JP2003208408A - User authentication system, method and program, and computer-readable recording medium - Google Patents
User authentication system, method and program, and computer-readable recording mediumInfo
- Publication number
- JP2003208408A JP2003208408A JP2002007586A JP2002007586A JP2003208408A JP 2003208408 A JP2003208408 A JP 2003208408A JP 2002007586 A JP2002007586 A JP 2002007586A JP 2002007586 A JP2002007586 A JP 2002007586A JP 2003208408 A JP2003208408 A JP 2003208408A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- user
- authentication information
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、ユーザ認証システ
ム、ユーザ認証方法、ユーザ認証プログラム、及び、コ
ンピュータ読取可能な記録媒体に関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a user authentication system, a user authentication method, a user authentication program, and a computer-readable recording medium.
【0002】[0002]
【従来の技術】従来のパスワード等の認証情報を用いて
ユーザの資格を認証する方法は、公開鍵暗号方法を応用
したものと共通鍵暗号方法を応用したものの二つに大別
することができるが、インターネット関連の通信プロト
コルなどへの組み込みにおいては、公開鍵暗号方法より
格段の高速処理が可能な共通鍵系の暗号方法を応用した
方法、特に、パスワード認証方法がよく用いられる。基
本的なパスワード認証の手順は以下の通りである。ま
ず、ユーザは自分が利用しようとする店舗(ネットワー
ク上のバーチャルな店舗を含む)等の認証端末にパスワ
ードを登録する。認証時に、ユーザが認証端末にパスワ
ードを送信する。認証端末は、受信したパスワードと登
録されているパスワードを比較する。2. Description of the Related Art Conventional methods for authenticating a user's qualification by using authentication information such as a password can be broadly classified into two types: a public key encryption method and a common key encryption method. However, when incorporated into the Internet-related communication protocol, etc., a method applying a common key type encryption method capable of significantly higher speed processing than the public key encryption method, particularly a password authentication method is often used. The basic password authentication procedure is as follows. First, a user registers a password in an authentication terminal such as a store (including a virtual store on a network) that the user intends to use. At the time of authentication, the user sends the password to the authentication terminal. The authentication terminal compares the received password with the registered password.
【0003】しかし、このパスワード認証方法には、次
のような問題点がある。第1の問題は、認証端末側にあ
るパスワードファイルの盗見によりパスワードが盗まれ
るということである。第2の問題は、通信中、回線盗聴
によってパスワードが盗まれるということである。第3
の問題は、ユーザは認証端末に、自分の秘密情報である
パスワードを公開する必要があるということである。However, this password authentication method has the following problems. The first problem is that the password is stolen by stealing the password file on the authentication terminal side. The second problem is that the password is stolen by wiretapping during communication. Third
The problem is that the user has to disclose the password, which is his secret information, to the authentication terminal.
【0004】第1の問題を解決する方法として、例え
ば、ユーザが認証端末(認証端末を管理する中央処理シ
ステムを含む)に、パスワードに一方向性関数を施した
データを登録しておき、認証時に、認証端末が受信した
パスワードに同じ一方向性関数を施し、結果を比較する
という方法がある。一方向性関数とは、入力の総当たり
以外に、出力から入力を得る効率的な手段が存在しない
関数であり、総当たりの計算量を充分大きくしておけ
ば、無資格者が入力データを算出して被認証者たるユー
ザになりすますことを防止できる。As a method for solving the first problem, for example, a user registers data in which an one-way function is applied to a password in an authentication terminal (including a central processing system for managing the authentication terminal), and the authentication is performed. Sometimes, there is a method in which the password received by the authentication terminal is subjected to the same one-way function and the results are compared. A one-way function is a function that does not have an efficient means to obtain an input from an output other than the brute force of the input. It is possible to prevent the user from being calculated and masquerading as the authenticated user.
【0005】一方向性関数を用いた方法によって、基本
的なパスワード認証方法の第1の問題は解決できる。し
かし、これを回線盗聴が簡単なインターネットに適用す
る場合、第2の問題を解決することはできない。また、
第3の問題に関しては、この基本的なパスワード認証方
法は、銀行のように秘密保持が厳格な場合の顧客認証な
どには適用できても、ユーザと店舗といった同一レベル
の資格認証には適していない。The method using the one-way function can solve the first problem of the basic password authentication method. However, when this is applied to the Internet where the wiretapping is easy, the second problem cannot be solved. Also,
Regarding the third problem, although this basic password authentication method can be applied to customer authentication in cases where confidentiality is strict as in banks, it is suitable for qualification authentication at the same level between users and stores. Absent.
【0006】このような問題を解決する方法として、パ
スワード等の認証情報を可変にする資格認証方法があ
る。かかる資格認証方法の重要な特徴は、インターネッ
ト等の通信路を通してユーザから認証端末に渡される認
証用データは毎回異なるため、それが盗聴されたとして
も、次回認証時には別の認証データを被認証者から認証
者に送らなければ認証されないので、盗聴した無資格者
が正当な被認証者たるユーザになりすますことができな
いという点である。As a method for solving such a problem, there is a qualification authentication method in which authentication information such as a password is variable. The important feature of such a qualification authentication method is that the authentication data passed from the user to the authentication terminal via the communication path such as the Internet is different every time, so even if it is intercepted, another authentication data will be sent to the person to be authenticated at the next authentication. Since it is not authenticated unless it is sent to the certifier from the certifier, an unqualified person who eavesdrops cannot masquerade as a legitimate user.
【0007】[0007]
【発明が解決しようとする課題】そのような認証情報を
可変にする資格認証方法は種々あるが、従来の同種の資
格認証方法には、例えば、ユーザ側での処理(計算)量
が非常に大きいという問題と、ユーザが定期的にパスワ
ードを更新する必要があるという解決すべき技術的課題
を有するものがあった。また別の従来の資格認証方法で
は、そのようなパスワードの更新の必要性をなくすこと
ができたが、ユーザおよび認証端末における処理(計
算)量が大きいという解決すべき技術的課題が依然とし
て残っていた。Although there are various qualification authentication methods that make such authentication information variable, conventional qualification authentication methods of the same kind require, for example, a very large amount of processing (calculation) on the user side. Some have the big problem and the technical problem to be solved that the user needs to update the password regularly. Although another conventional credential authentication method can eliminate the need to update such a password, the technical problem to be solved that the amount of processing (calculation) in the user and the authentication terminal is large still remains. It was
【0008】そこで本発明では、認証の度ごとに認証端
末側で実行する処理量を極力少なくすると共に、より安
全性の高い認証を行うことが可能な、ユーザ認証システ
ム、ユーザ認証方法、ユーザ認証プログラム、及び、コ
ンピュータ読取可能な記録媒体を提供することを課題と
する。Therefore, according to the present invention, the amount of processing executed on the authentication terminal side for each authentication is minimized, and more secure authentication can be performed, that is, a user authentication system, a user authentication method, and a user authentication. An object is to provide a program and a computer-readable recording medium.
【0009】[0009]
【課題を解決するための手段】本発明のユーザ認証シス
テムは、ユーザを認証しようとする認証端末から送信さ
れる、当該認証端末を特定するための認証端末特定情報
と、ユーザごとに予め一意に定められているユーザ固有
情報と無作為に生成される乱数とに基づいて生成される
第1の認証情報と、当該第1の認証情報のそれぞれに対
応する固有のアクセス情報と、を受信する認証要求受信
手段と、当該認証要求受信手段が受信した第1の認証情
報及びアクセス情報に基づいて、認証情報格納手段に格
納されている第1の認証情報及びアクセス情報を照会す
るユーザ照会手段と、当該ユーザ照会手段の照会の結
果、合致するアクセス情報及び第1の認証情報の組み合
わせが認証情報格納手段に存在する場合には、当該合致
するアクセス情報及び第1の認証情報に関連付けて認証
情報格納手段に格納されている生成時刻情報を認証端末
に送信する認証送信手段と、認証端末が第1の認証情報
及び認証送信手段によって送信された生成時刻情報に基
づいて生成する第2の認証情報を受信する利用確認受信
手段と、当該利用確認受信手段が受信した第2の認証情
報と、認証情報格納手段に格納されているアクセス情報
及び第1の認証情報に対応する第2の認証情報とを照合
する利用確認照合手段と、を備える。SUMMARY OF THE INVENTION A user authentication system of the present invention includes authentication terminal specifying information for specifying the authentication terminal, which is transmitted from an authentication terminal that attempts to authenticate a user, and uniquely for each user. Authentication for receiving first authentication information generated based on predetermined user unique information and a randomly generated random number, and unique access information corresponding to each of the first authentication information. Request receiving means, and a user inquiring means for inquiring the first authentication information and the access information stored in the authentication information storage means based on the first authentication information and the access information received by the authentication request receiving means, If a combination of the matching access information and the first authentication information is present in the authentication information storage means as a result of the inquiry by the user inquiring means, the matching access information and the first authentication information are combined. Authentication transmitting means for transmitting the generation time information stored in the authentication information storage means in association with the first authentication information to the authentication terminal, and the generation time information transmitted by the authentication terminal by the first authentication information and the authentication transmitting means. Use confirmation receiving means for receiving second authentication information generated based on the second authentication information, second authentication information received by the use confirmation receiving means, access information stored in the authentication information storage means, and first authentication Usage confirmation collating means for collating the second authentication information corresponding to the information.
【0010】本発明のユーザ認証方法は、認証要求受信
手段が、ユーザを認証しようとする認証端末から送信さ
れる、当該認証端末を特定するための認証端末特定情報
と、ユーザごとに予め一意に定められているユーザ固有
情報と無作為に生成される乱数とに基づいて生成される
第1の認証情報と、当該第1の認証情報のそれぞれに対
応する固有のアクセス情報と、を受信する認証要求受信
ステップと、ユーザ照会手段が、当該認証要求受信手段
が受信した第1の認証情報及びアクセス情報に基づい
て、認証情報格納手段に格納されている第1の認証情報
及びアクセス情報を照会するユーザ照会ステップと、ユ
ーザ照会手段の照会の結果、合致するアクセス情報及び
第1の認証情報の組み合わせが認証情報格納手段に存在
する場合には、認証送信手段が、当該合致するアクセス
情報及び第1の認証情報に関連付けて認証情報格納手段
に格納されている生成時刻情報を認証端末に送信する認
証送信ステップと、認証端末が第1の認証情報及び認証
送信手段によって送信された生成時刻情報に基づいて生
成する第2の認証情報を、利用確認受信手段が受信する
利用確認受信ステップと、利用確認照合手段が、利用確
認受信手段が受信した第2の認証情報と、認証情報格納
手段に格納されているアクセス情報及び第1の認証情報
に対応する第2の認証情報とを照合する利用確認照合ス
テップと、を備える。In the user authentication method of the present invention, the authentication request receiving means uniquely preliminarily uniquely identifies each user with the authentication terminal specifying information for specifying the authentication terminal, which is transmitted from the authentication terminal attempting to authenticate the user. Authentication for receiving first authentication information generated based on predetermined user unique information and a randomly generated random number, and unique access information corresponding to each of the first authentication information. The request receiving step and the user inquiring means inquire the first authentication information and the access information stored in the authentication information storing means based on the first authentication information and the access information received by the authentication request receiving means. If the combination of the user inquiry step and the inquiry by the user inquiry means indicates that the matching access information and the first authentication information are present in the authentication information storage means, authentication is performed. An authenticating step of transmitting the generation time information stored in the authentication information storage means in association with the matching access information and the first authentication information to the authentication terminal; The usage confirmation receiving step in which the usage confirmation receiving means receives the second authentication information generated based on the generation time information transmitted by the authentication transmitting means, and the second step in which the usage confirmation collating means receives the second authentication information. And a use confirmation collation step of collating the authentication information with the access information stored in the authentication information storage means and the second authentication information corresponding to the first authentication information.
【0011】本発明のユーザ認証プログラムは、コンピ
ュータを、ユーザを認証しようとする認証端末から送信
される、当該認証端末を特定するための認証端末特定情
報と、ユーザごとに予め一意に定められているユーザ固
有情報と無作為に生成される乱数とに基づいて生成され
る第1の認証情報と、当該第1の認証情報のそれぞれに
対応する固有のアクセス情報と、を受信する認証要求受
信手段と、当該認証要求受信手段が受信した第1の認証
情報及びアクセス情報に基づいて、認証情報格納手段に
格納されている第1の認証情報及びアクセス情報を照会
するユーザ照会手段と、当該ユーザ照会手段の照会の結
果、合致するアクセス情報及び第1の認証情報の組み合
わせが認証情報格納手段に存在する場合には、当該合致
するアクセス情報及び第1の認証情報に関連付けて認証
情報格納手段に格納されている生成時刻情報を認証端末
に送信する認証送信手段と、認証端末が第1の認証情報
及び認証送信手段によって送信された生成時刻情報に基
づいて生成する第2の認証情報を受信する利用確認受信
手段と、当該利用確認受信手段が受信した第2の認証情
報と、認証情報格納手段に格納されているアクセス情報
及び第1の認証情報に対応する第2の認証情報とを照合
する利用確認照合手段と、して機能させる。The user authentication program of the present invention is such that the authentication terminal specifying information for specifying the authentication terminal, which is transmitted from the authentication terminal that attempts to authenticate the user, causes the computer to be uniquely determined in advance for each user. Authentication request receiving means for receiving first authentication information generated on the basis of existing user unique information and randomly generated random numbers, and unique access information corresponding to each of the first authentication information. And a user inquiring means for inquiring the first authentication information and the access information stored in the authentication information storing means based on the first authentication information and the access information received by the authentication request receiving means, and the user inquiry. When the combination of the matching access information and the first authentication information is present in the authentication information storage means as a result of the inquiry of the means, the matching access information. And a generation time when the generation time information stored in the authentication information storage means in association with the first authentication information is transmitted to the authentication terminal, and the generation time when the authentication terminal is transmitted by the first authentication information and the authentication transmission means. Usage confirmation receiving means for receiving second authentication information generated based on the information, second authentication information received by the usage confirmation receiving means, access information stored in the authentication information storing means, and first authentication information. It functions as a use confirmation collating unit that collates the second authentication information corresponding to the authentication information.
【0012】本発明のユーザ認証システム及びユーザ認
証方法によれば、ユーザ照会手段が、認証要求受信手段
が受信するアクセス情報及び第1の認証情報と、認証情
報格納手段に格納されているアクセス情報及び第1の認
証情報とを照会するので、例えば、第1の認証情報のみ
をユーザ以外の第三者が入手したとしてもアクセス情報
が合致しなければ悪用されることが無く、より安全性の
高い認証を行うことができる。認証送信手段が、合致す
るアクセス情報及び第1の認証情報に関連付けて認証情
報格納手段に格納されている生成時刻情報を認証端末に
送信するので、認証端末が第2の認証情報を生成する際
に用いる情報として生成時刻情報を提供できる。利用確
認照合手段が、利用確認受信手段が受信した第2の認証
情報と、認証情報格納手段に格納されている対応する第
2の認証情報とを照合するので、第2の認証情報に基づ
いた認証ができる。利用確認受信手段が受信する第2の
認証情報は、認証送信手段が送信した生成時刻情報を用
いて認証端末が生成したものであり、例えば、その生成
時刻情報と組み合わせて第2の認証情報を生成するため
の第1の認証情報をユーザから受け取ることとすれば、
それらの各情報が毎回異なるようにできるので第三者の
なりすましを効果的に排除できる。また、コンピュータ
を用いて本発明のユーザ認証プログラムを実行しても同
様の作用を奏する。According to the user authentication system and the user authentication method of the present invention, the user inquiring means has the access information and the first authentication information received by the authentication request receiving means, and the access information stored in the authentication information storing means. And the first authentication information are inquired, for example, even if only the first authentication information is obtained by a third party other than the user, if the access information does not match, it will not be misused, and the security can be improved. High authentication can be performed. When the authentication terminal generates the second authentication information, the authentication transmission means transmits the generation time information stored in the authentication information storage means in association with the matching access information and the first authentication information to the authentication terminal. The generation time information can be provided as the information used for. Since the usage confirmation collating means collates the second authentication information received by the usage confirmation receiving means with the corresponding second authentication information stored in the authentication information storing means, it is based on the second authentication information. Authentication is possible. The second authentication information received by the usage confirmation receiving means is generated by the authentication terminal using the generation time information transmitted by the authentication transmitting means. For example, the second authentication information is combined with the generation time information to generate the second authentication information. Assuming that the first authentication information for generating is received from the user,
Since each of these pieces of information can be made different each time, the impersonation of a third party can be effectively eliminated. Also, the same operation is achieved by executing the user authentication program of the present invention using a computer.
【0013】また本発明のユーザ認証システム、ユーザ
認証方法、及び、ユーザ認証プログラムでは、生成時刻
情報は、第1の認証情報が生成された時刻に基づいて定
められる数値であるようにしてもよい。時刻に基づいて
定められる数値として、例えば、その時刻が1日に占め
る位置を小数で表したものを用いれば、他の種類の情報
に変換することが容易になる。In the user authentication system, the user authentication method, and the user authentication program of the present invention, the generation time information may be a numerical value determined based on the time when the first authentication information is generated. . As the numerical value determined based on the time, for example, if the position occupied by the time on a day is represented by a decimal, it becomes easy to convert the information into another type of information.
【0014】また本発明のユーザ認証システムは、利用
確認照合手段の照合の結果、受信した第2の認証情報と
格納されている第2の認証情報とが合致した場合に、第
1の認証情報に対応する乱数及び認証端末を保有する業
者ごとに予め一意に定められている認証端末固有情報に
基づいて第3の認証情報を生成する第3情報生成手段
と、当該第3情報生成手段が生成した第3の認証情報を
認証端末に送信する利用確認送信手段と、を備えるよう
にしてもよい。Further, in the user authentication system of the present invention, the first authentication information is obtained when the received second authentication information and the stored second authentication information match as a result of the verification by the usage confirmation verification means. Third information generating means for generating third authentication information based on the random number corresponding to the above and the authentication terminal unique information uniquely determined in advance for each trader holding the authentication terminal, and the third information generating means. It may be provided with a usage confirmation transmitting unit that transmits the third authentication information to the authentication terminal.
【0015】また本発明のユーザ認証方法は、利用確認
照合手段の照合の結果、受信した第2の認証情報と格納
されている第2の認証情報とが合致した場合に、第3情
報生成手段が、第1の認証情報に対応する乱数及び認証
端末を保有する業者ごとに予め一意に定められている認
証端末固有情報に基づいて第3の認証情報を生成する第
3情報生成ステップと、利用確認送信手段が、第3情報
生成手段が生成した第3の認証情報を認証端末に送信す
る利用確認送信ステップと、を備えるようにしてもよ
い。Further, in the user authentication method of the present invention, when the received second authentication information matches the stored second authentication information as a result of the verification by the usage confirmation verification means, the third information generation means. A third information generating step of generating third authentication information based on the random number corresponding to the first authentication information and the authentication terminal unique information that is uniquely determined in advance for each trader holding the authentication terminal; The confirmation transmitting unit may include a use confirmation transmitting step of transmitting the third authentication information generated by the third information generating unit to the authentication terminal.
【0016】また本発明のユーザ認証プログラムは、コ
ンピュータを、利用確認照合手段の照合の結果、受信し
た第2の認証情報と格納されている第2の認証情報とが
合致した場合に、第1の認証情報に対応する乱数及び認
証端末を保有する業者ごとに予め一意に定められている
認証端末固有情報に基づいて第3の認証情報を生成する
第3情報生成手段と、当該第3情報生成手段が生成した
第3の認証情報を認証端末に送信する利用確認送信手段
と、して更に機能させるようにしてもよい。Further, the user authentication program of the present invention causes the computer to determine whether the received second authentication information matches the stored second authentication information as a result of the verification by the usage confirmation verification means. Information generating means for generating the third authentication information based on the random number corresponding to the authentication information and the authentication terminal unique information which is uniquely determined in advance for each trader holding the authentication terminal, and the third information generation. The third authentication information generated by the means may be used as a use confirmation transmitting means for transmitting the authentication information to the authentication terminal, and may further function.
【0017】利用確認送信手段が、第1の認証情報を送
信してきた認証端末に、その第1の認証情報と対応する
乱数と認証端末固有情報とに基づいて生成される第3の
認証情報を送信するので、その認証端末を保有する業者
が認証端末固有情報及びユーザ固有情報を用いてその認
証端末に関連付けられた各ユーザの管理情報といったも
のを生成するための情報を提供できる。The usage confirmation sending means sends the authentication terminal, which has sent the first authentication information, the third authentication information generated based on the random number corresponding to the first authentication information and the authentication terminal unique information. Since the information is transmitted, it is possible to provide information for the trader holding the authentication terminal to generate management information of each user associated with the authentication terminal by using the authentication terminal unique information and the user unique information.
【0018】また本発明のユーザ認証システムは、利用
確認送信手段が認証端末に第3の認証情報を送信する
と、当該送信した第3の認証情報を生成する際に用いた
乱数と、当該乱数に関連付けられているアクセス情報、
第1の認証情報、及び、第2の認証情報と、を認証情報
格納手段から削除するリセット手段を備えるようにして
もよい。Further, in the user authentication system of the present invention, when the usage confirmation transmission means transmits the third authentication information to the authentication terminal, the random number used when generating the transmitted third authentication information and the random number Associated access information,
A reset unit that deletes the first authentication information and the second authentication information from the authentication information storage unit may be provided.
【0019】また本発明のユーザ認証方法は、利用確認
送信手段が認証端末に第3の認証情報を送信すると、当
該送信した第3の認証情報を生成する際に用いた乱数
と、当該乱数に関連付けられているアクセス情報、第1
の認証情報、及び、第2の認証情報と、をリセット手段
が認証情報格納手段から削除するリセットステップを備
えるようにしてもよい。Further, in the user authentication method of the present invention, when the usage confirmation transmission means transmits the third authentication information to the authentication terminal, the random number used when the transmitted third authentication information is generated and the random number Associated access information, first
The reset step may be provided in which the reset means deletes the authentication information of No. 2 and the second authentication information from the authentication information storage means.
【0020】また本発明のユーザ認証プログラムは、コ
ンピュータを、利用確認送信手段が認証端末に第3の認
証情報を送信すると、当該送信した第3の認証情報を生
成する際に用いた乱数と、当該乱数と関連付けられてい
るアクセス情報、第1の認証情報、及び、第2の認証情
報と、を認証情報格納手段から削除するリセット手段
と、して更に機能させるようにしてもよい。In the user authentication program of the present invention, when the usage confirmation transmitting means transmits the third authentication information to the authentication terminal, the computer uses the random number used when generating the transmitted third authentication information, The access information, the first authentication information, and the second authentication information associated with the random number may be further functioned as a reset unit that deletes from the authentication information storage unit.
【0021】例えば、ある認証フェーズにおけるアクセ
ス情報、乱数、第1の認証情報、及び、第2の認証情報
が第三者に取得されてしまったとしても、正当な認証端
末が認証フェーズを終了した後にはそれらの情報が削除
されるので、より安全性の高い認証を行うことができ
る。For example, even if the access information, the random number, the first authentication information, and the second authentication information in a certain authentication phase are acquired by a third party, a valid authentication terminal ends the authentication phase. After that, such information is deleted, so that more secure authentication can be performed.
【0022】本発明のコンピュータ読取可能な記録媒体
は、上記いずれかのユーザ認証プログラムが記録されて
いる。コンピュータを用いて、本発明の記録媒体に記録
されたユーザ認証プログラムを実行すると、ユーザ照会
手段が、認証要求受信手段が受信するアクセス情報及び
第1の認証情報と、認証情報格納手段に格納されている
アクセス情報及び第1の認証情報とを照会するので、例
えば、第1の認証情報のみをユーザ以外の第三者が入手
したとしてもアクセス情報が合致しなければ悪用される
ことが無く、より安全性の高い認証を行うことができ
る。認証送信手段が、合致するアクセス情報及び第1の
認証情報に関連付けて認証情報格納手段に格納されてい
る生成時刻情報を認証端末に送信するので、認証端末が
第2の認証情報を生成する際に用いる情報として生成時
刻情報を提供できる。利用確認照合手段が、利用確認受
信手段が受信した第2の認証情報と、認証情報格納手段
に格納されている対応する第2の認証情報とを照合する
ので、第2の認証情報に基づいた認証ができる。利用確
認受信手段が受信する第2の認証情報は、認証送信手段
が送信した生成時刻情報を用いて認証端末が生成したも
のであり、例えば、その生成時刻情報と組み合わせて第
2の認証情報を生成するための第1の認証情報をユーザ
から受け取ることとすれば、それらの各情報が毎回異な
るようにできるので第三者のなりすましを効果的に排除
できる。A computer-readable recording medium of the present invention has any one of the above user authentication programs recorded therein. When the user authentication program recorded on the recording medium of the present invention is executed using a computer, the user inquiry means stores the access information and the first authentication information received by the authentication request receiving means, and the authentication information storage means. Since the access information and the first authentication information are inquired, for example, even if only the first authentication information is obtained by a third party other than the user, if the access information does not match, it is not misused. More secure authentication can be performed. When the authentication terminal generates the second authentication information, the authentication transmission means transmits the generation time information stored in the authentication information storage means in association with the matching access information and the first authentication information to the authentication terminal. The generation time information can be provided as the information used for. Since the usage confirmation collating means collates the second authentication information received by the usage confirmation receiving means with the corresponding second authentication information stored in the authentication information storing means, it is based on the second authentication information. Authentication is possible. The second authentication information received by the usage confirmation receiving means is generated by the authentication terminal using the generation time information transmitted by the authentication transmitting means. For example, the second authentication information is combined with the generation time information to generate the second authentication information. If the first authentication information for generation is received from the user, the respective pieces of information can be made different each time, so that the impersonation of a third party can be effectively eliminated.
【0023】[0023]
【発明の実施の形態】本発明の知見は、例示のみのため
に示された添付図面を参照して以下の詳細な記述を考慮
することによって容易に理解することができる。引き続
いて、添付図面を参照しながら本発明の実施の形態を説
明する。可能な場合には、同一の部分には同一の符号を
付して、重複する説明を省略する。DESCRIPTION OF THE PREFERRED EMBODIMENTS The findings of the present invention can be easily understood by considering the following detailed description with reference to the accompanying drawings, which are shown for exemplification only. Subsequently, embodiments of the present invention will be described with reference to the accompanying drawings. When possible, the same parts are designated by the same reference numerals, and overlapping description will be omitted.
【0024】本発明の実施形態であるユーザ認証システ
ム10について図1を用いて説明する。図1はユーザ認
証システム10を説明するための図である。ユーザ認証
システム10は、認証端末30と通信可能に構成されて
いる。ユーザ認証システム10と認証端末30とは専用
回線(図示しない)を介して接続されており、相互に情
報の送受信が可能なように構成されている。また本実施
形態では、認証端末30を経由して認証を受けようとす
るユーザが使用する携帯電話機20と認証端末30と
が、携帯電話機20を認証端末30の近傍に持っていく
ことで情報の送受信が可能なように構成されている。携
帯電話機20と認証端末30とは、通信回線を介して情
報の送受信を行うことにしてもよく、更には、携帯電話
機20に表示される情報をユーザ等が読み取って認証端
末30に入力するようにしてもよい。A user authentication system 10 which is an embodiment of the present invention will be described with reference to FIG. FIG. 1 is a diagram for explaining a user authentication system 10. The user authentication system 10 is configured to be able to communicate with the authentication terminal 30. The user authentication system 10 and the authentication terminal 30 are connected via a dedicated line (not shown), and are configured to be able to mutually send and receive information. In addition, in the present embodiment, the mobile phone 20 and the authentication terminal 30 used by the user who is going to be authenticated via the authentication terminal 30 bring the mobile phone 20 near the authentication terminal 30 to obtain the information. It is configured to be able to send and receive. The mobile phone 20 and the authentication terminal 30 may be configured to transmit and receive information via a communication line. Further, a user or the like may read the information displayed on the mobile phone 20 and input the information to the authentication terminal 30. You may
【0025】携帯電話機20は、ユーザが利用するデー
タ通信機能を併せ持った携帯電話機であり、TDMA
(Time Division Multiple A
ccess)方式の一つであるPDC(Persona
l Digital Cellular)方式を採用し
ているが、CDMA(Code Division M
ultiple Access)方式といった他の方式
のデジタル携帯電話機であってもよく、GPRS(Ge
neral Packet Radio Servic
e)といった方式も採用可能であり、データ通信可能な
種々の方式が適宜採用される。更に、IMT−2000
といったいわゆる第三世代の移動体通信方式であっても
よい。また、携帯電話機の代わりに通信機能を持ったP
DA(Personal Digital Assis
tance)といった携帯情報端末を用いてもよく、情
報通信可能な機器が広く適用可能となる。The mobile phone 20 is a mobile phone that also has a data communication function used by a user, and is a TDMA.
(Time Division Multiple A
PDC (Persona), which is one of the
1 Digital Cellular (CDMA) system is adopted, but CDMA (Code Division M) is used.
It may be a digital mobile phone of another system such as the multiple access system, and GPRS (Ge
general Packet Radio Service
A method such as e) is also applicable, and various methods capable of data communication are appropriately adopted. Furthermore, IMT-2000
Such a so-called third generation mobile communication system may be used. In addition, P that has a communication function instead of a mobile phone
DA (Personal Digital Assist)
A portable information terminal such as a device (tance) may be used, and devices capable of information communication can be widely applied.
【0026】認証端末30は、物理的には、CPU(中
央処理装置)、メモリ、マウスやキーボードといった入
力装置、ディスプレイといった表示装置、ハードディス
クといった格納装置、モデムといった通信装置などを備
えたコンピュータシステムとして構成されている。認証
端末30は、店舗の運営者等が用いる端末であり、ユー
ザが各店舗を利用する際にそのユーザを認証するために
用いるものである。The authentication terminal 30 is physically a computer system including a CPU (central processing unit), a memory, an input device such as a mouse and a keyboard, a display device such as a display, a storage device such as a hard disk, and a communication device such as a modem. It is configured. The authentication terminal 30 is a terminal used by a store operator or the like, and is used for authenticating a user when the user uses each store.
【0027】ユーザ認証システム10は、物理的には、
CPU(中央処理装置)、メモリ、マウスやキーボード
といった入力装置、ディスプレイといった表示装置、ハ
ードディスクといった格納装置、モデムといった通信装
置などを備えたコンピュータシステムとして構成されて
いる。The user authentication system 10 is physically
It is configured as a computer system including a CPU (central processing unit), a memory, an input device such as a mouse and a keyboard, a display device such as a display, a storage device such as a hard disk, and a communication device such as a modem.
【0028】ユーザ認証システム10は機能的な構成要
素として、認証要求受信部(認証要求受信手段)101
と、ユーザ照会部(ユーザ照会手段)102と、認証送
信部(認証送信手段)103と、利用確認受信部(利用
確認受信手段)104と、利用確認照合部(利用確認照
合手段)105と、第3情報生成部(第3情報生成手
段)106と、利用確認送信部(利用確認送信手段)1
07と、リセット部(リセット手段)108と、認証情
報格納部(認証情報格納手段)109と、を含む。引き
続いて、各構成要素について詳細に説明する。The user authentication system 10 has, as a functional component, an authentication request receiving unit (authentication request receiving means) 101.
A user inquiring unit (user inquiring unit) 102, an authentication transmitting unit (authentication transmitting unit) 103, a use confirmation receiving unit (use confirmation receiving unit) 104, a use confirmation collating unit (use confirmation collating unit) 105, A third information generation unit (third information generation means) 106 and a usage confirmation transmission unit (usage confirmation transmission means) 1
07, a reset unit (reset unit) 108, and an authentication information storage unit (authentication information storage unit) 109. Subsequently, each component will be described in detail.
【0029】認証要求受信部101は、ユーザの認証を
要求する認証端末30から送信される、その認証端末3
0を特定するための「認証端末ID(認証端末特定情
報)」と「アクセス番号(アクセス情報)」と「IDキ
ー(第1の認証情報)」とを受信する部分である。「I
Dキー」は、ユーザごとに予め一意に定められている
「ユーザ固有キー(ユーザ固有情報)」と無作為に生成
される「乱数」とに基づいて生成されるものであり、ユ
ーザ認証システム10がユーザからの要求に応じて生成
して携帯電話機20に送信する情報である。ここで用い
られる「乱数」は、その生成の都度発生されるものであ
る。また、「ユーザ固有キー」と「乱数」とに基づいて
「IDキー」を生成する際の生成手法は、加減乗除の演
算のように、逆算可能な方法が適宜用いられる。認証端
末30から送信される「アクセス番号」と「IDキー」
は、その携帯電話機20から受け渡された情報である。
より具体的には、認証端末30が設置されている店舗を
利用しようとするユーザが携帯電話機20を持参してそ
の店舗に行き、携帯電話機20に格納されている「アク
セス番号」と「IDキー」とを認証端末30に送信す
る。認証端末30はそのユーザの認証を要求するため
に、受信した「アクセス番号」と「IDキー」とを「認
証端末ID」と共にユーザ認証システム10に送信し、
ユーザ認証システム10の認証要求受信部101はその
「アクセス番号」と「IDキー」とを「認証端末ID」
と共に受信する。認証要求受信部101は、受信した
「アクセス番号」と「IDキー」とを「認証端末ID」
と共にユーザ照会部102に出力する。The authentication request receiving unit 101 is the authentication terminal 3 that is transmitted from the authentication terminal 30 that requests user authentication.
It is a part that receives an “authentication terminal ID (authentication terminal identification information)” for specifying 0, an “access number (access information)”, and an “ID key (first authentication information)”. "I
The “D key” is generated based on a “user unique key (user unique information)” that is uniquely determined in advance for each user and a “random number” that is randomly generated, and the user authentication system 10 Is information to be generated and transmitted to the mobile phone 20 in response to a request from the user. The “random number” used here is generated each time it is generated. Further, as a generation method for generating the “ID key” based on the “user unique key” and the “random number”, a method capable of back calculation such as addition, subtraction, multiplication and division is appropriately used. "Access number" and "ID key" sent from the authentication terminal 30
Is information passed from the mobile phone 20.
More specifically, a user who intends to use the store in which the authentication terminal 30 is installed brings the mobile phone 20 to the store, and the “access number” and “ID key” stored in the mobile phone 20 are stored. Is transmitted to the authentication terminal 30. The authentication terminal 30 transmits the received “access number” and “ID key” together with the “authentication terminal ID” to the user authentication system 10 in order to request authentication of the user,
The authentication request receiving unit 101 of the user authentication system 10 uses the “access number” and the “ID key” as the “authentication terminal ID”.
To receive with. The authentication request receiving unit 101 uses the received “access number” and “ID key” as the “authentication terminal ID”.
It is also output to the user inquiry unit 102.
【0030】ユーザ照会部102は、認証要求受信部1
01が受信した「アクセス番号」及び「IDキー」と、
認証情報格納部109に格納されている「アクセス番
号」及び「IDキー」とを照会する部分である。また、
ユーザ照会部102は、「認証端末ID」に基づいて、
認証情報格納部109に格納されている「認証端末I
D」を照会する部分である。より具体的には、例えば
「IDキー」が合致する情報列を検索し、合致するもの
があればその情報列の「アクセス番号」を照会して合致
するかどうかを確認し、「IDキー」及び「アクセス番
号」が両方とも合致すれば受信した「アクセス番号」と
「IDキー」との組み合わせが正当であると判断して認
証を行う。また、ユーザ照会部102は、合致する「認
証端末ID」を検索し、どの店舗のどの認証端末からの
要求なのかを特定し、「認証端末ID」を「IDキー」
及び「アクセス番号」と関連付けて認証情報格納部10
9に格納する。ユーザ照会部102は、「IDキー」及
び「アクセス番号」の照会の結果が正当であると判断す
ると、その「IDキー」及び「アクセス番号」に対応す
る「生成時刻情報」を認証情報格納部109から読み出
して、認証送信部103に出力する。The user inquiry unit 102 is the authentication request receiving unit 1
"Access number" and "ID key" received by 01,
This is a part for inquiring about the “access number” and the “ID key” stored in the authentication information storage unit 109. Also,
The user inquiry unit 102, based on the “authentication terminal ID”,
“Authentication terminal I” stored in the authentication information storage unit 109
This is the part for inquiring "D". More specifically, for example, an information string to which the “ID key” matches is searched, and if there is a match, the “access number” of the information string is inquired to check whether or not there is a match, and the “ID key” If both "access number" and "access number" match, it is judged that the received combination of "access number" and "ID key" is valid and authentication is performed. In addition, the user inquiring unit 102 searches for a matching “authentication terminal ID”, identifies which authentication terminal of which store is making the request, and sets the “authentication terminal ID” to the “ID key”.
And the authentication information storage unit 10 in association with the “access number”
9 is stored. When the user inquiring unit 102 determines that the result of the inquiry about the “ID key” and the “access number” is valid, the “generation time information” corresponding to the “ID key” and the “access number” is stored in the authentication information storage unit. It is read from 109 and output to the authentication transmission unit 103.
【0031】ここで、認証情報格納部109に格納され
る情報の例を図2(a)及び図2(b)を用いて説明す
る。図2(a)は、ユーザ認証システム10を利用する
ユーザに関する情報の例を示している。具体的には、予
め登録されている「ユーザID」、「ユーザ固有キー」
に関連付けて、「アクセス番号」、「乱数」、「IDキ
ー」、「生成時刻情報」、「利用確認キー」、「認証端
末ID」が格納されている。「ユーザID」は、システ
ム上で各ユーザを識別するための情報である。「ユーザ
固有キー」は、ユーザの認証に用いる情報であって、ユ
ーザ認証システム10を運用する側が適宜決定する情報
であり、携帯電話機20を使用するユーザや認証端末3
0を使用する店舗の運営者等には秘匿された情報として
取り扱われる。「アクセス番号」は、ユーザからの認証
情報の生成要求を受信したことに対応して決定される各
受信固有の番号である。「乱数」は、IDキーを生成す
る際に用いた乱数であり、それぞれの「IDキー」に関
連付けられて格納されている。Here, an example of information stored in the authentication information storage unit 109 will be described with reference to FIGS. 2 (a) and 2 (b). FIG. 2A shows an example of information regarding a user who uses the user authentication system 10. Specifically, "user ID" and "user unique key" registered in advance
“Access number”, “random number”, “ID key”, “generation time information”, “use confirmation key”, and “authentication terminal ID” are stored in association with. The “user ID” is information for identifying each user on the system. The “user unique key” is information used for user authentication, and is information that is appropriately determined by the side operating the user authentication system 10, and is the user who uses the mobile phone 20 and the authentication terminal 3.
It is treated as confidential information by a store operator who uses 0. The “access number” is a number unique to each reception determined in response to the reception of the authentication information generation request from the user. The “random number” is a random number used when generating the ID key, and is stored in association with each “ID key”.
【0032】「IDキー」は、「乱数」と「ユーザ固有
キー」とに基づいて生成される情報である。「利用確認
キー」は、「IDキー」と「生成時刻情報」とに基づい
て生成される情報である。「生成時刻情報」は、「ID
キー」が生成された時刻に基づいて決定されるが、他の
任意の時刻を適宜選択することも可能である。「生成時
刻情報」としては、RTC(Real Time Cl
ock)といった計時部(図示しない)によって計測さ
れる時刻を読み取り、更に、その時刻が1日に占める位
置を小数で表したものが用いている。具体的には、「利
用確認キー」を生成する時刻が14時10分であれば、
0時からは850分経過しており、1日(1440分)
の中で占める位置は、850分を1440分で除して、
「0.58333333」となる。「IDキー」と「生
成時刻情報」とに基づいて「利用確認キー」が生成され
る際の生成手法は、加減乗除の演算や、ハッシュ関数と
いった一方向関数が適宜用いられる。ユーザが認証情報
を複数の店舗で用いる場合などには各ユーザが複数の認
証情報の生成要求を送信する場合もあるので、各ユーザ
に対して「アクセス番号」「乱数」「IDキー」「生成
時刻情報」「利用確認キー」がそれぞれ複数組格納され
る場合もある。The "ID key" is information generated based on the "random number" and the "user unique key". The “use confirmation key” is information generated based on the “ID key” and the “generation time information”. "Generation time information" is "ID
Although it is determined based on the time when the "key" is generated, any other time can be appropriately selected. As the "generation time information", RTC (Real Time Cl
The time is measured by a time measuring unit (not shown) such as “ock”, and the position occupied by the time is represented by a decimal number. Specifically, if the time to generate the "use confirmation key" is 14:10,
850 minutes have passed since midnight, and one day (1440 minutes)
The position to occupy in is divided by 840 minutes by 1440 minutes,
It becomes "0.583333333". As a generation method when the "use confirmation key" is generated based on the "ID key" and the "generation time information", an addition / subtraction / multiplication / division operation or a one-way function such as a hash function is appropriately used. When the user uses the authentication information in a plurality of stores, each user may send a request to generate a plurality of authentication information. Therefore, the access number, the random number, the ID key, and the generation are generated for each user. There may be a case where a plurality of sets of "time information" and "use confirmation key" are stored.
【0033】図2(b)は、認証端末30に関して格納
されている情報の例である。具体的には、「店舗名」
「店舗固有キー(認証端末固有情報)」に関連付けて、
「認証端末ID」「認証端末IPアドレス」が格納され
ている。「店舗固有キー」は、店舗ごとに割り当てられ
ている固有の情報であって、ユーザ認証システム10を
運用する側が適宜決定する情報であり、携帯電話機20
を使用するユーザや認証端末30を使用する店舗の運営
者等には秘匿された情報として取り扱われる。「認証端
末ID」は、システム上で各認証端末30を識別するた
めの情報である。「認証端末IPアドレス」は、各認証
端末30に割り当てられているIPアドレスである。各
店舗には認証端末30が複数設置される場合もあるの
で、「店舗名」「店舗固有キー」に対して、「認証端末
ID」「認証端末IPアドレス」がそれぞれ複数組格納
される場合もある。FIG. 2B shows an example of information stored regarding the authentication terminal 30. Specifically, "store name"
In association with the "store unique key (authentication terminal unique information)",
“Authentication terminal ID” and “authentication terminal IP address” are stored. The “store unique key” is unique information assigned to each store and is information that is appropriately determined by the side operating the user authentication system 10, and is the mobile phone 20.
The information is treated as confidential information by a user who uses the user, a store operator who uses the authentication terminal 30, and the like. The “authentication terminal ID” is information for identifying each authentication terminal 30 on the system. The “authentication terminal IP address” is an IP address assigned to each authentication terminal 30. Since a plurality of authentication terminals 30 may be installed in each store, a plurality of “authentication terminal IDs” and “authentication terminal IP addresses” may be stored for “store name” and “store unique key”. is there.
【0034】認証送信部103は、ユーザ照会部102
の照会の結果、認証情報格納部109に合致する「アク
セス番号」及び「IDキー」の組み合わせが存在する場
合には、その合致する「アクセス番号」及び「IDキ
ー」に関連付けて認証情報格納部109に格納されてい
る「生成時刻情報」を認証端末30に送信する部分であ
る。「生成時刻情報」を送信された認証端末30は、携
帯電話機20から受け渡された「IDキー」とその「生
成時刻情報」とに基づいて「利用確認キー(第2の認証
情報)」を生成することができる。認証端末30は、こ
のように生成した「利用確認キー」をユーザ認証システ
ム10に送信し、ユーザ認証システム10の利用確認受
信部104が受信する。利用確認受信部104は、受信
した「利用確認キー」を利用確認照合部105へ出力す
る。The authentication transmission unit 103 is a user inquiry unit 102.
If there is a matching combination of “access number” and “ID key” in the authentication information storage unit 109, the authentication information storage unit is associated with the matching “access number” and “ID key”. This is a part for transmitting the “generation time information” stored in 109 to the authentication terminal 30. The authentication terminal 30 to which the “generation time information” has been transmitted, obtains the “use confirmation key (second authentication information)” based on the “ID key” and the “generation time information” passed from the mobile phone 20. Can be generated. The authentication terminal 30 transmits the “use confirmation key” thus generated to the user authentication system 10, and the use confirmation receiving unit 104 of the user authentication system 10 receives it. The usage confirmation receiving unit 104 outputs the received “use confirmation key” to the usage confirmation collating unit 105.
【0035】利用確認照合部105は、利用確認受信部
104が受信した「利用確認キー」と、認証情報格納部
109に格納されている「利用確認キー」とを照合する
部分である。より具体的には、認証要求受信部101が
受信した「IDキー」及び「アクセス番号」に対応して
認証情報格納部109に格納されている「利用確認キ
ー」と、利用確認受信部104が受信した「利用確認キ
ー」とを照合し、両者が合致する場合には、その「ID
キー」及び「アクセス番号」に対応するユーザとして、
携帯電話機20のユーザを認証する。利用確認照合部1
05は、照合の結果、利用確認受信部104が受信した
「利用確認キー」と認証情報格納部109に格納されて
いる「利用確認キー」とが合致する場合には、認証情報
格納部109から携帯電話機20のユーザに対応する
「乱数」と認証端末30の「認証端末ID」と認証端末
30が設置してある店舗の「店舗固有キー」とを読み出
して、第3情報生成部106に出力する。The usage confirmation collating section 105 is a section for collating the “usage confirmation key” received by the usage confirmation receiving section 104 with the “usage confirmation key” stored in the authentication information storage section 109. More specifically, the “use confirmation key” stored in the authentication information storage unit 109 corresponding to the “ID key” and the “access number” received by the authentication request receiving unit 101 and the use confirmation receiving unit 104 are The received “use confirmation key” is checked, and if the two match, the “ID
As a user corresponding to "key" and "access number",
The user of the mobile phone 20 is authenticated. Usage confirmation collation unit 1
If the result of the collation is that the “use confirmation key” received by the use confirmation receiving unit 104 and the “use confirmation key” stored in the authentication information storage unit 109 match, the result is 05 from the authentication information storage unit 109. The “random number” corresponding to the user of the mobile phone 20, the “authentication terminal ID” of the authentication terminal 30, and the “store unique key” of the store in which the authentication terminal 30 is installed are read and output to the third information generation unit 106. To do.
【0036】第3情報生成部106は、利用確認照合部
105から出力される、携帯電話機20のユーザに対応
する「乱数」と認証端末30が設置してある店舗の「店
舗固有キー」とに基づいて、「認証端末解析キー(第3
の認証情報)」を生成する部分である。より具体的に
は、「乱数」と「店舗固有キー」とに基づいて加減乗除
の演算のように逆算可能な方法を適宜用いて「認証端末
解析キー」を生成する。第3情報生成部106は、生成
した「認証端末解析キー」を「認証端末ID」と共に利
用確認送信部107へ出力する。The third information generation unit 106 outputs the "random number" corresponding to the user of the mobile phone 20 and the "store unique key" of the store in which the authentication terminal 30 is installed, which is output from the use confirmation collation unit 105. Based on the “authentication terminal analysis key (3rd
Authentication information) ”. More specifically, the “authentication terminal analysis key” is generated by appropriately using a method capable of back-calculation such as addition, subtraction, multiplication and division based on the “random number” and the “store unique key”. The third information generation unit 106 outputs the generated “authentication terminal analysis key” together with the “authentication terminal ID” to the usage confirmation transmission unit 107.
【0037】利用確認送信部107は、第3情報生成部
106が生成し出力した「認証端末解析キー」を、「認
証端末ID」で特定される認証端末30に送信する部分
である。利用確認送信部107は、「認証端末解析キ
ー」の送信が完了すると、送信した「認証端末解析キ
ー」を生成する際に用いた「乱数」に対応する「IDキ
ー」及び「アクセス番号」とを特定してリセット部10
8に出力する。The usage confirmation transmitting section 107 is a section for transmitting the "authentication terminal analysis key" generated and output by the third information generating section 106 to the authentication terminal 30 specified by the "authentication terminal ID". When the transmission of the "authentication terminal analysis key" is completed, the usage confirmation transmission unit 107 outputs the "ID key" and "access number" corresponding to the "random number" used when generating the transmitted "authentication terminal analysis key". Specify and reset unit 10
Output to 8.
【0038】リセット部108は、利用確認送信部10
7が認証端末30に「認証端末解析キー」を送信する
と、その送信した「認証端末解析キー」を生成する際に
用いた「乱数」及びその「乱数」に対応する「アクセス
番号」、「IDキー」、「生成時刻情報」、及び、「利
用確認キー」を認証情報格納部109から削除する部分
である。より具体的には、利用確認送信部107が「認
証端末解析キー」を送信すると出力してくる「IDキ
ー」及び「アクセス番号」に基づいて、認証情報格納部
109に格納されている対応情報を検索して削除する。The reset unit 108 includes the usage confirmation transmission unit 10
When 7 transmits the "authentication terminal analysis key" to the authentication terminal 30, the "random number" used when generating the transmitted "authentication terminal analysis key" and the "access number" and "ID" corresponding to the "random number" This is a part for deleting the “key”, the “generation time information”, and the “use confirmation key” from the authentication information storage unit 109. More specifically, the correspondence information stored in the authentication information storage unit 109 is based on the “ID key” and “access number” output when the usage confirmation transmission unit 107 transmits the “authentication terminal analysis key”. Search for and delete.
【0039】引き続いて、ユーザ認証システム10を用
いてユーザの認証を行う方法について図3及び図4を用
いて説明する。図3は、認証端末30がユーザ認証シス
テム10に情報を送信し認証情報を取得する方法を示し
たフローチャートである。図4は、認証情報を認証端末
30が加工してユーザ認証システム10に送信し別の認
証情報を取得する方法を示したフローチャートである。Subsequently, a method of authenticating a user using the user authentication system 10 will be described with reference to FIGS. 3 and 4. FIG. 3 is a flowchart showing a method in which the authentication terminal 30 transmits information to the user authentication system 10 and acquires authentication information. FIG. 4 is a flowchart showing a method in which the authentication terminal 30 processes the authentication information and transmits it to the user authentication system 10 to acquire another authentication information.
【0040】まず、図3を用いて、認証端末30がユー
ザ認証システム10に情報を送信し認証情報を取得する
方法について説明する。認証端末30が設置されている
店舗を利用しようとするユーザは、携帯電話機20を持
参して店舗に出向いて、認証端末30に「IDキー」及
び「アクセス番号」を受け渡す(ステップS10)。認
証端末30は、「IDキー」及び「アクセス番号」を受
け取って、内部の記憶領域に格納する(ステップS1
1)。認証端末30は、「IDキー」と「アクセス番
号」とを組み合わせ、認証端末30の「認証端末ID」
と共にユーザ認証システム10に送信する(ステップS
12)。この際、IDキーの下4桁を送信してもよく、
このようにIDキーの一部を送信することとすれば、高
度の秘匿性を有さない網を利用している場合であっても
情報の全てを送信せずに済むのでセキュリティが向上す
る。更に、情報の送受信量を削減することも可能とな
る。First, a method in which the authentication terminal 30 transmits information to the user authentication system 10 and acquires the authentication information will be described with reference to FIG. A user who intends to use the store in which the authentication terminal 30 is installed brings the mobile phone 20 to the store and delivers the "ID key" and the "access number" to the authentication terminal 30 (step S10). The authentication terminal 30 receives the “ID key” and the “access number” and stores them in the internal storage area (step S1).
1). The authentication terminal 30 combines the “ID key” and the “access number” to obtain the “authentication terminal ID” of the authentication terminal 30.
It is sent together with the user authentication system 10 (step S
12). At this time, you may send the last 4 digits of the ID key,
By transmitting a part of the ID key in this manner, security is improved because it is not necessary to transmit all the information even when using a network that does not have a high degree of confidentiality. Further, it becomes possible to reduce the amount of information transmitted and received.
【0041】ユーザ認証システム10の認証要求受信部
101は、ユーザの認証を要求する認証端末30から送
信される「アクセス番号」と「IDキー」とを「認証端
末ID」と共に受信する(ステップS13)。この認証
端末30から送信される「アクセス番号」と「IDキ
ー」は、ユーザが使用する携帯電話機20から受け渡さ
れた情報である。認証要求受信部106は、受信した
「アクセス番号」と「IDキー」と「認証端末ID」と
をユーザ照会部102に出力する。The authentication request receiving unit 101 of the user authentication system 10 receives the "access number" and the "ID key" transmitted from the authentication terminal 30 requesting the user authentication together with the "authentication terminal ID" (step S13). ). The “access number” and the “ID key” transmitted from the authentication terminal 30 are the information passed from the mobile phone 20 used by the user. The authentication request receiving unit 106 outputs the received “access number”, “ID key”, and “authentication terminal ID” to the user inquiry unit 102.
【0042】ユーザ認証システム10のユーザ照会部1
02は、認証要求受信部101が受信した「アクセス番
号」及び「IDキー」と、認証情報格納部109に格納
されている「アクセス番号」及び「IDキー」とを照会
する。また、ユーザ照会部102は、「認証端末ID」
に基づいて、認証情報格納部109に格納されている
「認証端末ID」を照会する(ステップS14)。ユー
ザ照会部102は、「IDキー」が合致する情報列を検
索し、合致するものがあればその情報列の「アクセス番
号」を照会して合致するかどうかを確認し、「IDキ
ー」及び「アクセス番号」が両方とも合致すれば受信し
た「アクセス番号」と「IDキー」との組み合わせが正
当であると判断する(ステップS15)。ここでユーザ
照会部102は、合致する情報が無ければ、その旨の情
報を認証送信部103に出力し、認証送信部103は認
証拒否の情報を認証端末30に送信する(ステップS1
6)。認証端末30は、認証拒否の情報を受信し、ユー
ザが的確な利用資格を得ていないことを認識する(ステ
ップS17)。User inquiry unit 1 of user authentication system 10
02 inquires about the “access number” and “ID key” received by the authentication request receiving unit 101 and the “access number” and “ID key” stored in the authentication information storage unit 109. In addition, the user inquiring unit 102 uses the “authentication terminal ID”.
Based on the, the “authentication terminal ID” stored in the authentication information storage unit 109 is inquired (step S14). The user inquiring unit 102 searches for an information string having a matching “ID key”, and if there is a matching one, inquires the “access number” of the information string to check whether there is a match, and If both "access numbers" match, it is determined that the received combination of "access number" and "ID key" is valid (step S15). If there is no matching information, the user inquiring unit 102 outputs information to that effect to the authentication transmitting unit 103, and the authentication transmitting unit 103 transmits authentication rejection information to the authentication terminal 30 (step S1).
6). The authentication terminal 30 receives the information of the authentication refusal and recognizes that the user does not have the proper usage qualification (step S17).
【0043】一方、ユーザ照会部102は、ステップS
15において正当であると判断すると、その「IDキ
ー」及び「アクセス番号」に対応する「生成時刻情報」
を認証情報格納部109から読み出して、「IDキー」
及び「アクセス番号」と共に認証送信部103に出力す
る。ユーザ認証システム10の認証送信部103は、ユ
ーザ照会部102の照会の結果、認証情報格納部109
に合致する「アクセス番号」及び「IDキー」の組み合
わせが存在する場合には、その合致する「アクセス番
号」及び「IDキー」に関連付けて認証情報格納部10
9に格納されている「生成時刻情報」を認証端末30に
送信する(ステップS18)。認証端末30は、ユーザ
認証システム10から「生成時刻情報」を受信する(ス
テップS19)。On the other hand, the user inquiry section 102 makes a decision at step S.
If it is determined to be valid in 15, the "generation time information" corresponding to the "ID key" and "access number"
Is read from the authentication information storage unit 109 and the "ID key" is read.
And the “access number” together with the output to the authentication transmission unit 103. The authentication transmission unit 103 of the user authentication system 10 receives the result of the inquiry from the user inquiry unit 102, and the authentication information storage unit 109.
If there is a combination of the “access number” and the “ID key” that match with, the authentication information storage unit 10 is associated with the matching “access number” and the “ID key”.
The "generation time information" stored in 9 is transmitted to the authentication terminal 30 (step S18). The authentication terminal 30 receives the "generation time information" from the user authentication system 10 (step S19).
【0044】引き続いて、図4を用いて、認証情報を認
証端末30が加工しユーザ認証システム10に送信して
別の認証情報を取得する方法について説明する。認証端
末30は、ユーザが使用する携帯電話機20から受け取
った「IDキー」と、ユーザ認証システム10から受信
した「生成時刻情報」とに基づいて「利用確認キー」を
生成する(ステップS21)。認証端末30は、生成し
た「利用確認キー」をユーザ認証システム10に送信す
る(ステップS22)。Subsequently, a method of processing the authentication information by the authentication terminal 30 and transmitting it to the user authentication system 10 to acquire another authentication information will be described with reference to FIG. The authentication terminal 30 generates a “use confirmation key” based on the “ID key” received from the mobile phone 20 used by the user and the “generation time information” received from the user authentication system 10 (step S21). The authentication terminal 30 transmits the generated “use confirmation key” to the user authentication system 10 (step S22).
【0045】ユーザ認証システム10の利用確認受信部
104は、認証端末30から送信される「利用確認キ
ー」を受信し、受信した「利用確認キー」を利用確認照
合部105へ出力する(ステップS23)。The use confirmation receiving unit 104 of the user authentication system 10 receives the "use confirmation key" transmitted from the authentication terminal 30, and outputs the received "use confirmation key" to the use confirmation collating unit 105 (step S23). ).
【0046】ユーザ認証システム10の利用確認照合部
105は、利用確認受信部104が受信した「利用確認
キー」と、認証情報格納部109に格納されている「利
用確認キー」とを照合する(ステップS24)。利用確
認照合部105は、認証要求受信部101が受信した
「IDキー」及び「アクセス番号」に対応して認証情報
格納部109に格納されている「利用確認キー」と、利
用確認受信部104が受信した「利用確認キー」とを照
合し、両者が合致するかどうかを判断する(ステップS
25)。照合の結果、両者が合致しない場合には、利用
確認送信部107が認証端末30に認証拒否の情報を送
信する(ステップS26)。認証端末30は、認証拒否
の情報を受信し、ユーザが的確な利用資格を得ていない
ことを認識する(ステップS27)。照合の結果、両者
が合致する場合には、利用確認照合部105は、認証情
報格納部109から携帯電話機20のユーザに対応する
「乱数」と認証端末30の「認証端末ID」と認証端末
30が設置してある店舗の「店舗固有キー」とを読み出
して、第3情報生成部106に出力する。The usage confirmation collating unit 105 of the user authentication system 10 collates the “usage confirmation key” received by the usage confirmation receiving unit 104 with the “usage confirmation key” stored in the authentication information storage unit 109 ( Step S24). The usage confirmation collation unit 105 stores the “use confirmation key” stored in the authentication information storage unit 109 in correspondence with the “ID key” and the “access number” received by the authentication request reception unit 101, and the usage confirmation reception unit 104. Collates with the received "use confirmation key" to determine whether they match (step S
25). As a result of the collation, when the two do not match, the usage confirmation transmission unit 107 transmits the information of authentication refusal to the authentication terminal 30 (step S26). The authentication terminal 30 receives the authentication refusal information and recognizes that the user does not have the proper usage qualification (step S27). If the two match as a result of the collation, the use confirmation collating unit 105, from the authentication information storage unit 109, the “random number” corresponding to the user of the mobile phone 20, the “authentication terminal ID” of the authentication terminal 30, and the authentication terminal 30. The “store unique key” of the store where is installed is output and output to the third information generation unit 106.
【0047】ユーザ認証システム10の第3情報生成部
106は、利用確認照合部105から出力される、携帯
電話機20のユーザに対応する「乱数」と認証端末30
が設置してある店舗の「店舗固有キー」とに基づいて、
「認証端末解析キー(第3の認証情報)」を生成する
(ステップS28)。第3情報生成部106は、生成し
た「認証端末解析キー」を「認証端末ID」と共に利用
確認送信部107へ出力する。The third information generation unit 106 of the user authentication system 10 outputs the "random number" corresponding to the user of the mobile phone 20 and the authentication terminal 30 output from the use confirmation collation unit 105.
Based on the "store unique key" of the store where is installed,
An "authentication terminal analysis key (third authentication information)" is generated (step S28). The third information generation unit 106 outputs the generated “authentication terminal analysis key” together with the “authentication terminal ID” to the usage confirmation transmission unit 107.
【0048】ユーザ認証システム10の利用確認送信部
107は、第3情報生成部106が生成し出力した「認
証端末解析キー」を、認証端末30に送信する(ステッ
プS29)。利用確認送信部107は、「認証端末解析
キー」の送信が完了すると、送信した「認証端末解析キ
ー」を生成する際に用いた「乱数」に対応する「IDキ
ー」及び「アクセス番号」とを特定してリセット部10
8に出力する。リセット部108は、利用確認送信部1
07が認証端末30に「認証端末解析キー」を送信する
と、その送信した「認証端末解析キー」を生成する際に
用いた「乱数」及びその「乱数」に対応する「アクセス
番号」、「IDキー」、「生成時刻情報」、及び、「利
用確認キー」を認証情報格納部109から削除する(ス
テップS30)。The use confirmation transmission unit 107 of the user authentication system 10 transmits the "authentication terminal analysis key" generated and output by the third information generation unit 106 to the authentication terminal 30 (step S29). When the transmission of the "authentication terminal analysis key" is completed, the usage confirmation transmission unit 107 outputs the "ID key" and "access number" corresponding to the "random number" used when generating the transmitted "authentication terminal analysis key". Specify and reset unit 10
Output to 8. The reset unit 108 includes the usage confirmation transmission unit 1
When 07 transmits the “authentication terminal analysis key” to the authentication terminal 30, the “random number” used when generating the transmitted “authentication terminal analysis key” and the “access number” and “ID” corresponding to the “random number” The "key", "generation time information", and "use confirmation key" are deleted from the authentication information storage unit 109 (step S30).
【0049】認証端末30は、ユーザ認証システム10
の利用確認送信部107から送信される「認証端末解析
キー」を受信する(ステップS31)。認証端末30
は、ユーザが使用する携帯電話機20から受け取った
「IDキー」と、ユーザ認証システム10の利用確認送
信部107から送信された「認証端末解析キー」とに基
づいて、「店舗向けユーザ固有キー」を生成する(ステ
ップS32)。The authentication terminal 30 is the user authentication system 10
The "authentication terminal analysis key" transmitted from the usage confirmation transmission unit 107 is received (step S31). Authentication terminal 30
Is a “store unique user key” based on the “ID key” received from the mobile phone 20 used by the user and the “authentication terminal analysis key” transmitted from the usage confirmation transmission unit 107 of the user authentication system 10. Is generated (step S32).
【0050】「店舗向けユーザ固有キー」は、「IDキ
ー」と「認証端末解析キー」とから「乱数」に対応する
部分を除いて生成されるので、「ユーザ固有キー」と
「店舗固有キー」とに対応する部分を含む情報となる。
従って、その店舗ごとにユーザを管理するための情報と
して取り扱うことができ、「店舗向けユーザ固有キー」
に基づいてデータベースを構築できる。従って、認証端
末30が設置してある店舗に行ったユーザが、毎回異な
る情報である「IDキー」を提示すると、店舗側は、ユ
ーザを特定するための「店舗向けユーザ固有キー」を取
得できることとなり、利用者情報の表示や、サービス待
ち順番の表示や、ポイント加算といった各種のサービス
にこのユーザ認証システム10が適用可能となる。Since the "user unique key for store" is generated by removing the part corresponding to the "random number" from the "ID key" and the "authentication terminal analysis key", the "user unique key" and the "store unique key" are generated. It becomes the information including the part corresponding to.
Therefore, it can be handled as information for managing the user for each store, and the "store unique user key"
You can build a database based on. Therefore, when the user who goes to the store in which the authentication terminal 30 is installed presents different information “ID key” every time, the store can acquire the “user specific key for store” for identifying the user. Therefore, the user authentication system 10 can be applied to various services such as displaying user information, displaying service waiting order, and adding points.
【0051】次にコンピュータを、本実施形態のユーザ
認証システム10として機能させるためのユーザ認証プ
ログラム92及びそれが記録されているコンピュータ読
取可能な記録媒体9について説明する。図5は、ユーザ
認証プログラム92が記録されている記録媒体9の構成
を示した図である。記録媒体9としては、例えば、磁気
ディスク、光ディスク、CD−ROM、コンピュータに
内蔵されたメモリなどが該当する。Next, a user authentication program 92 for causing a computer to function as the user authentication system 10 of this embodiment and a computer-readable recording medium 9 in which the user authentication program 92 is recorded will be described. FIG. 5 is a diagram showing the configuration of the recording medium 9 in which the user authentication program 92 is recorded. The recording medium 9 is, for example, a magnetic disk, an optical disk, a CD-ROM, a memory built in a computer, or the like.
【0052】記録媒体9は、図5に示すように、プログ
ラムを記録するプログラム領域91と、データを記録す
るデータ領域93とを備えている。データ領域93に
は、図1を用いて説明した認証情報格納部109と同様
の認証情報データベース931が格納されている。As shown in FIG. 5, the recording medium 9 has a program area 91 for recording a program and a data area 93 for recording data. An authentication information database 931 similar to the authentication information storage unit 109 described with reference to FIG. 1 is stored in the data area 93.
【0053】プログラム領域91には、ユーザ認証プロ
グラム92が記録されている。ユーザ認証プログラム9
2は、処理を統括するメインモジュール921と、認証
要求受信モジュール922と、ユーザ照会モジュール9
23と、認証送信モジュール924と、利用確認受信モ
ジュール925と、利用確認照合モジュール926と、
第3情報生成モジュール927と、利用確認モジュール
928と、リセットモジュール929とを備える。ここ
で、認証要求受信モジュール922、ユーザ照会モジュ
ール923、認証送信モジュール924、利用確認受信
モジュール925、利用確認照合モジュール926、第
3情報生成モジュール927、利用確認モジュール92
8、リセットモジュール929のそれぞれを動作させる
ことによって実現する機能は、上記ユーザ認証システム
10の認証要求受信部101、ユーザ照会部102、認
証送信部103、利用確認受信部104、利用確認照合
部105、第3情報生成部106、利用確認送信部10
7、リセット部108のそれぞれの機能と同様である。A user authentication program 92 is recorded in the program area 91. User authentication program 9
2 is a main module 921 that supervises the processing, an authentication request receiving module 922, and a user inquiry module 9
23, an authentication transmission module 924, a usage confirmation reception module 925, a usage confirmation collation module 926,
A third information generation module 927, a usage confirmation module 928, and a reset module 929 are provided. Here, the authentication request reception module 922, the user inquiry module 923, the authentication transmission module 924, the usage confirmation reception module 925, the usage confirmation collation module 926, the third information generation module 927, and the usage confirmation module 92.
8. The function realized by operating each of the reset module 929 is the authentication request receiving unit 101, the user inquiring unit 102, the authentication transmitting unit 103, the usage confirmation receiving unit 104, and the usage confirmation collating unit 105 of the user authentication system 10. , Third information generation unit 106, usage confirmation transmission unit 10
7. The functions of the reset unit 108 are the same.
【0054】本実施形態の作用及び効果について説明す
る。ユーザ照会部102が、認証要求受信部101が受
信する「アクセス番号」及び「IDキー」と、認証情報
格納部109に格納されている「アクセス番号」及び
「IDキー」とを照会するので、例えば、「IDキー」
のみをユーザ以外の第三者が入手したとしても「アクセ
ス番号」が合致しなければ悪用されることが無く、より
安全性の高い認証を行うことができる。認証送信部10
3が、合致する「アクセス番号」及び「IDキー」に関
連付けて認証情報格納部109に格納されている「生成
時刻情報」を認証端末30に送信するので、認証端末3
0が「利用確認キー」を生成する際に用いる情報として
「生成時刻情報」を提供できる。利用確認照合部105
が、利用確認受信部104が受信した「利用確認キー」
と、認証情報格納部109に格納されている対応する
「利用確認キー」とを照合するので、「利用確認キー」
に基づいた認証ができる。利用確認受信部105が受信
する「利用確認キー」は、認証送信部103が送信した
「生成時刻情報」を用いて認証端末30が生成したもの
であり、例えば、その「生成時刻情報」と組み合わせて
「利用確認キー」を生成するための「IDキー」をユー
ザから受け取ることとすれば、それらの各情報が毎回異
なるようにできるので第三者のなりすましを効果的に排
除できる。The operation and effect of this embodiment will be described. Since the user inquiry unit 102 makes an inquiry about the “access number” and “ID key” received by the authentication request receiving unit 101 and the “access number” and “ID key” stored in the authentication information storage unit 109, For example, "ID key"
Even if a third party other than the user obtains only the above, unless the “access number” is matched, it will not be misused and authentication with higher security can be performed. Authentication transmitter 10
3 transmits the “generation time information” stored in the authentication information storage unit 109 in association with the matching “access number” and “ID key” to the authentication terminal 30, the authentication terminal 3
The 0 can provide the "generation time information" as the information used when the "use confirmation key" is generated. Usage confirmation collating unit 105
Is the "use confirmation key" received by the use confirmation receiving unit 104
And the corresponding "use confirmation key" stored in the authentication information storage unit 109 are collated, so "use confirmation key"
Authentication based on is possible. The “use confirmation key” received by the use confirmation receiving unit 105 is generated by the authentication terminal 30 using the “generation time information” transmitted by the authentication transmission unit 103, and is combined with the “generation time information”, for example. If the "ID key" for generating the "use confirmation key" is received from the user, the respective pieces of information can be made different each time, so that impersonation of a third party can be effectively eliminated.
【0055】生成時刻情報は、「IDキー」が生成され
た時刻に基づいて定められる数値であるようにしている
ので、時刻に基づいて定められる数値として、その時刻
が1日に占める位置を小数で表したものを用いれば、他
の種類の情報に変換することが容易になる。Since the generation time information is a numerical value determined based on the time when the "ID key" is generated, the position occupied by the time is a decimal number as a numerical value determined based on the time. By using the one represented by, it becomes easy to convert the information into other types of information.
【0056】利用確認送信部107が、認証端末30
に、「IDキー」と対応する「乱数」と「店舗固有キ
ー」とに基づいて生成される「認証端末解析キー」を送
信するので、認証端末30が「認証端末解析キー」及び
「IDキー」を用いてその認証端末30に関連付けられ
た各ユーザの管理情報といったものを生成するための情
報を提供できる。各認証端末が、それぞれに固有のユー
ザの管理情報を生成することができるので、例えば、一
の認証端末が他の認証端末が生成した管理情報を入手し
たとしても、それがどのユーザに関する情報であるかは
認識できないので、各認証端末が共通の管理情報を使用
するのに比較して情報の不正流用といった事態を極力回
避することができる。The usage confirmation transmission unit 107 is used by the authentication terminal 30.
Since the "authentication terminal analysis key" generated based on the "random number" corresponding to the "ID key" and the "store unique key" is transmitted, the authentication terminal 30 sends the "authentication terminal analysis key" and the "ID key". Can be used to provide information for generating management information of each user associated with the authentication terminal 30. Since each authentication terminal can generate management information unique to each user, even if one authentication terminal obtains management information generated by another authentication terminal, that information is not related to which user. Since it is not possible to recognize whether or not there is such information, it is possible to avoid the misuse of information as much as possible, compared to the case where each authentication terminal uses common management information.
【0057】また、ある認証フェーズにおけるアクセス
番号、乱数、IDキー、及び、利用確認キーが第三者に
取得されてしまったとしても、正当なユーザが認証フェ
ーズを終了した後にはそれらの情報が削除されるので、
より安全性の高い認証を行うことができる。更に、生成
時刻情報に基づいて、例えば任意に定められる有効期限
の経過によってアクセス番号、乱数、IDキー、及び、
利用確認キーといった情報を削除するようにすれば、正
当なユーザが取引を中断したような場合であっても第三
者の情報の不正使用を防止することができ、より安全性
の高い認証を行うことができる。Even if an access number, a random number, an ID key, and a usage confirmation key in a certain authentication phase are acquired by a third party, those information will be stored after the legitimate user completes the authentication phase. Because it will be deleted
More secure authentication can be performed. Further, based on the generation time information, for example, an access number, a random number, an ID key, and
By deleting the information such as the usage confirmation key, it is possible to prevent unauthorized use of the information of a third party even when a legitimate user interrupts the transaction, and a more secure authentication can be performed. It can be carried out.
【0058】[0058]
【発明の効果】本発明によれば、ユーザ照会手段が、認
証要求受信手段が受信するアクセス情報及び第1の認証
情報と、認証情報格納手段に格納されているアクセス情
報及び第1の認証情報とを照会するので、例えば、第1
の認証情報のみをユーザ以外の第三者が入手したとして
もアクセス情報が合致しなければ悪用されることが無
く、より安全性の高い認証を行うことができる。認証送
信手段が、合致するアクセス情報及び第1の認証情報に
関連付けて認証情報格納手段に格納されている生成時刻
情報を認証端末に送信するので、認証端末が第2の認証
情報を生成する際に用いる情報として生成時刻情報を提
供できる。利用確認照合手段が、利用確認受信手段が受
信した第2の認証情報と、認証情報格納手段に格納され
ている対応する第2の認証情報とを照合するので、第2
の認証情報に基づいた認証ができる。利用確認受信手段
が受信する第2の認証情報は、認証送信手段が送信した
生成時刻情報を用いて認証端末が生成したものであり、
例えば、その生成時刻情報と組み合わせて第2の認証情
報を生成するための第1の認証情報をユーザから受け取
ることとすれば、それらの各情報が毎回異なるようにで
きるので第三者のなりすましを効果的に排除できる。従
って本発明の目的とする、認証の度ごとに認証端末側で
実行する処理量を極力少なくすると共に、より安全性の
高い認証を行うことが可能な、ユーザ認証システム、ユ
ーザ認証方法、ユーザ認証プログラム、及び、コンピュ
ータ読取可能な記録媒体を提供することができた。According to the present invention, the user inquiring means receives the access information and the first authentication information received by the authentication request receiving means, and the access information and the first authentication information stored in the authentication information storing means. For example, the first
Even if a third party other than the user obtains only the authentication information of 1, if the access information does not match, it will not be misused, and more secure authentication can be performed. When the authentication terminal generates the second authentication information, the authentication transmission means transmits the generation time information stored in the authentication information storage means in association with the matching access information and the first authentication information to the authentication terminal. The generation time information can be provided as the information used for. Since the usage confirmation collating means collates the second authentication information received by the usage confirmation receiving means with the corresponding second authentication information stored in the authentication information storing means,
Authentication based on the authentication information of can be performed. The second authentication information received by the usage confirmation receiving means is generated by the authentication terminal using the generation time information transmitted by the authentication transmitting means,
For example, if the first authentication information for generating the second authentication information in combination with the generation time information is received from the user, the respective pieces of information can be made different each time, so that impersonation of a third party can be made. Can be effectively eliminated. Therefore, the object of the present invention is to provide a user authentication system, a user authentication method, and a user authentication that can reduce the amount of processing executed on the authentication terminal side for each authentication as much as possible and can perform more secure authentication. It was possible to provide a program and a computer-readable recording medium.
【図1】本発明の実施形態であるユーザ認証システムを
説明するための図である。FIG. 1 is a diagram for explaining a user authentication system that is an embodiment of the present invention.
【図2】図1の認証情報格納部に格納される情報の例を
示した図である。FIG. 2 is a diagram showing an example of information stored in an authentication information storage unit of FIG.
【図3】認証端末30がユーザ認証システム10に情報
を送信し認証情報を取得する方法を示したフローチャー
トである。FIG. 3 is a flowchart showing a method in which the authentication terminal 30 transmits information to the user authentication system 10 and acquires authentication information.
【図4】認証情報を認証端末30が加工してユーザ認証
システム10に送信し別の認証情報を取得する方法を示
したフローチャートである。FIG. 4 is a flowchart showing a method in which the authentication terminal 30 processes the authentication information and transmits it to the user authentication system 10 to acquire another authentication information.
【図5】本発明の実施形態であるユーザ認証プログラム
を説明するための図である。FIG. 5 is a diagram for explaining a user authentication program that is an embodiment of the present invention.
10…ユーザ認証システム、20…携帯電話機、30…
認証端末、101…認証受信部、102…ユーザ照会
部、103…認証送信部、104…利用確認受信部、1
05…利用確認照合部、106…第3情報生成部、10
7…利用確認送信部、108…リセット部、109…認
証情報格納部。10 ... User authentication system, 20 ... Mobile phone, 30 ...
Authentication terminal, 101 ... Authentication receiving unit, 102 ... User inquiring unit, 103 ... Authentication transmitting unit, 104 ... Usage confirmation receiving unit, 1
05 ... Usage confirmation collating unit, 106 ... Third information generating unit, 10
7 ... Usage confirmation transmission unit, 108 ... Reset unit, 109 ... Authentication information storage unit.
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B085 AA08 AE01 AE09 AE23 BA07 BG07 5J104 AA07 KA02 PA07 ─────────────────────────────────────────────────── ─── Continued front page F-term (reference) 5B085 AA08 AE01 AE09 AE23 BA07 BG07 5J104 AA07 KA02 PA07
Claims (13)
送信される、当該認証端末を特定するための認証端末特
定情報と、ユーザごとに予め一意に定められているユー
ザ固有情報と無作為に生成される乱数とに基づいて生成
される第1の認証情報と、当該第1の認証情報のそれぞ
れに対応する固有のアクセス情報と、を受信する認証要
求受信手段と、 当該認証要求受信手段が受信した第1の認証情報及びア
クセス情報に基づいて、認証情報格納手段に格納されて
いる第1の認証情報及びアクセス情報を照会するユーザ
照会手段と、 当該ユーザ照会手段の照会の結果、合致するアクセス情
報及び第1の認証情報の組み合わせが前記認証情報格納
手段に存在する場合には、当該合致するアクセス情報及
び第1の認証情報に関連付けて前記認証情報格納手段に
格納されている生成時刻情報を前記認証端末に送信する
認証送信手段と、 前記認証端末が前記第1の認証情報及び前記認証送信手
段によって送信された生成時刻情報に基づいて生成する
第2の認証情報を受信する利用確認受信手段と、 当該利用確認受信手段が受信した第2の認証情報と、前
記認証情報格納手段に格納されている前記アクセス情報
及び前記第1の認証情報に対応する第2の認証情報とを
照合する利用確認照合手段と、を備えるユーザ認証シス
テム。1. An authentication terminal specifying information for specifying the authentication terminal, which is transmitted from an authentication terminal attempting to authenticate a user, and user-specific information uniquely predetermined for each user and randomly generated. Authentication request receiving means for receiving first authentication information generated based on the generated random number and unique access information corresponding to each of the first authentication information, and the authentication request receiving means for receiving the authentication request receiving means. User inquiring means for inquiring the first authentication information and the access information stored in the authentication information storing means based on the first authentication information and the access information, and the matching access as a result of the inquiry by the user inquiring means. When a combination of the information and the first authentication information exists in the authentication information storage means, the authentication information is associated with the matching access information and the first authentication information. Authentication transmitting means for transmitting the generation time information stored in the storing means to the authentication terminal, and the authentication terminal generating based on the first authentication information and the generation time information transmitted by the authentication transmitting means. Corresponding to the usage confirmation receiving means for receiving the second authentication information, the second authentication information received by the usage confirmation receiving means, the access information and the first authentication information stored in the authentication information storage means. A user authentication system comprising: a use confirmation collating unit that collates the second authentication information.
報が生成された時刻に基づいて定められる数値である、
請求項1に記載のユーザ認証システム。2. The generation time information is a numerical value determined based on the time when the first authentication information is generated,
The user authentication system according to claim 1.
記受信した第2の認証情報と前記格納されている第2の
認証情報とが合致した場合に、前記第1の認証情報に対
応する乱数及び前記認証端末を保有する業者ごとに予め
一意に定められている認証端末固有情報に基づいて第3
の認証情報を生成する第3情報生成手段と、 当該第3情報生成手段が生成した第3の認証情報を前記
認証端末に送信する利用確認送信手段と、を備える請求
項1又は2に記載のユーザ認証システム。3. As a result of the collation by the use confirmation collating means, when the received second authentication information and the stored second authentication information match, the first authentication information is dealt with. Based on the random number and the authentication terminal unique information which is uniquely determined in advance for each trader holding the authentication terminal,
3. The third information generating means for generating the authentication information, and the usage confirmation transmitting means for transmitting the third authentication information generated by the third information generating means to the authentication terminal. User authentication system.
前記第3の認証情報を送信すると、当該送信した第3の
認証情報を生成する際に用いた乱数と、当該乱数に関連
付けられているアクセス情報、第1の認証情報、及び、
第2の認証情報と、を前記認証情報格納手段から削除す
るリセット手段を備える、請求項3に記載のユーザ認証
システム。4. When the usage confirmation transmission means transmits the third authentication information to the authentication terminal, the random number used when the transmitted third authentication information is generated is associated with the random number. Access information, first authentication information, and
The user authentication system according to claim 3, further comprising reset means for deleting the second authentication information and the authentication information storage means.
うとする認証端末から送信される、当該認証端末を特定
するための認証端末特定情報と、ユーザごとに予め一意
に定められているユーザ固有情報と無作為に生成される
乱数とに基づいて生成される第1の認証情報と、当該第
1の認証情報のそれぞれに対応する固有のアクセス情報
と、を受信する認証要求受信ステップと、 ユーザ照会手段が、当該認証要求受信手段が受信した第
1の認証情報及びアクセス情報に基づいて、認証情報格
納手段に格納されている第1の認証情報及びアクセス情
報を照会するユーザ照会ステップと、 前記ユーザ照会手段の照会の結果、合致するアクセス情
報及び第1の認証情報の組み合わせが前記認証情報格納
手段に存在する場合には、認証送信手段が、当該合致す
るアクセス情報及び第1の認証情報に関連付けて前記認
証情報格納手段に格納されている生成時刻情報を前記認
証端末に送信する認証送信ステップと、 前記認証端末が前記第1の認証情報及び前記認証送信手
段によって送信された生成時刻情報に基づいて生成する
第2の認証情報を、利用確認受信手段が受信する利用確
認受信ステップと、 利用確認照合手段が、前記利用確認受信手段が受信した
第2の認証情報と、前記認証情報格納手段に格納されて
いる前記アクセス情報及び前記第1の認証情報に対応す
る第2の認証情報とを照合する利用確認照合ステップ
と、を備えるユーザ認証方法。5. The authentication request receiving means transmits authentication terminal specifying information for specifying the authentication terminal, which is transmitted from an authentication terminal that is going to authenticate a user, and user-specific information that is uniquely determined in advance for each user. An authentication request receiving step of receiving first authentication information generated based on the information and a randomly generated random number, and unique access information corresponding to each of the first authentication information; A user inquiring step for inquiring the first authentication information and the access information stored in the authentication information storage means based on the first authentication information and the access information received by the authentication request receiving means, As a result of the inquiry by the user inquiring means, if the matching combination of the access information and the first authentication information exists in the authentication information storing means, the authentication transmitting means determines that An authentication transmitting step of transmitting to the authentication terminal the generation time information stored in the authentication information storage means in association with the matching access information and the first authentication information; and the authentication terminal, the first authentication information and the The usage confirmation receiving step in which the usage confirmation receiving means receives the second authentication information generated based on the generation time information transmitted by the authentication transmitting means, and the usage confirmation collating means receives the second authentication information by the usage confirmation receiving means. 2. A user authentication method, comprising: a second authentication information, and a usage confirmation matching step of matching the access information and the second authentication information corresponding to the first authentication information stored in the authentication information storage means.
報が生成された時刻に基づいて定められる数値である、
請求項5に記載のユーザ認証方法。6. The generation time information is a numerical value determined based on the time when the first authentication information is generated,
The user authentication method according to claim 5.
記受信した第2の認証情報と前記格納されている第2の
認証情報とが合致した場合に、第3情報生成手段が、前
記第1の認証情報に対応する乱数及び前記認証端末を保
有する業者ごとに予め一意に定められている認証端末固
有情報に基づいて第3の認証情報を生成する第3情報生
成ステップと、 利用確認送信手段が、前記第3情報生成手段が生成した
第3の認証情報を前記認証端末に送信する利用確認送信
ステップと、を備える請求項5又は6に記載のユーザ認
証方法。7. The third information generating means, when the received second authentication information matches the stored second authentication information as a result of the verification by the usage confirmation matching means, the third information generating means A third information generating step of generating third authentication information based on a random number corresponding to the authentication information of No. 1 and authentication terminal unique information that is uniquely determined in advance for each business operator holding the authentication terminal; 7. The user authentication method according to claim 5, further comprising a usage confirmation transmitting step of transmitting the third authentication information generated by the third information generating means to the authentication terminal.
前記第3の認証情報を送信すると、当該送信した第3の
認証情報を生成する際に用いた乱数と、当該乱数に関連
付けられているアクセス情報、第1の認証情報、及び、
第2の認証情報と、をリセット手段が前記認証情報格納
手段から削除するリセットステップを備える、請求項7
に記載のユーザ認証方法。8. When the usage confirmation transmitting means transmits the third authentication information to the authentication terminal, the random number used when generating the transmitted third authentication information and the random number are associated with the random number. Access information, first authentication information, and
8. The reset step, wherein the reset means deletes the second authentication information from the authentication information storage means.
User authentication method described in.
該認証端末を特定するための認証端末特定情報と、ユー
ザごとに予め一意に定められているユーザ固有情報と無
作為に生成される乱数とに基づいて生成される第1の認
証情報と、当該第1の認証情報のそれぞれに対応する固
有のアクセス情報と、を受信する認証要求受信手段と、 当該認証要求受信手段が受信した第1の認証情報及びア
クセス情報に基づいて、認証情報格納手段に格納されて
いる第1の認証情報及びアクセス情報を照会するユーザ
照会手段と、 当該ユーザ照会手段の照会の結果、合致するアクセス情
報及び第1の認証情報の組み合わせが前記認証情報格納
手段に存在する場合には、当該合致するアクセス情報及
び第1の認証情報に関連付けて前記認証情報格納手段に
格納されている生成時刻情報を前記認証端末に送信する
認証送信手段と、 前記認証端末が前記第1の認証情報及び前記認証送信手
段によって送信された生成時刻情報に基づいて生成する
第2の認証情報を受信する利用確認受信手段と、 当該利用確認受信手段が受信した第2の認証情報と、前
記認証情報格納手段に格納されている前記アクセス情報
及び前記第1の認証情報に対応する第2の認証情報とを
照合する利用確認照合手段と、して機能させるためのユ
ーザ認証プログラム。9. The computer does not include authentication terminal identification information for identifying the authentication terminal, which is transmitted from an authentication terminal that attempts to authenticate the user, and user unique information that is uniquely determined in advance for each user. Authentication request receiving means for receiving first authentication information generated based on a randomly generated random number, and unique access information corresponding to each of the first authentication information, and reception of the authentication request. A user inquiring means for inquiring the first authentication information and the access information stored in the authentication information storing means based on the first authentication information and the access information received by the means, and a result of the inquiry by the user inquiring means, When a combination of the matching access information and the first authentication information exists in the authentication information storage means, it is associated with the matching access information and the first authentication information. Authentication transmission means for transmitting the generation time information stored in the authentication information storage means to the authentication terminal, and the generation time information transmitted by the authentication terminal and the authentication transmission means by the authentication terminal. Usage confirmation receiving means for receiving second authentication information generated based on the second authentication information, second authentication information received by the usage confirmation receiving means, the access information and the first information stored in the authentication information storage means. A user authentication program for functioning as a use confirmation collating unit that collates the second authentication information corresponding to the authentication information of 1.
情報が生成された時刻に基づいて定められる数値であ
る、請求項9に記載のユーザ認証プログラム。10. The user authentication program according to claim 9, wherein the generation time information is a numerical value determined based on a time when the first authentication information is generated.
の認証情報と前記格納されている第2の認証情報とが合
致した場合に、前記第1の認証情報に対応する乱数及び
前記認証端末を保有する業者ごとに予め一意に定められ
ている認証端末固有情報に基づいて第3の認証情報を生
成する第3情報生成手段と、 当該第3情報生成手段が生成した第3の認証情報を前記
認証端末に送信する利用確認送信手段と、して更に機能
させるための請求項9又は10に記載のユーザ認証プロ
グラム。11. The computer receives the received second data as a result of the collation by the utilization confirmation collating means.
Authentication information and the stored second authentication information match, a random number corresponding to the first authentication information and an authentication terminal that is uniquely determined in advance for each trader holding the authentication terminal Third information generating means for generating third authentication information based on the unique information, and usage confirmation transmitting means for transmitting the third authentication information generated by the third information generating means to the authentication terminal. The user authentication program according to claim 9 for causing the program to function.
情報を送信すると、当該送信した第3の認証情報を生成
する際に用いた乱数と、当該乱数と関連付けられている
アクセス情報、第1の認証情報、及び、第2の認証情報
と、を前記認証情報格納手段から削除するリセット手段
と、して更に機能させるための請求項11に記載のユー
ザ認証プログラム。12. When the usage confirmation transmission means transmits the third authentication information to the authentication terminal, the computer associates the random number used in generating the transmitted third authentication information with the random number. The user authentication program according to claim 11, further comprising: resetting means for deleting the access information, the first authentication information, and the second authentication information, which have been set, from the authentication information storing means to further function. .
のユーザ認証プログラムが記録されたことを特徴とする
コンピュータ読取可能な記録媒体。13. A computer-readable recording medium in which the user authentication program according to claim 9 is recorded.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002007586A JP3697212B2 (en) | 2002-01-16 | 2002-01-16 | User authentication system, user authentication method, user authentication program, and computer-readable recording medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002007586A JP3697212B2 (en) | 2002-01-16 | 2002-01-16 | User authentication system, user authentication method, user authentication program, and computer-readable recording medium |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003208408A true JP2003208408A (en) | 2003-07-25 |
| JP3697212B2 JP3697212B2 (en) | 2005-09-21 |
Family
ID=27646067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002007586A Expired - Fee Related JP3697212B2 (en) | 2002-01-16 | 2002-01-16 | User authentication system, user authentication method, user authentication program, and computer-readable recording medium |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3697212B2 (en) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7203481B2 (en) | 2002-02-07 | 2007-04-10 | Sharp Kabushiki Kaisha | Radio communication system with high security level, and communication unit and portable terminal used therefor |
| JP2008152612A (en) * | 2006-12-19 | 2008-07-03 | Hitachi Software Eng Co Ltd | Authentication system and authentication method |
| JP2008217230A (en) * | 2007-03-01 | 2008-09-18 | Shinfuoomu:Kk | Password automatic update system |
| JP2009020783A (en) * | 2007-07-13 | 2009-01-29 | Hitachi Software Eng Co Ltd | Authentication system and authentication method using noncontact ic and personal digital assistant |
| JP2009510644A (en) * | 2005-10-03 | 2009-03-12 | エンキャップ アー エス | Method and configuration for secure authentication |
| JP2014072810A (en) * | 2012-09-28 | 2014-04-21 | Toshiba Corp | Transmission device and communication system |
| US9756040B2 (en) | 2016-01-06 | 2017-09-05 | SSenSton Inc. | User authentication method with enhanced security |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101746102B1 (en) | 2016-04-28 | 2017-06-13 | 주식회사 센스톤 | User authentication method for integrity and security enhancement |
-
2002
- 2002-01-16 JP JP2002007586A patent/JP3697212B2/en not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7203481B2 (en) | 2002-02-07 | 2007-04-10 | Sharp Kabushiki Kaisha | Radio communication system with high security level, and communication unit and portable terminal used therefor |
| JP2009510644A (en) * | 2005-10-03 | 2009-03-12 | エンキャップ アー エス | Method and configuration for secure authentication |
| JP2008152612A (en) * | 2006-12-19 | 2008-07-03 | Hitachi Software Eng Co Ltd | Authentication system and authentication method |
| JP2008217230A (en) * | 2007-03-01 | 2008-09-18 | Shinfuoomu:Kk | Password automatic update system |
| JP4708377B2 (en) * | 2007-03-01 | 2011-06-22 | 株式会社シンフォーム | Automatic password update system |
| JP2009020783A (en) * | 2007-07-13 | 2009-01-29 | Hitachi Software Eng Co Ltd | Authentication system and authentication method using noncontact ic and personal digital assistant |
| JP2014072810A (en) * | 2012-09-28 | 2014-04-21 | Toshiba Corp | Transmission device and communication system |
| US9756040B2 (en) | 2016-01-06 | 2017-09-05 | SSenSton Inc. | User authentication method with enhanced security |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3697212B2 (en) | 2005-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8238555B2 (en) | Management server, communication apparatus and program implementing key allocation system for encrypted communication | |
| US7035442B2 (en) | User authenticating system and method using one-time fingerprint template | |
| US20080120707A1 (en) | Systems and methods for authenticating a device by a centralized data server | |
| US20080120698A1 (en) | Systems and methods for authenticating a device | |
| US20030028493A1 (en) | Personal information management system, personal information management method, and information processing server | |
| US20030204726A1 (en) | Methods and systems for secure transmission of information using a mobile device | |
| CN101517562A (en) | Method for registering and certificating user of one time password by a plurality of mode and computer-readable recording medium where program executing the same method is recorded | |
| WO2021227879A1 (en) | Password recovery method and system, and cloud server and electronic device | |
| JP2021513259A (en) | Biometric template protection key update | |
| JP2001344212A (en) | Method for limiting application of computer file by biometrics information, method for logging in to computer system, and recording medium | |
| US20190288833A1 (en) | System and Method for Securing Private Keys Behind a Biometric Authentication Gateway | |
| JP2006244095A (en) | Personal identification system avoiding leakage of personal information | |
| JP2003208408A (en) | User authentication system, method and program, and computer-readable recording medium | |
| KR20040082674A (en) | System and Method for Authenticating a Living Body Doubly | |
| JPH05298174A (en) | Remote file access system | |
| WO2007060016A2 (en) | Self provisioning token | |
| JP2002366523A (en) | Qualification authentication method using variable authentication information | |
| WO2019234801A1 (en) | Service provision system and service provision method | |
| JP3660306B2 (en) | User authentication system, user authentication method, user authentication program, and computer-readable recording medium | |
| US7010810B2 (en) | Method and apparatus for providing a software agent at a destination host | |
| JP2012515977A (en) | Cybercrime detection prevention method and system established by telephone number code, authorization code and source identification code | |
| JP2004070814A (en) | Server security management method, device and program | |
| TWI695608B (en) | Mobile network address based verification system and method thereof | |
| CN114238915A (en) | Digital certificate adding method and device, computer equipment and storage medium | |
| JP2000207362A (en) | Network system and its user authenticating method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050117 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050228 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050418 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050628 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050701 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080708 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090708 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090708 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100708 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110708 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110708 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120708 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120708 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130708 Year of fee payment: 8 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |