使用终端装置20输入的密码的认证信息进行认证。
另外,密码认证装置10的动作步骤相当于密码认证方法。此外,实现密码认证装置10的动作的程序相当于密码认证程序。
终端装置20用于由用户输入认证信息。终端装置20的具体例是个人计算机。
网络30是用于发送接收数据的有线或无线的通信路径。作为具体例,网络30是基于Ethernet(注册商标)、Wi-Fi(注册商标)这样的通信标准的通信路径或设备专用的通信路径。
密码认证装置10和终端装置20经由网络30连接。
在本实施方式的密码认证系统1中,大致存在认证信息登记和认证这2个阶段。
在认证信息登记中,用户使用终端装置20将认证信息输入到密码认证装置10。然后,密码认证装置10登记用户输入的认证信息作为登记信息。
在认证中,用户使用终端装置20将认证信息输入到密码认证装置10。然后,在用户输入的认证信息与用户的登记信息一致的情况下,密码认证装置10将用户的认证判定为“成功”。此外,在用户输入的认证信息与用户的登记信息不一致的情况下,密码认证装置10将用户的认证判定为“失败”。
使用图2对本实施方式的密码认证装置10的硬件结构例进行说明。
图2示出本实施方式的密码认证装置10的硬件结构例。
密码认证装置10具有处理器11、存储器12、辅助存储装置13、输入输出接口14和通信接口15。
在辅助存储装置13中存储有实现后述的策略提取部100、认证信息取得部101、符合性判定部102、认证信息登记部103和认证信息核对部104的功能的程序。
辅助存储装置13中存储的实现策略提取部100、认证信息取得部101、符合性判定部102、认证信息登记部103和认证信息核对部104的功能的程序由存储器12载入。此外,该程序被处理器11读出并执行。
此外,后述的策略存储部105、提取结果存储部106、认证信息存储部107和登记信息存储部108通过存储器12和辅助存储装置13实现。
使用图3对本实施方式的密码认证装置10的功能结构例进行说明。
图3示出本实施方式的密码认证装置10的功能结构例。
密码认证装置10具有策略提取部100、认证信息取得部101、符合性判定部102、认证信息登记部103和认证信息核对部104。此外,密码认证装置10具有策略存储部105、提取结果存储部106、认证信息存储部107和登记信息存储部108。
策略存储部105存储记述有在用户的认证中使用的密码的认定要件的多个密码策略。
密码策略是指,如果密码符合多个密码策略中的至少任意1个密码策略,则能够将密码认定为正当的密码。
更具体而言,在1个密码策略中记述有能够在密码中使用的字符的使用要件。
这里,“字符”包含以下的1种以上。
1.半角英文字母
2.半角数字
3.半角符号
下面,对“字符”仅包含英文字母、数字和符号这3种的情况进行说明。
但是,“字符”也可以包含全角英文字母、全角数字或全角符号。
此外,“字符”也可以包含汉字、平假名或片假名。
进而,“字符”也可以包含阿拉伯字符、希腊字符或其他外国的字符。
在1个密码策略中记述有英文字母、数字和符号这3种使用要件中的至少1种使用要件即可。为了提高安全性,优选在1个密码策略中记述有英文字母、数字和符号这3种使用要件中的至少2种以上的使用要件,进而,更加优选记述有全部3种使用要件。
密码策略的具体例是“8个字符以上的半角英文数字”或“16个字符以上的半角英文字母”。多个密码策略是这些1个密码策略的集合。策略存储部105中存储的多个密码策略也可以被硬编码而存储于策略存储部105。此外,也可以经由输入输出接口14取得而存储于策略存储部105。此外,多个密码策略也可以经由通信接口15从外部的系统或数据库等取得而存储于策略存储部105。
策略提取部100从策略存储部105存储的多个密码策略中提取1个以上的密码策略,将其存储于提取结果存储部106。下面,将策略提取部100提取出的1个以上的密码策略记作提取策略200。
认证信息取得部101经由通信接口15取得使用终端装置20输入的认证信息,将其存储于认证信息存储部107。认证信息是在用户的认证中使用的信息,至少包含密码。认证信息的具体例是“密码”或“ID和密码的组合”。
符合性判定部102判定认证信息取得部101取得的认证信息中包含的密码是否符合策略提取部100提取出的提取策略200中的至少任意1个密码策略。
在符合性判定部102判定为符合至少任意1个密码策略时,认证信息登记部103将认证信息作为登记信息存储于登记信息存储部108。
认证信息核对部104使用包含使用终端装置20输入的密码的认证信息对密码认证装置10中登记的登记信息进行核对,认证信息进行用户的认证。
提取结果存储部106存储由策略提取部100存储的提取策略200。
认证信息存储部107存储由认证信息取得部101存储的认证信息。
登记信息存储部108存储由认证信息登记部103存储的登记信息。
***动作的说明***
使用图4对本实施方式的认证信息登记的处理例进行说明。下面,设认证信息仅为密码来进行详细说明。
图4示出本实施方式的认证信息登记的处理例。
图4的步骤S100对应于策略提取部100的处理,步骤S110对应于认证信息取得部101的处理,步骤S120~步骤S170对应于符合性判定部102的处理,步骤S180对应于认证信息登记部103的处理。
在步骤S100中,策略提取部100提取策略存储部105中存储的多个密码策略中的全部密码策略,将其存储于提取结果存储部106。下面,将提取出的密码策略称作提取策略200。
然后,策略提取部100将处理已完成通知给符合性判定部102。
图5示出本实施方式的策略存储部105中存储的多个密码策略的例子。
在图5中,在策略存储部105中存储有3个密码策略作为多个密码策略。更具体而言,策略存储部105中存储的3个密码策略是以下这3个。
1.“8个字符以上的半角英文数字”
2.“16个字符以上的半角英文字母”
3.“6个字符以上的半角英文字母符号”
接着,在步骤S110中,认证信息取得部101取得使用终端装置20输入的密码(以下称作输入密码201),将其存储于认证信息存储部107。
然后,认证信息取得部101将处理已完成通知给符合性判定部102。
图6是使用终端装置20的认证信息登记时的认证信息的输入例。在图6中,要求在终端装置20的GUI(Graphic User Interface:图形用户界面)画面中显示的登记表单中输入密码。此外,在图6中,示出用户输入了“System!p@ssowrD”的状态。当在该状态下按下“OK”时,通过网络30向密码认证装置10输入“System!p@ssowrD”作为输入密码201。下面,设输入密码201为“System!p@ssowrD”来继续说明。
接着,在步骤S120中,符合性判定部102等待来自策略提取部100和认证信息取得部101的处理完成通知。
然后,如果从策略提取部100和认证信息取得部101接收到通知,则符合性判定部102从提取结果存储部106读入提取策略200,从认证信息存储部107读入输入密码201“System!p@ssowrD”。
然后,符合性判定部102将读入的全部提取策略200的状态设为“未选择”。
接着,在步骤S130中,符合性判定部102确认在全部提取策略200中是否存在处于“未选择”状态的提取策略200。
接着,在步骤S140中,如果符合性判定部102确认存在处于“未选择”状态的提取策略200,则处理进入步骤S150。
另一方面,如果符合性判定部102确认不存在处于“未选择”状态的提取策略200,则判定输入密码201“System!p@ssowrD”与全部提取策略200均不符合。然后,处理返回步骤S110。
接着,在步骤S150中,符合性判定部102选择处于“未选择”状态的提取策略200中的1个提取策略200。下面,将选择出的提取策略200称作选择策略。
然后,符合性判定部102将选择策略的状态设为“选择”。
接着,在步骤S160中,符合性判定部102确认输入密码201“System!p@ssowrD”是否符合选择策略。
更具体而言,符合性判定部102确认选择策略中记述的密码的认定要件。然后,符合性判定部102确认输入密码201是否满足选择策略中记述的密码的认定要件。
接着,在步骤S170中,符合性判定部102判定输入密码201“System!p@ssowrD”是否符合提取策略200中的任意1个密码策略即选择策略。
更具体而言,如果输入密码201“System!p@ssowrD”满足选择策略中记述的密码的认定要件,则符合性判定部102判定为“符合”选择策略。然后,输入密码201“System!p@ssowrD”被认定为正当的密码。
此外,如果输入密码201“System!p@ssowrD”不满足选择策略中记述的密码的认定要件,则符合性判定部102判定为“不符合”。然后,输入密码201“System!p@ssowrD”不被认定为正当的密码。
然后,符合性判定部102将处理已完成通知给认证信息登记部103。
下面,使用具体例对符合性判定部102判定输入密码201“System!p@ssowrD”是否符合选择策略进行说明。
在输入密码201为“System!p@ssowrD”且选择策略为“6个字符以上的半角英文字母符号”的情况下,“System!p@ssowrD”是“6个字符以上的半角英文字母符号”,因此,满足密码的认定要件。因此,符合性判定部102判定为“符合”。
此外,作为另一个例子,在输入密码201为“hell0hell0”且选择策略的密码为“8个字符以上的半角英文数字”的情况下,“hell0hell0”是“8个字符以上的半角英文数字”,因此,满足密码的认定要件。因此,符合性判定部102判定为“符合”。
此外,作为另一个例子,在输入的密码为“hell0”且选择策略为“8个字符以上的半角英文数字”的情况下,“hell0”不是“8个字符以上的半角英文数字”,因此,不满足密码的认定要件。因此,符合性判定部102判定为“不符合”。
在符合性判定部102判定为“符合”的情况下,符合性判定部102向认证信息登记部103通知处理已完成。然后,处理进入步骤S180。
另一方面,在符合性判定部102判定为“不符合”的情况下,处理返回步骤S130。
接着,在步骤S180中,认证信息登记部103等待来自符合性判定部102的处理完成通知。
在认证信息登记部103从符合性判定部102接收到处理完成通知的情况下,认证信息登记部103读入认证信息存储部107中存储的认证信息即输入密码201“System!p@ssowrD”。然后,认证信息登记部103将其作为登记信息存储于登记信息存储部108。然后,认证信息登记的处理完成。
使用图7对本实施方式的认证的处理例进行说明。下面,设认证信息仅为密码来进行详细说明。
图7示出本实施方式的认证信息登记的处理例。
图7的步骤S200对应于认证信息取得部101的处理,步骤S210~步骤S230对应于认证信息核对部104的处理。
在步骤S200中,认证信息取得部101取得使用终端装置20输入的输入密码201,将其存储于认证信息存储部107。
然后,认证信息取得部101将处理已完成通知给认证信息核对部104。
图8是使用终端装置20的认证时的认证信息的输入例。在图8中,要求在终端装置20的GUI画面中显示的认证表单中输入密码。此外,在图8中示出用户输入了“System!p@ssowrD”的状态。当在该状态下按下“OK”时,通过网络30向密码认证装置10输入“System!p@ssowrD”作为输入密码201。下面,设输入密码201为“System!p@ssowrD”来继续说明。
接着,在步骤S210中,认证信息核对部104等待来自认证信息取得部101的处理完成通知。
然后,在认证信息核对部104从认证信息取得部101接收到处理完成通知的情况下,从登记信息存储部108读入作为登记信息的密码(以下称作登记密码202)。下面,设登记密码202为“System!p@ssowrD”来继续说明。
认证信息核对部104确认读入的登记密码202和输入密码201。
接着,在步骤S220中,认证信息核对部104判定读入的登记密码202和输入密码201是否一致。
然后,在认证信息核对部104判定为登记密码202和输入密码201一致的情况下,处理进入步骤S230。
然后,在认证信息核对部104判定为登记密码202和输入密码201不一致的情况下,处理返回步骤S200。
在本例中,登记密码202“System!p@ssowrD”和输入密码201“System!p@ssowrD”一致,因此,处理进入步骤S230。
接着,在步骤S230中,认证信息核对部104将认证设为成功。然后,认证的处理完成。
***实施方式的效果的说明***
如上所述,本实施方式的密码认证装置存储多个密码策略。而且,如果遵循用户自身的密码生成方针输入的输入密码201符合从多个密码策略中提取出的提取策略200中的任意一方,则被认定为正当的密码,作为登记信息进行登记。即,不使用作为秘密信息的转换模式。因此,能够进行符合密码策略且遵循用户自身的密码生成方针的安全的密码生成。
<变形例1>
在实施方式1中,说明了密码认证系统具有密码认证装置10、终端装置20和网络30。此外,说明了密码认证装置10利用使用终端装置20输入的认证信息进行认证信息登记和认证。
但是,不限于此,密码认证装置10也可以利用经由输入输出接口14输入的认证信息进行认证信息登记和认证。
更具体而言,在图4的步骤S110中,认证信息取得部101也可以取得使用输入装置在输出装置的GUI画面中显示的登记表单中输入的密码,将其存储于认证信息存储部107。
此外,在图7的步骤S200中,认证信息取得部101也可以取得使用输入装置在输出装置的GUI画面中显示的认证表单中输入的密码,将其存储于认证信息存储部107。
因此,密码认证系统也可以不具有终端装置20和网络30。
<变形例2>
在实施方式1中,使用图6说明了要求在终端装置20的GUI画面中显示的登记表单中输入密码的例子。
但是,输入密码的要求不限于此,认证信息取得部101也可以使终端装置20在终端装置20的GUI画面中显示提取策略200,要求输入密码。
更具体而言,在图4的步骤S110中,认证信息取得部101从提取结果存储部106读入提取策略200,经由通信接口15将提取策略200发送到终端装置20。然后,认证信息取得部101也可以使终端装置20在终端装置20的GUI画面中显示提取策略200,要求用户输入密码。
图9是在认证信息登记时显示了提取策略200的认证信息的输入例。在图9中,要求在终端装置20的GUI画面中显示了提取策略200的登记表单中输入密码。此外,在图9中示出用户输入了符合“策略3:6个字符以上的半角英文字母符号”的“System!p@ssowrD”的状态。当在该状态下按下“OK”时,通过网络30向密码认证装置10输入“System!p@ssowrD”作为输入密码201。
实施方式2
在实施方式1中,策略提取部100提取策略存储部105中存储的多个密码策略中的全部密码策略作为提取策略200。但是,还能够进行如下运用:使策略存储部105存储大量的多个密码策略,然后,使策略提取部100计算密码策略的强度,仅提取满足要求强度的密码策略。
在本实施方式中,说明如下例子:策略提取部100根据策略存储部105中存储的大量的多个密码策略计算密码策略的强度,仅提取满足要求强度的密码策略。
另外,密码策略的强度是评价由密码策略确定的密码的安全性的尺度。密码策略的强度的具体例是表示由密码策略确定的密码的字符(英文字母、数字和符号)组合的总数的密码总数(也称作密码空间)。
更具体而言,在根据m种字符(英文字母、数字和符号)生成n个字符的密码时,利用m^n计算密码空间。这里,“^”表示幂乘。
使用“8个字符以上的半角小写英文字母和半角数字”这样的密码策略的具体例对密码空间进行说明。
半角小写英文字母(a~z)和半角数字(0~9)合计存在36种字符。而且,最低的字符数为8个字符。因此,在“8个字符以上的半角小写英文字母和半角数字”这样的密码策略的情况下,36^8为最低的密码空间,是密码策略的强度。
此外,要求强度是用于从多个密码策略中提取提取策略200的基准。要求强度的具体例是“密码空间为36^8以上”。此外,作为另一个具体例,也可以如“‘由半角小写英文字母和半角数字构成的8个字符以上’这样的密码策略的密码空间以上”那样利用特定的密码策略。
使用图10~图13对本实施方式进行说明。
在本实施方式中,主要对与实施方式1的差异进行说明。
另外,以下未说明的事项与实施方式1相同。
***结构的说明***
本实施方式的密码认证系统的结构和密码认证装置10的硬件结构是与实施方式1相同的结构,因此省略说明。
使用图10对本实施方式的密码认证装置10的功能结构例进行说明。
图10示出本实施方式的密码认证装置10的功能结构例。
另外,对与实施方式1相同的结构部分标注相同编号并省略其说明。
本实施方式的密码认证装置10新具有提取要件存储部109。
提取要件存储部109存储用于从多个密码策略中提取密码策略的提取要件。提取要件的具体例是要求强度。下面,将提取要件存储部109存储的要求强度记作要求强度203。
提取要件存储部109中存储的要求强度203也可以被硬编码而存储于提取要件存储部109。此外,要求强度203也可以经由输入输出接口14取得而存储于提取要件存储部109。此外,要求强度203也可以经由通信接口15从外部的系统或数据库等取得而存储于提取要件存储部109。
提取要件存储部109通过存储器12和辅助存储装置13实现。
此外,本实施方式的策略提取部100计算策略存储部105中存储的多个密码策略的各个密码策略的密码空间。此外,策略提取部100读入提取要件存储部109中存储的要求强度203。然后,策略提取部100使用各个密码策略的密码空间和要求强度203从多个密码策略中提取提取策略200,将其存储于提取结果存储部106。
***动作的说明***
使用图11对本实施方式的认证信息登记的处理例进行说明。下面,设认证信息仅为密码来进行详细说明。
图11示出本实施方式的认证信息登记的处理例。
另外,对与实施方式1相同的动作标注相同编号并省略其说明。
图11的步骤S100~步骤S370对应于策略提取部100的处理。
步骤S100是与实施方式1相同的动作,因此省略说明。
图12示出本实施方式的策略存储部105中存储的多个密码策略的例子。
在图12中,示出在策略存储部105中存储有4个密码策略作为多个密码策略。更具体而言,策略存储部105中存储的4个密码策略是以下这4个。
1.“8个字符以上的半角英文数字”
2.“16个字符以上的半角英文字母”
3.“6个字符以上的半角英文字母符号”
4.“4位半角数字”
在步骤S100之后,在步骤S300中,策略提取部100读入提取要件存储部109中存储的要求强度203。
下面,作为要求强度203的具体例,对策略提取部100读入“密码空间为100,000以上”的例子进行说明。
接着,在步骤S310中,策略提取部100将全部提取策略200的状态设为“未选择”。
接着,在步骤S320中,策略提取部100确认在全部提取策略200中是否存在处于“未选择”状态的提取策略200。
接着,在步骤S330中,如果策略提取部100确认在全部提取策略200中存在处于“未选择”状态的提取策略200,则处理进入步骤S340。
另一方面,如果策略提取部100确认在全部多个密码策略中不存在处于“未选择”状态的密码策略,则策略提取部100使用后述的强度确认策略对提取结果存储部106中存储的提取策略200进行更新。然后,策略提取部100将处理已完成通知给符合性判定部102。然后,处理进入图4的步骤S110。另外,进入图4的步骤S110以后的动作是与实施方式1的动作相同的动作,因此省略说明。
接着,在步骤S340中,策略提取部100选择处于“未选择”状态的提取策略200中的1个提取策略200。下面,将策略提取部100选择出的提取策略200称作强度确认策略。
然后,策略提取部100将强度确认策略的状态设为“选择”。
接着,在步骤S350中,策略提取部100计算强度确认策略的密码策略的强度。更具体而言,策略提取部100计算表示由能够在强度确认策略中记述的密码中使用的字符(英文字母、数字和符号)的使用要件确定的密码的字符(英文字母、数字和符号)组合的总数的密码空间。
然后,策略提取部100确认要求强度203的密码空间。
在本例中,要求强度203是“密码空间为100,000以上”,因此,要求强度203的密码空间为100,000以上。
此外,作为另一例,如果要求强度203如“‘8个字符以上的半角小写英文字母和半角数字’这样的密码策略的密码空间以上”那样利用特定的密码策略,则策略提取部100计算要求强度203的密码空间并进行确认。
接着,在步骤S360中,策略提取部100判定强度确认策略的密码策略的强度是否满足要求强度203。
在策略提取部100判定为强度确认策略的密码策略的强度满足要求强度203的情况下,处理进入步骤S370。
另一方面,在策略提取部100判定为强度确认策略的密码策略的强度不满足要求强度203的情况下,处理返回步骤S320。
半角英文字母是大写英文字母A~Z和小写英文字母a~z这52种字符。此外,半角数字是0~9这10种数字。此外,为了简便,符号设为32种符号。
即,图12所示的4个多个密码策略各自的密码空间如下那样计算。
1.在“8个字符以上的半角英文数字”的情况下,62^8(另外,62^8>100,000)。
2.在“16个字符以上的半角英文字母”的情况下,52^16(另外,52^16>100,000)。
3.在“6个字符以上的半角英文字母符号”的情况下,84^6(另外,84^6>100,000)。
4.在“4位半角数字”的情况下,10^4(另外,10^4<100,000)。
因此,上述4个多个密码策略中的(1)、(2)、(3)满足要求强度203。此外,上述4个多个密码策略中的(4)不满足要求强度203。
接着,在步骤S370中,策略提取部100存储强度确认策略,以用于提取策略200的更新。
图13示出本实施方式的提取结果存储部106中存储的提取策略200的例子。
在图13中,示出在提取结果存储部106中存储有图12的多个密码策略中的3个密码策略作为提取策略200。更具体而言,提取结果存储部106中存储的3个密码策略是以下这3个。
1.“8个字符以上的半角英文数字”
2.“16个字符以上的半角英文字母”
3.“6个字符以上的半角英文字母符号”
***实施方式的效果的说明***
如上所述,根据本实施方式,密码认证装置从大量准备的多个密码策略中仅提取满足要求强度的密码策略。然后,密码认证装置使用在认证信息登记时提取出的密码策略认定密码,作为登记信息进行登记。即,密码认证装置不使用作为秘密信息的转换模式。因此,能够进行符合密码策略且遵循用户自身的密码生成方针的安全的密码生成。
进而,如果预先大量准备多个密码策略,则密码认证装置的管理者仅变更提取要件,就能够调整在认证信息登记时被允许登记的密码的安全性的基准。即,不需要在密码认证装置的管理者每次调整在认证信息登记时被允许登记的密码的安全性的基准时准备多个密码策略。因此,能够削减必须准备多个密码策略以供密码认证装置的管理者调整在认证信息登记时被允许登记的密码的安全性的基准的劳力和时间。
实施方式3
在实施方式1中,采用一一确认输入密码201符合提取结果存储部106中存储的提取策略200中的哪个提取策略200这样的方法。但是,在如图9所示向用户提示了提取策略200时,还能够使用户从提示的提取策略200中选择提取策略200。
在本实施方式中,说明如下例子:认证信息取得部101使终端装置20在终端装置20的GUI画面中显示提取策略200,要求选择与密码的输入一起利用的提取策略200。
使用图14~图18对本实施方式进行说明。
在本实施方式中,主要对与实施方式1的差异进行说明。
另外,以下未说明的事项与实施方式1相同。
***结构的说明***
本实施方式的密码认证系统的结构和密码认证装置10的硬件结构是与实施方式1和实施方式2相同的结构,因此省略说明。
接着,使用图14对本实施方式的密码认证装置10的功能结构例进行说明。
图14示出本实施方式的密码认证装置10的功能结构例。
另外,对与实施方式1相同的结构部分标注相同编号并省略其说明。
本实施方式的密码认证装置10的功能结构是与实施方式1相同的结构。但是,认证信息取得部101、符合性判定部102和符合性判定部102的动作不同。
本实施方式的认证信息取得部101在认证信息登记时,在认证信息的输入画面中显示策略提取部100提取出的1个以上的密码策略即提取策略200。更具体而言,认证信息取得部101使终端装置20在终端装置20的GUI画面中显示提取策略200,由此,在认证信息的输入画面中显示提取策略200。然后,认证信息取得部101取得所显示的提取策略200中的由用户选择出的密码策略作为用户策略204。
此外,认证信息取得部101在认证信息登记时,在认证信息的输入画面中显示登记信息存储部108中存储的用户策略204。更具体而言,认证信息取得部101使终端装置20在终端装置20的GUI画面中显示用户策略204,由此,在认证信息的输入画面中显示用户策略204。
本实施方式的符合性判定部102判定认证信息取得部101取得的认证信息中包含的输入密码201是否符合用户策略204。
在符合性判定部102判定为认证信息中包含的输入密码201符合用户策略204时,本实施方式的认证信息登记部103登记认证信息和用户策略204作为登记信息。
***动作的说明***
使用图15对本实施方式的认证信息登记的处理例进行说明。下面,设认证信息仅为密码来进行详细说明。
图15示出本实施方式的认证信息登记的处理例。
另外,对与实施方式1相同的动作标注相同编号并省略其说明。
图15的步骤S100对应于策略提取部100的处理,步骤S400对应于认证信息取得部101的处理,步骤S410和步骤S420对应于符合性判定部102的处理,步骤S180和步骤S430对应于认证信息登记部103的处理。
步骤S100是与实施方式1相同的动作,因此省略说明。
在步骤S100之后,在步骤S400中,认证信息取得部101从提取结果存储部106读入提取策略200。然后,认证信息取得部101经由通信接口15向终端装置20发送提取策略200。然后,认证信息取得部101使终端装置20在终端装置20的GUI画面中显示提取策略200。然后,认证信息取得部101取得使用终端装置20输入的输入密码201和选择出的用户策略204,将其存储于认证信息存储部107。
然后,认证信息取得部101将处理已完成通知给符合性判定部102。
图16是使用终端装置20的认证信息登记时的用户策略204的选择例。在图16中,要求在终端装置20的GUI画面中显示了提取策略200的登记表单中选择用户策略204。此外,在图16中示出用户选择了“策略3:6个字符以上的半角英文字母符号”的状态。当在该状态下按下“OK”时,通过网络30向密码认证装置10输入“6个字符以上的半角英文字母符号”作为用户策略204。
接着,在步骤S410中,符合性判定部102等待来自认证信息取得部101的通知。
然后,如果从策略提取部100和认证信息取得部101接收到通知,则符合性判定部102从认证信息存储部107读入输入密码201和用户策略204。
然后,符合性判定部102确认输入密码201是否符合用户策略204。
更具体而言,符合性判定部102确认用户策略204中记述的密码的认定要件。然后,符合性判定部102确认输入密码201是否满足用户策略204中记述的密码的认定要件。
接着,在步骤S420中,符合性判定部102判定输入密码201是否符合用户策略204。
更具体而言,如果确认输入密码201满足用户策略204中记述的密码的认定要件,则符合性判定部102判定为“符合”。然后,输入密码201被认定为正当的密码。
此外,如果确认输入密码201不满足用户策略204中记述的密码的认定要件,则符合性判定部102判定为“不符合”。然后,输入密码201不被认定为正当的密码。
在符合性判定部102判定为“符合”的情况下,符合性判定部102向认证信息登记部103通知处理已完成。然后,处理进入步骤S180。
另一方面,在符合性判定部102判定为“不符合”的情况下,处理返回步骤S400。
步骤S180是与实施方式1相同的动作,因此省略说明。
接着,在步骤S430中,认证信息登记部103读入认证信息存储部107中存储的用户策略204,作为登记信息存储于登记信息存储部108。然后,认证信息登记的处理完成。
使用图17对本实施方式的认证的处理例进行说明。下面,设认证信息仅为密码来进行详细说明。
图17示出本实施方式的认证信息登记的处理例。
另外,对与实施方式1相同的动作标注相同编号并省略其说明。
图17的步骤S500和步骤S510对应于认证信息取得部101的处理,步骤S210~步骤S230对应于认证信息核对部104的处理。
在步骤S500中,认证信息取得部101从登记信息存储部108读入用户策略204。
下面,设认证信息取得部101读入“6个字符以上的半角英文字母符号”作为用户策略204来进行说明。
接着,在步骤S510中,认证信息取得部101使终端装置20在终端装置20的GUI画面中显示用户策略204,由此,取得符合用户策略204的输入密码201。
更具体而言,认证信息取得部101经由通信接口15向终端装置20发送用户策略204。然后,认证信息取得部101使终端装置20在终端装置20的GUI画面中显示用户策略204。然后,认证信息取得部101取得使用终端装置20输入的输入密码201,将其存储于认证信息存储部107。
然后,认证信息取得部101将处理已完成通知给符合性判定部102。
图18是本实施方式的使用终端装置20的认证时的认证信息的输入例。在图18中,要求在终端装置20的GUI画面中显示的认证表单中输入密码。此外,在终端装置20的GUI画面中显示的认证表单中显示有作为用户策略204的“6个字符以上的半角英文字母符号”。此外,在图18中示出用户输入了“System!p@ssowrD”的状态。当在该状态下按下“OK”时,通过网络30向密码认证装置10输入“System!p@ssowrD”作为输入密码201。
接着,在步骤S520中,认证信息核对部104等待来自认证信息取得部101的处理完成通知。
然后,在认证信息核对部104从认证信息取得部101接收到处理完成通知的情况下,从登记信息存储部108读入作为登记信息的登记密码202。
认证信息核对部104确认读入的登记密码202和输入密码201。
步骤S210~步骤S230是与实施方式1相同的动作,因此省略说明。然后,认证信息登记的处理完成。
***实施方式的效果的说明***
如上所述,根据本实施方式,密码认证装置在认证信息登记时,使用户从多个密码策略中选择希望使用的密码策略。然后,密码认证装置与包含密码的认证信息一起取得用户选择出的密码策略,作为登记信息进行登记。即,密码认证装置不使用作为秘密信息的转换模式。因此,能够进行符合密码策略且遵循用户自身的密码生成方针的安全的密码生成。
进而,用户在认证时能够一边确认终端装置的GUI中显示的在认证信息登记时自身选择出的密码策略一边输入密码。因此,能够提高用户的便利性。
实施方式4
在实施方式1~实施方式3中,说明了如下例子:在密码认证系统1中,密码认证装置10进行认证信息登记和认证。
但是,有时存在不同于密码认证系统1的密码认证系统,进行认证信息登记和认证。而且,有时其他的密码认证系统指定在认证信息登记和认证中使用的密码策略,无法进行密码策略的变更或追加等。而且,这种情况下,可能无法如实施方式1~实施方式3那样实现遵循用户自身的密码生成方针的密码生成。
因此,在本实施方式中,说明如下例子:密码认证装置10在其他的密码认证系统的认证信息登记和认证时进行用户输入的认证信息的中继。
使用图19~图24对本实施方式进行说明。
在本实施方式中,主要对与实施方式2的差异进行说明。
另外,以下未说明的事项与实施方式2相同。
***结构的说明***
本实施方式的密码认证装置10的硬件结构是与实施方式1相同的结构,因此省略说明。
使用图19对本实施方式的密码认证系统1的结构例进行说明。
图19示出本实施方式的密码认证系统1的结构例。
密码认证系统1在密码认证装置10、终端装置20和网络30的基础上,新具有外部认证系统40。
本实施方式的密码认证装置10对使用终端装置20输入的认证信息中包含的密码进行转换,生成转换密码207。然后,密码认证装置10在认证信息登记时和认证时,将包含转换密码207的认证信息输入到外部认证系统40。
外部认证系统40在密码认证装置10的外部进行用户的认证。更具体而言,外部认证系统40在密码认证装置10的外部进行包含密码认证装置10生成的转换密码207的认证信息的登记。此外,外部认证系统40在密码认证装置10的外部使用包含密码认证装置10生成的转换密码207的认证信息进行认证。
密码认证装置10和终端装置20经由网络30连接。此外,密码认证装置10和外部认证系统40经由网络30连接。
使用图20对本实施方式的密码认证装置10的功能结构例进行说明。
图20示出本实施方式的密码认证装置10的功能结构例。
另外,对与实施方式2和实施方式3相同的结构部分标注相同编号并省略其说明。
本实施方式的密码认证装置10新具有策略取得部110和取得策略存储部112。此外,密码认证装置10代替认证信息核对部104而具有认证信息中继部111。
策略取得部110取得在密码认证装置10的外部进行认证的外部认证系统40在用户的认证中使用的密码策略作为取得策略205,将其存储于取得策略存储部112。然后,策略取得部110计算表示由取得策略205确定的密码的字符(英文字母、数字和符号)组合的总数的取得策略205的密码总数,将计算结果作为要求强度203存储于提取要件存储部109。下面,将表示由取得策略205确定的密码的字符(英文字母、数字和符号)组合的总数的取得策略205的密码总数记作组合总数206。
认证信息中继部111在认证信息登记时从登记信息存储部108读入登记信息,将登记信息中包含的登记密码202转换成符合取得策略205的转换密码207。然后,认证信息中继部111使用登记信息和转换密码207向外部认证系统40输入在外部认证系统40的认证中使用的认证信息。
此外,认证信息中继部111在认证时从认证信息存储部107读入认证信息,将认证信息中包含的输入密码201转换成符合取得策略205的转换密码207。然后,认证信息中继部111使用认证信息和转换密码207向外部认证系统40输入在外部认证系统40的认证中使用的认证信息。
此外,本实施方式的认证信息取得部101、符合性判定部102和符合性判定部102进行与实施方式3相同的动作。此外,图20的认证信息取得部101、符合性判定部102和符合性判定部102以外的结构部分进行与实施方式2相同的动作。
取得策略存储部112存储策略取得部110取得的取得策略205。
实现策略取得部110和认证信息中继部111的程序存储于辅助存储装置13。
辅助存储装置13中存储的实现策略取得部110和认证信息中继部111的程序由存储器12载入。此外,该程序被处理器11读出并执行。
取得策略存储部112通过存储器12和辅助存储装置13实现。
***动作的说明***
使用图21对本实施方式的策略取得部110的动作例进行说明。下面,设认证信息仅为密码来进行详细说明。
图21示出本实施方式的策略取得部110的动作例。
在认证信息登记的处理之前进行本实施方式的策略取得部110的动作。
在步骤S600中,策略取得部110经由通信接口15从外部认证系统40取得在用户的认证中使用的密码策略作为取得策略205。然后,策略取得部110将取得策略205存储于取得策略存储部112。
接着,在步骤S610中,策略取得部110计算取得策略205的密码策略的强度,将计算结果作为要求强度203存储于提取要件存储部109。
具体而言,策略取得部110计算表示由能够在取得策略205中记述的密码中使用的字符(英文字母、数字和符号)的使用要件确定的密码的字符(英文字母、数字和符号)组合的总数的组合总数206。
然后,策略取得部110将组合总数206作为要求强度203存储于提取要件存储部109。然后,策略取得部110的处理完成。
使用图22对本实施方式的认证信息登记的处理例进行说明。下面,设认证信息仅为密码来进行详细说明。
图22示出本实施方式的认证信息登记的处理例。
另外,对与实施方式2和实施方式3相同的动作标注相同编号并省略其说明。
图22的步骤S100~步骤S370和步骤S700对应于策略提取部100的处理,步骤S400对应于认证信息取得部101的处理,步骤S410和步骤S420对应于符合性判定部102的处理。此外,步骤S180和步骤S430对应于认证信息登记部103的处理,步骤S710和步骤S720对应于认证信息中继部111的处理。
步骤S100~步骤S320是与实施方式2相同的动作,因此省略说明。
在步骤S320之后,在步骤S700中,如果策略提取部100确认在全部提取策略200中存在处于“未选择”状态的提取策略200,则处理进入步骤S340。
另一方面,如果策略提取部100确认在全部多个密码策略中不存在处于“未选择”状态的密码策略,则策略提取部100使用强度确认策略对提取结果存储部106中存储的提取策略200进行更新。然后,策略提取部100将处理已完成通知给符合性判定部102。然后,处理进入步骤S400。
步骤S340~步骤S370是与实施方式2相同的动作,因此省略说明。此外,步骤S400~步骤S430是与实施方式3相同的动作,因此省略说明。
在步骤S430之后,在步骤S710中,认证信息中继部111从登记信息存储部108读入作为登记信息的登记密码202。此外,认证信息中继部111从取得策略存储部112读入取得策略205。
然后,认证信息中继部111对登记密码202进行转换以使其符合取得策略205,生成转换密码207。
使用后述的对登记密码202进行转换以使其符合取得策略205的转换算法(也称作转换模式)进行转换。以在转换时不会降低密码的安全性的方式构建转换算法。转换算法也可以是公开信息。
接着,在步骤S720中,认证信息中继部111经由通信接口15,使用转换密码207向外部认证系统40输入在外部认证系统40的认证中使用的认证信息。然后,利用外部认证系统40进行认证信息登记。然后,认证信息登记的处理完成。
使用图23对本实施方式的转换密码207的生成例进行说明。下面,设认证信息仅为密码来进行详细说明。
图23示出本实施方式的转换密码207的生成例。
下面,作为具体例,对登记密码202是“p@ssword”且取得策略205是“5个字符以上的半角小写英文字母”时的转换密码207的生成动作进行详细说明。另外,本例的登记密码202和取得策略205是用于清楚地说明转换密码207的生成的简单例子,安全性低,因此,优选在实际的运用中不使用。
在步骤S800中,认证信息中继部111定义变量S,存储登记密码202“p@ssword”。
接着,在步骤S810中,认证信息中继部111根据能够在取得策略205中记述的密码中使用的字符(英文字母、数字和符号)的使用要件,计算能够使用的字符种类的总数x。
在本例中,取得策略205是“5个字符以上的半角小写英文字母”,因此,总数x为x=26。
接着,在步骤S820中,认证信息中继部111对基于能够在取得策略205中记述的密码中使用的字符(英文字母、数字和符号)的使用要件的能够使用的字符分别分配索引(0,1,2,…,x-1)。
在本例中,取得策略205是“5个字符以上的半角小写英文字母”,因此,能够使用的字符为a~z。因此,认证信息中继部111将索引分配成a=0、b=1、…、g=6、h=7、…、z=25。
接着,在步骤S830中,认证信息中继部111对变量S进行散列化。
下面,将散列化的变量S记作T。
关于散列化,在密码学上安全即可,也可以利用任意的散列函数。
在作为散列化的具体例利用SHA256的情况下,认证信息中继部111对变量S(=p@ssword)进行散列化,将其转换成T(=0fd205965ce169b5c023282bb5fa2e239b6716726db5defaa8ceff225be805dc)。
接着,在步骤S840中,认证信息中继部111将步骤S830中T转换成x进制数表达。
在本例中,x为x=26,因此,认证信息中继部111将T转换成26进制数表达。
下面,将被转换成26进制数表达的T记作V。
但是,认证信息中继部111也可以暂时将T转换成y进制数(y为x以下的数)表达,然后,进一步将转换成y进制数表达的T转换成x进制数。作为具体例,认证信息中继部111也可以暂时将T转换成16进制数表达,然后,进一步转换成26进制数表达。
本例的T暂时被转换成16进制数表达,然后,进一步被转换成26进制数表达。
然后,本例的V是V=“7、6、21、6、16、6、25、7、5、13、10、4、15、18、2、8、12、19、24、11、20、18、10、21、19、5、25、14、21、8、20、11、3、21、5、19、23、7、23、23、8、5、19、22、5、8、10、1、7、18、6、25、21、6”。另外,V的数字与数字之间的顿号“、”表示各位的划分。作为具体例,表示从V的开头起第1位的值为“7”,从开头起第2位的值为“6”。
接着,在步骤S850中,认证信息中继部111将V的各位的值转换成作为索引的字符,将V转换成字符串W。
本例的从V的开头起第1位的值为“7”。然后,被分配索引“7”的字符为“h”。因此,从V的开头起第1位被转换成“h”。
此外,本例的从V的开头起第2位的值为“6”。然后,被分配索引“6”的字符为“g”。因此,从V的开头起第2位被转换成“g”。
这样,认证信息中继部111将V的全部位的值转换成字符,由此将V转换成字符串W。
然后,本例的W是W=“hgvgqgzhfnkepscimtyluskvtfzoviuldvftxhxxiftwfikbhsgzv g”。
接着,在步骤S860中,认证信息中继部111确认W是否满足能够在取得策略205中记述的密码中使用的字符(英文字母、数字和符号)的使用要件。
接着,在步骤S870中,如果认证信息中继部111确认W满足能够在取得策略205中记述的密码中使用的字符(英文字母、数字和符号)的使用要件,则处理进入步骤S880。
另一方面,如果认证信息中继部111确认W不满足能够在取得策略205中记述的密码中使用的字符(英文字母、数字和符号)的使用要件,则处理返回步骤S830。然后,认证信息中继部111使用成为W的变量S再次进行步骤S830~步骤S860的处理。
本例的W是W=“hgvgqgzhfnkepscimtyluskvtfzoviuldvftxhxxiftwfikbhsgzvg”,其满足取得策略205的“5个字符以上的半角小写英文字母”,因此,处理进入步骤S880。
使用另一个具体例,对处理返回步骤S830的例子进行详细说明。
设取得策略205是“8个字符以上的半角小写英文字母和半角数字(包含至少1个字符以上的半角小写英文字母和半角数字)”。为了满足能够在这种取得策略205中记述的密码中使用的字符(英文字母、数字和符号)的使用要件,必须在W中至少包含1个字符的“半角小写英文字母”和1个字符的“半角数字”。但是,要考虑在步骤S850中转换后的W不包含“半角小写英文字母”或“半角数字”中的任何1个字符的情况。这种情况下,在步骤S860中,确认W不满足能够在取得策略205中记述的密码中使用的字符(英文字母、数字和符号)的使用要件。然后,在步骤S870中,处理返回步骤S830。然后,认证信息中继部111对成为W的变量S进行第2次的散列化。然后,经过步骤S840和步骤S850,S被转换成新的W。然后,反复进行S830~S860的处理,直到W满足能够在取得策略205中记述的密码中使用的字符(英文字母、数字和符号)的使用要件为止。
接着,在步骤S880中,认证信息中继部111存储W作为转换密码207。然后,转换密码207的生成处理完成。
使用图24对本实施方式的密码认证装置10的认证的处理例进行说明。下面,设认证信息仅为密码来进行详细说明。
图24示出本实施方式的密码认证装置10的认证的处理例。
另外,对与实施方式3相同的动作标注相同编号并省略其说明。
图24的步骤S900对应于策略取得部110的处理,步骤S510和步骤S520对应于认证信息取得部101的处理,步骤S910和步骤S920对应于认证信息中继部111的处理。
步骤S500和步骤S510是与实施方式3相同的动作,因此省略说明。
在步骤S520之后,在步骤S910中,认证信息中继部111从认证信息存储部107读入作为认证信息的输入密码201。此外,认证信息中继部111从取得策略存储部112读入取得策略205。
然后,认证信息中继部111对输入密码201进行转换以使其符合取得策略205,生成转换密码207。
转换是在图23的转换密码207的生成中将登记密码202置换成输入密码201的动作,因此省略说明。
接着,在步骤S920中,认证信息中继部111经由通信接口15,使用转换密码207向外部认证系统40输入在外部认证系统40的认证中使用的认证信息。然后,利用外部认证系统40进行认证。然后,认证的处理完成。
***实施方式的效果的说明***
如上所述,根据本实施方式,密码认证装置在认证信息登记时,对用户输入的认证信息中包含的密码进行转换,以使其符合外部认证系统的密码策略。然后,密码认证装置使用转换后的密码向外部认证系统输入认证信息。
此外,密码认证装置在认证时,对用户输入的认证信息中包含的密码进行转换,以使其符合外部认证系统的密码策略。然后,密码认证装置使用转换后的密码向外部认证系统输入认证信息。
由此,在存在进行认证信息登记和认证的外部认证系统的情况下,用户也能够选择与外部认证系统的密码策略相同或以上的强度的密码策略,遵循用户自身的密码生成方针生成密码。
此外,即使公开本实施方式的密码认证装置在密码的转换中使用的转换模式,用户生成的密码也是符合与外部认证系统的密码策略相同或以上的强度的密码策略的安全的密码。
因此,即使公开转换模式,也能够进行符合密码策略且遵循用户自身的密码生成方针的安全的密码生成。
以上说明了本公开的实施方式,但是,也可以组合实施这些实施方式中的2个以上的实施方式。
或者,也可以实施这些实施方式中的1个实施方式的一部分。
或者,也可以组合实施这些实施方式中的2个以上的实施方式的一部分。
另外,本公开不限于这些实施方式,能够根据需要进行各种变更。
***硬件结构的说明***
最后,进行密码认证装置10的硬件结构的补充说明。
图2所示的处理器11是进行处理的IC(Integrated Circuit:集成电路)。处理器11的具体例是CPU(Central Processing Unit:中央处理单元)、DSP(Digital SignalProcessor:数字信号处理器)等。
图2所示的存储器12是暂时存储数据的存储装置。存储器12的具体例是RAM(Random Access Memory:随机存取存储器)。
图2所示的辅助存储装置13是存储数据的存储装置。辅助存储装置13的具体例是硬盘。
此外,辅助存储装置13也可以是SSD(注册商标、Solid State Drive:固态驱动器)、SD(注册商标、Secure Digital:安全数字)存储卡、CF(注册商标、CompactFlash:致密闪存)、NAND闪存、软盘、光盘、高密度盘、蓝光(注册商标)盘、DVD(注册商标、DigitalVersatile Disk:数字多功能盘)这样的移动记录介质。
图2所示的输入输出接口14是执行信息的输入输出处理的电子电路。输入输出接口14的具体例是接收从键盘或鼠标等输入装置输入的信息并向监视器等输出装置发送信息的电子电路。
图2所示的通信接口15是经由信号线而执行与连接目的地的信息通信处理的电子电路。通信接口15的具体例是Ethernet(注册商标)用的通信芯片或NIC(NetworkInterface Card:网络接口卡)。
此外,在辅助存储装置13中还存储有OS(Operating System:操作系统)。而且,OS的至少一部分由处理器11执行。
处理器11一边执行OS的至少一部分,一边执行实现策略提取部100、认证信息取得部101、符合性判定部102、认证信息登记部103、认证信息核对部104、策略取得部110和认证信息中继部111的功能的程序。
处理器11执行OS,由此进行任务管理、存储管理、文件管理、通信控制等。
此外,表示策略提取部100、认证信息取得部101、符合性判定部102、认证信息登记部103、认证信息核对部104、策略取得部110和认证信息中继部111的处理结果的信息、数据、信号值和变量值中的至少任意一方存储于处理器11、存储器12、辅助存储装置13内的寄存器和高速缓冲存储器中的至少任意一方。
此外,实现策略提取部100、认证信息取得部101、符合性判定部102、认证信息登记部103、认证信息核对部104、策略取得部110和认证信息中继部111的功能的程序也可以存储于硬盘、SSD(注册商标)、SD(注册商标)存储卡、CF(注册商标)、NAND闪存、软盘、光盘、高密度盘、蓝光(注册商标)盘、DVD(注册商标)这样的移动记录介质。
而且,也可以使实现策略提取部100、认证信息取得部101、符合性判定部102、认证信息登记部103、认证信息核对部104、策略取得部110和认证信息中继部111的功能的程序流通。
此外,也可以将策略提取部100、认证信息取得部101、符合性判定部102、认证信息登记部103、认证信息核对部104、策略取得部110和认证信息中继部111的“部”改写成“电路”或“工序”或“步骤”或“处理”。
此外,密码认证装置10也可以通过处理电路实现。处理电路例如是逻辑IC(Integrated Circuit:集成电路)、GA(Gate Array:门阵列)、ASIC(Application SpecificIntegrated Circuit:专用集成电路)、FPGA(Field-Programmable Gate Array:现场可编程门阵列)。
另外,在本说明书中,将处理器和处理电路的上位概念称作“处理线路”。
即,处理器和处理电路分别是“处理线路”的具体例。
标号说明
1:密码认证系统;10:密码认证装置;11:处理器;12:存储器;13:辅助存储装置;14:输入输出接口;15:通信接口;20:终端装置;30:网络;40:外部认证系统;100:策略提取部;101:认证信息取得部;102:符合性判定部;103:认证信息登记部;104:认证信息核对部;105:策略存储部;106:提取结果存储部;107:认证信息存储部;108:登记信息存储部;109:提取要件存储部;110:策略取得部;111:认证信息中继部;112:取得策略存储部;200:提取策略;201:输入密码;202:登记密码;203:要求强度;204:用户策略;205:取得策略;206:组合总数;207:转换密码。
Claims (11)
1.一种密码认证装置,该密码认证装置具有:
策略存储部,其存储多个密码策略,所述多个密码策略记述有在用户的认证中使用的密码的认定要件,所述多个密码策略是指,如果密码符合所述多个密码策略中的至少任意1个密码策略,则能够将所述密码认定为正当的密码;
策略提取部,其从所述策略存储部存储的所述多个密码策略中提取1个以上的密码策略;
认证信息取得部,其取得包含密码的认证信息;
符合性判定部,其判定所述认证信息取得部取得的所述认证信息中包含的密码是否符合所述策略提取部提取出的所述1个以上的密码策略中的至少任意1个密码策略;以及
认证信息登记部,其在所述符合性判定部判定为符合所述至少任意1个密码策略时,登记所述认证信息作为登记信息。
2.根据权利要求1所述的密码认证装置,其中,
所述策略存储部存储记述有能够在密码中使用的英文字母、数字和符号这3种使用要件中的至少1种使用要件的密码策略。
3.根据权利要求1或2所述的密码认证装置,其中,
所述密码认证装置还具有提取要件存储部,该提取要件存储部存储从所述多个密码策略中提取密码策略的提取要件,
所述策略提取部根据所述提取要件存储部存储的所述提取要件,从所述多个密码策略中提取所述1个以上的密码策略。
4.根据权利要求3所述的密码认证装置,其中,
所述提取要件存储部存储表示在所述1个以上的密码策略的提取中使用的基准的要求强度作为所述提取要件,
所述策略提取部计算表示由所述多个密码策略的各个密码策略确定的密码的字符组合的总数的密码总数,使用所述各个密码策略的密码总数和所述要求强度从所述多个密码策略中提取所述1个以上的密码策略。
5.根据权利要求1~4中的任意一项所述的密码认证装置,其中,
所述密码认证装置还具有认证信息核对部,该认证信息核对部使用所述认证信息登记部登记的所述登记信息进行用户的认证。
6.根据权利要求4所述的密码认证装置,其中,
所述密码认证装置还具有策略取得部和认证信息中继部,
所述策略取得部取得在所述密码认证装置的外部进行用户的认证的外部认证系统在用户的认证中使用的密码策略作为取得策略,计算表示由所述取得策略确定的密码的字符组合的总数的取得策略的密码总数,将所述取得策略的密码总数作为所述要求强度存储于所述提取要件存储部,
所述认证信息中继部将所述登记信息中包含的密码转换成符合所述取得策略的转换密码。
7.根据权利要求6所述的密码认证装置,其中,
所述认证信息中继部使用所述登记信息和所述转换密码,在所述外部认证系统中登记在所述外部认证系统的认证中使用的认证信息。
8.根据权利要求6或7所述的密码认证装置,其中,
所述认证信息中继部使用所述登记信息和所述转换密码进行所述外部认证系统的认证。
9.根据权利要求1~8中的任意一项所述的密码认证装置,其中,
所述认证信息取得部在认证信息的输入画面显示所述策略提取部提取出的所述1个以上的密码策略,取得所显示的所述1个以上的密码策略中的选择出的密码策略作为用户策略,
所述符合性判定部判定所述认证信息取得部取得的所述认证信息中包含的密码是否符合所述用户策略,
在所述符合性判定部判定为所述认证信息中包含的密码符合所述用户策略时,认证信息登记部登记所述认证信息和所述用户策略作为所述登记信息。
10.一种密码认证方法,其中,
存储多个密码策略,所述多个密码策略记述有在用户的认证中使用的密码的认定要件,所述多个密码策略是指,如果密码符合所述多个密码策略中的至少任意1个密码策略,则能够将所述密码认定为正当的密码,
从所述多个密码策略中提取1个以上的密码策略,
取得包含密码的认证信息,
判定所述认证信息中包含的密码是否符合所述1个以上的密码策略中的至少任意1个密码策略,
在判定为符合所述至少任意1个密码策略时,登记所述认证信息作为登记信息。
11.一种密码认证程序,该密码认证程序使计算机执行以下处理:
策略存储处理,存储多个密码策略,所述多个密码策略记述有在用户的认证中使用的密码的认定要件,所述多个密码策略是指,如果密码符合所述多个密码策略中的至少任意1个密码策略,则能够将所述密码认定为正当的密码;
策略提取处理,从通过所述策略存储处理存储的所述多个密码策略中提取1个以上的密码策略;
认证信息取得处理,取得包含密码的认证信息;
符合性判定处理,判定通过所述认证信息取得处理取得的所述认证信息中包含的密码是否符合通过所述策略提取处理提取出的所述1个以上的密码策略中的至少任意1个密码策略;以及
认证信息登记处理,在通过所述符合性判定处理判定为符合所述至少任意1个密码策略时,登记所述认证信息作为登记信息。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/021763 WO2021245786A1 (ja) | 2020-06-02 | 2020-06-02 | パスワード認証装置、パスワード認証方法、及びパスワード認証プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115698991A true CN115698991A (zh) | 2023-02-03 |
Family
ID=78830264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080101120.4A Pending CN115698991A (zh) | 2020-06-02 | 2020-06-02 | 密码认证装置、密码认证方法和密码认证程序 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20230025870A1 (zh) |
| JP (1) | JP7150220B2 (zh) |
| CN (1) | CN115698991A (zh) |
| DE (1) | DE112020006985B4 (zh) |
| WO (1) | WO2021245786A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11941262B1 (en) * | 2023-10-31 | 2024-03-26 | Massood Kamalpour | Systems and methods for digital data management including creation of storage location with storage access ID |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610154A (zh) * | 2009-07-17 | 2009-12-23 | 王聪 | 新型密码加密方法 |
| CN101779211A (zh) * | 2007-08-29 | 2010-07-14 | 三菱电机株式会社 | 认证系统、认证装置、终端装置、ic卡以及程序 |
| CN107085683A (zh) * | 2016-02-16 | 2017-08-22 | 胡秀玲 | 密码转换方法 |
| US20180012014A1 (en) * | 2015-12-17 | 2018-01-11 | Massachusetts Institute Of Technology | Systems and methods evaluating password complexity and strength |
| CN108737094A (zh) * | 2017-04-21 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 一种域密码安全性检测的方法及相关设备 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070245149A1 (en) | 2006-04-17 | 2007-10-18 | Ares International Corporation | Method for obtaining meaningless password by inputting meaningful linguistic sentence |
| JP2013041514A (ja) | 2011-08-19 | 2013-02-28 | Mitsubishi Electric Corp | アクセス制御システム、アクセス制御装置、アクセス制御方法 |
| WO2013109330A2 (en) | 2011-10-31 | 2013-07-25 | The Florida State University Research Foundation, Inc. | System and methods for analyzing and modifying passwords |
| JP6084081B2 (ja) | 2013-03-15 | 2017-02-22 | 中国電力株式会社 | パスワード生成装置 |
| GB2525413A (en) | 2014-04-24 | 2015-10-28 | Ibm | Password management |
| US20160321768A1 (en) | 2015-05-01 | 2016-11-03 | BrownGreer, PLC. | Methods for managing legal documents and devices thereof |
| US20170201550A1 (en) | 2016-01-10 | 2017-07-13 | Apple Inc. | Credential storage across multiple devices |
| GB2568485A (en) | 2017-11-16 | 2019-05-22 | Atec Security Products Ltd | A password generating system |
| JP7180221B2 (ja) | 2018-09-10 | 2022-11-30 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置、情報処理システムおよびプログラム |
-
2020
- 2020-06-02 JP JP2022527172A patent/JP7150220B2/ja active Active
- 2020-06-02 WO PCT/JP2020/021763 patent/WO2021245786A1/ja active Application Filing
- 2020-06-02 CN CN202080101120.4A patent/CN115698991A/zh active Pending
- 2020-06-02 DE DE112020006985.0T patent/DE112020006985B4/de active Active
-
2022
- 2022-10-06 US US17/961,275 patent/US20230025870A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101779211A (zh) * | 2007-08-29 | 2010-07-14 | 三菱电机株式会社 | 认证系统、认证装置、终端装置、ic卡以及程序 |
| CN101610154A (zh) * | 2009-07-17 | 2009-12-23 | 王聪 | 新型密码加密方法 |
| US20180012014A1 (en) * | 2015-12-17 | 2018-01-11 | Massachusetts Institute Of Technology | Systems and methods evaluating password complexity and strength |
| CN107085683A (zh) * | 2016-02-16 | 2017-08-22 | 胡秀玲 | 密码转换方法 |
| CN108737094A (zh) * | 2017-04-21 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 一种域密码安全性检测的方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7150220B2 (ja) | 2022-10-07 |
| DE112020006985B4 (de) | 2024-05-23 |
| DE112020006985T5 (de) | 2023-01-05 |
| JPWO2021245786A1 (zh) | 2021-12-09 |
| WO2021245786A1 (ja) | 2021-12-09 |
| US20230025870A1 (en) | 2023-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10395065B2 (en) | Password protection under close input observation based on dynamic multi-value keyboard mapping | |
| US9634833B2 (en) | Gesture-based password entry to unlock an encrypted device | |
| CN112425118B (zh) | 公钥-私钥对账户登录和密钥管理器 | |
| JP2013528857A (ja) | パスワードキーの移動値を利用するパスワード安全入力システム及びそのパスワード安全入力方法 | |
| US20200028679A1 (en) | Public-private key pair protected password manager | |
| EP3637674A1 (en) | Computer system, secret information verification method, and computer | |
| US10860991B2 (en) | Management system, control method therefor, and non-transitory computer-readable medium | |
| US20200120081A1 (en) | User authentication based on biometric passwords | |
| WO2018043951A1 (ko) | 생체정보를 이용하여 결제 인증을 수행하는 포스 장치, 시스템 및 그 제어방법 | |
| CN107437996B (zh) | 一种身份认证的方法、装置及终端 | |
| EP3440805A1 (en) | Method and system for secure password storage | |
| CN115698991A (zh) | 密码认证装置、密码认证方法和密码认证程序 | |
| KR101537564B1 (ko) | 생체인식 중계 인증 시스템 및 그 방법 | |
| CN115086008B (zh) | 密码安全保护的实现方法、装置、存储介质及电子设备 | |
| KR101742523B1 (ko) | 패스워드 추천 방법 및 그 장치 | |
| JP2006039997A (ja) | パスワード生成装置、パスワード生成方法、パスワード生成システム、icカード、認証装置、認証方法及び認証システム | |
| CN115390872A (zh) | 一种设备配置参数更新方法、系统、电子设备和存储介质 | |
| US11706032B2 (en) | Method and apparatus for user authentication | |
| US11972651B2 (en) | Intelligent key device and verification method therefor | |
| TW201843613A (zh) | 利用圖形鎖的個人身分認證方法及系統 | |
| JP5458713B2 (ja) | 認証装置、認証方法、認証プログラム | |
| KR101516565B1 (ko) | 온라인 상에서의 이미지를 이용한 인증방법 및 장치 | |
| CN107710217A (zh) | 解锁方法及终端 | |
| JP7316714B1 (ja) | 認証情報生成装置、認証情報生成方法、認証情報生成プログラム、及び認証情報生成システム | |
| KR102266065B1 (ko) | 얼굴 이미지 매칭률 기반의 사용자 인증을 통해 보안 문서에 대한 권한을 제공하는 전자 단말 장치 및 그 동작 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |