JP2004206258A - Multiple authentication system, computer program, and multiple authentication method - Google Patents

Multiple authentication system, computer program, and multiple authentication method Download PDF

Info

Publication number
JP2004206258A
JP2004206258A JP2002372396A JP2002372396A JP2004206258A JP 2004206258 A JP2004206258 A JP 2004206258A JP 2002372396 A JP2002372396 A JP 2002372396A JP 2002372396 A JP2002372396 A JP 2002372396A JP 2004206258 A JP2004206258 A JP 2004206258A
Authority
JP
Japan
Prior art keywords
authentication
server
data
main
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002372396A
Other languages
Japanese (ja)
Other versions
JP4303952B2 (en
Inventor
Yasushi Uejima
靖 上嶌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KOMU SQUARE KK
Comsquare Co Ltd
Original Assignee
KOMU SQUARE KK
Comsquare Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KOMU SQUARE KK, Comsquare Co Ltd filed Critical KOMU SQUARE KK
Priority to JP2002372396A priority Critical patent/JP4303952B2/en
Publication of JP2004206258A publication Critical patent/JP2004206258A/en
Application granted granted Critical
Publication of JP4303952B2 publication Critical patent/JP4303952B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an inexpensive and sure multiple authentication system, computer program and multiple authentication method with high security property. <P>SOLUTION: The multiple authentication system for performing a user authentication, when a user 41 communicates with a server device 21 on a network through a client 10, comprises a cellular phone 40 for transmitting a password of the user with an equipment number, a main authentication server 23 for managing the communication to a server, and a prior authentication server 30 communicable with the cellular phone 40 and the main authentication server 23, respectively. A prior authentication is performed in the prior authentication server 30, and a main authentication is performed in the main authentication server 23. Temporary key data by the prior authentication of the server 30 and temporary main authentication data based on the key data are used, and the generation of the main authentication data is performed separately on the client side and the server side, whereby the security is improved. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は多重認証システム、コンピュータプログラムおよび多重認証方法に関し、ネットワークシステムにおけるセキュリティ確保、アクセス権確認などのために用いられる。
【0002】
【背景技術】
従来、コンピュータシステムやネットワーク、データ通信などの多くの分野で、システムの安全を確保することが求められており、アクセス制限など各種のセキュリティ対策が行われている。
セキュリティ対策の代表的なものとして、システムにログインする際にユーザ本人を確認するためのユーザ認証が行われている。具体的には、本人を識別する識別コード(ID)と、その本人だけが知りうるパスワード(PW)による認証システムが多用されている。
【0003】
一方、ネットワークシステム自体においても、開かれたインターネットに対し、企業内部向けに閉ざされたイントラネットが利用されている。遠隔地のネットワーク接続においては、安全性を考慮して専用線やフレームリレー網が利用されるが、コストの問題などから仮想専用ネットワーク(VPN; Virtual Private Network)が多用されている。
このようなイントラネット上のサーバに対して、パーソナルコンピュータ等を用いたローカルのクライアントからVPNを使用して随時アクセスが行われるが、このようなアクセスにおいても前述のようなID/PW認証が採用されている。
【0004】
しかし、前述のようなID/PW認証では、パスワードの管理や漏洩、盗聴などからセキュリティの確保が難しい。
このため、一般的に重要なデータ・ファイル等にアクセスする場合は、ICカード、指紋認証装置やトークンといった外部装置を使った方法で、個人や端末を特定する方式でセキュリティを確保することがなされている。
近年では、認証用の外部装置として高価な機器を使うのではなく、一般ユーザが所有している携帯電話機を利用するシステムが提案されている(特許文献1、特許文献2など参照)。
【0005】
【特許文献1】
特開2000-10927号公報
【特許文献2】
特開2002-132728号公報
【0006】
特許文献1では、システムにログインするクライアントとは別に、携帯電話機を用いて一時的な識別コードとパスワードの組を設定する。そして、この識別コードとパスワードを用いてクライアントからログインすることで、個人認証を行う。つまり、パスワードが逐次変化するため、固定的なパスワードよりもセキュリティ性の高い認証が可能となる。
【0007】
特許文献2は、特許文献1を発展させ、一時的な識別コードとパスワードの組を携帯電話機に組み込まれたアプリケーションプログラムと、認証システムとの各々で同時に生成し、識別コードとパスワードがネットワークあるいは携帯電話サービス上を流れないようにして漏洩に対して強化を図るものである。
【0008】
【発明が解決しようとする課題】
しかし、前述した特許文献1あるいは特許文献2の方法を用いても、次のような問題がある。
まず、携帯電話が盗難にあった場合、その携帯電話を使って偽ユーザがなりすまして、イントラネット等にアクセスする事が可能である。
また、識別コードおよびパスワードがネットワーク上を全くの平文(つまり暗号化等されていない状態)で行きかうことが危険であると考えられている。すなわち、同じ環境で何度かデータパケットスニーフィングをされた場合、これらの識別コードおよびパスワードが盗み出される可能性が否定できない。
【0009】
一方、特許文献2は、携帯電話機とネットワーク側との各々で一時的な識別コードとパスワードの組を生成するため、盗聴の可能性を少なくできる。しかし、各々のデータ生成が別個であるため、正しく同期した識別コードとパスワードの組にならず、正規のユーザでありながら認証に失敗する可能性がある。また、携帯電話機を拾った第三者がアプリケーションを解析すれば、一時的な識別コードとパスワードの組の生成ロジックが漏洩する可能性がある。
このような背景から、外部クライアントからイントラネット上のサーバーやVPN装置などへの認証手段として、安価で確実かつセキュリティ性の高い認証システムが望まれていた。
【0010】
本発明の目的は、安価で確実かつセキュリティ性の高い多重認証システム、コンピュータプログラムおよび多重認証方法を提供することにある。
【0011】
【課題を解決するための手段】
本発明は、ユーザがクライアントからネットワーク上のサーバに対して通信を行う際に前記ユーザの認証を行うための多重認証システムであって、
前記ユーザの操作により所定のパスワードと自らの固有番号とを送信する携帯情報端末と、前記サーバへの通信を管理する本認証サーバと、前記携帯情報端末および前記本認証サーバの各々と通信可能な事前認証サーバとを有し、
前記事前認証サーバは、前記携帯情報端末から送られたパスワードおよび固有番号から前記ユーザを認証する事前認証部と、前記事前認証部で認証がなされた際に一時的なキーデータを生成するキーデータ生成部と、前記キーデータと前記クライアントの固有番号から所定の手順で一時的な本認証データを生成する本認証データ生成部とを有し、
前記クライアントは、前記事前認証サーバの本認証データ生成部と同じ手順で本認証データを生成する本認証データ生成部を有し、
前記本認証サーバは、前記クライアントから送られる本認証データを前記事前認証サーバで生成された本認証データと照合して前記ユーザを認証する本認証部とを有することを特徴とする。
【0012】
本発明は、ユーザがクライアントからネットワーク上のサーバに対して通信を行う際に前記ユーザの認証を行うための多重認証方法であって、
前記ユーザが利用可能な携帯情報端末と、前記サーバへの通信を管理する本認証サーバと、前記携帯情報端末および前記本認証サーバの各々と通信可能な事前認証サーバとを設置しておき、
前記携帯情報端末に所定のパスワードを入力し、当該パスワードと前記携帯情報端末の固有番号とを送信するとともに、前記事前認証サーバにおいて、前記携帯情報端末からのパスワードおよび固有番号から前記ユーザを認証し、前記認証がなされた際に一時的なキーデータを生成し、前記キーデータと前記クライアントがもつ固有番号より所定の手順で一時的な本認証データを生成する事前認証手順と、
前記クライアントに前記キーデータを入力し、当該キーデータから前記事前認証サーバの本認証データ生成手順と同じ手順で本認証データを生成するとともに、前記本認証サーバにおいて、前記クライアントから送られる本認証データを前記事前認証サーバで生成された本認証データと照合し、これにより前記ユーザを認証する本認証手順と、を有することを特徴とする。
【0013】
この構成においては、携帯情報端末を用いた事前認証と、クライアントからの本認証との二段階で本人確認が行われることになる。そして、事前認証および本認証の各々においては、携帯情報端末の固有番号とクライアントの固有番号を用いる。
このため、通信されるパスワード、キーデータ、本人証データの何れかを盗聴しても、正規の携帯電話機や正規のクライアントを用いない限り、なりすましは困難である。
【0014】
例えば、正規の携帯電話機が第三者の手に渡り、この第三者が正規ユーザになりすまそうとしても、パスワードが解らなければ事前認証を通らない。
例え、パスワードまで解ってキーデータが得られても、正規のクライアントを用いない限り本認証を通過することはできない。
【0015】
更に、キーデータおよび本認証データは逐次変更されるので盗み出しは困難になる。
また、キーデータの生成ロジックは事前認証サーバのみにおかれるので、解析等は困難である。
そして、本認証データは、同じキーデータから同じアルゴリズム等を用いて生成されるため、クライアントと事前認証サーバの各々で確実に同じものを生成できる。
なお、固有番号としては、各々の読み出し専用メモリに記録された機器番号、ソフトウェアのシリアルナンバ、オペレーティングシステムのユーザ登録コード等、クライアントおよび携帯情報端末の各々が特定できる一意的なコードであって通信に乗せられるものであれば任意のものが利用できる。
【0016】
本発明において、前記クライアントおよびサーバはデータ通信網で接続され、前記携帯情報端末と前記事前認証サーバは前記データ通信網とは異なるネットワークを介して接続されていることが望ましい。
この構成では、セキュリティが問題となる公衆回線において、本発明の多重認証を行うことで、本発明の効果を顕著なものとすることができる。
【0017】
本発明において、前記一時的な本認証データはワンタイム識別コードおよびワンタイムパスワードの組であることが望ましい。
この構成では、一時的なデータではあるが既存の認証システムと同様な識別コードおよびパスワードの組を利用するため、既存の認証システムへの導入が容易にできる。
【0018】
本発明において、前記事前認証サーバには予め前記ユーザのパスワードおよび携帯情報端末の固有番号と前記クライアントの固有番号とが記録されており、前記本認証サーバには前記事前認証サーバで生成された本認証データが記録されていることが望ましい。
この構成では、各データを予め登録しておくことで、随時参照することができ、ネットワーク上の通信機会を減らし、安全性を高めることができる。
【0019】
本発明において、前記本認証部で認証がなされた後に、前記本認証データを消去することが望ましい。
この構成では、認証が終わった後、サーバに記録されている本認証データを消去してしまい、盗聴により前記本認証データを用いても認証されないので、盗聴してなりすます等を防止することができ、セキュリティ性を一層高めることができる。
【0020】
【発明の実施の形態】
以下、本発明の一実施形態を図面に基づいて説明する。
図1ないし図3には、企業等のイントラネットに外部からVPN接続するネットワークに本発明を適用した実施形態が示されている。
図1において、外部クライアント10は公衆データ回線90に接続され、同じく公衆データ回線90に接続されたイントラネット20との間でVPN通信91が行えるものである。
イントラネット20は、外部クライアント10からの要求に応じて必要なデータ提供等を行うサーバ装置21と、VPN通信91を行うVPN装置22と、VPN通信91における認証を行う本認証サーバ23とを備えている。
本認証サーバ23は、本発明における本認証サーバであり、本発明に基づいて本認証を実行する本認証部24を備えている。
【0021】
本認証サーバ23と本発明に基づく事前認証サーバ30は互いに公衆データ回線90で接続されている。但し、事前認証サーバ30はイントラネット20内に置かれて本認証サーバ23と接続されるものでもよい。
事前認証サーバ30には、本発明に基づく事前認証を行う事前認証部31と、認証が成立した際にキーデータを生成するキーデータ生成部32と、このキーデータから本認証データを生成する本認証データ生成部33とを備えている。
事前認証サーバ30は、携帯電話回線80を介して携帯電話機40と通信可能である。
【0022】
携帯電話機40は、外部クライアント10を利用するユーザ41が専用する機器であり、本発明の携帯情報端末に相当する。
携帯情報端末としてはノート型パーソナルコンピュータやPDA(Personal Digital Assistant)等と呼ばれる携帯型情報機器などであってもよい。但し、何れもVPN通信91を行う公衆データ回線90とは別の公衆回線等を用いることが望ましい。
以上の構成において本発明の多重認証が実行されるようになっている。以下、より詳細な各部の説明を行う。
【0023】
携帯電話機40は、ユーザ41が所定の事前認証操作を行い、所定のパスワードを入力することで、携帯電話回線80を介して事前認証サーバ30に接続する。携帯電話機40は、ユーザ41が入力したパスワードとともに、自分の固有番号(携帯電話に固有の番号、例えば電話番号など)を事前認証サーバ30に渡し、事前認証処理を要求するようになっている。
【0024】
事前認証サーバ30は、携帯電話機40から送られたパスワードおよび固有番号をユーザ41から受け取ると、事前認証部31により認証を行う。事前認証サーバ30には、予めユーザ41が任意のパスワードと携帯電話機40の固有番号とが登録されている。
事前認証部31は、携帯電話機40の固有番号(あるいはユーザ41の識別コード等でもよい)から、対応するパスワードを参照し、ユーザ41本人の確認を行う。この事前認証の手順は、既存の認証手順に準じるものであればよい。
事前認証部31で認証がなされたら、キーデータ生成部32で一時的なキーデータが生成され、本認証データ生成部33がこのキーデータと予め事前認証サーバ30に登録してある外部クライアント10の固有番号(外部クライアントに固有の番号、例えば内蔵ハードディスクのシリアル番号など)より所定の手順で一時的な本認証データを生成する。
【0025】
本実施形態において、キーデータは携帯電話機40で表示され、これを参照してユーザ41が外部クライアント10からログインを行うことになる。従って、キーデータはユーザ41が写し取るのに容易な英数字および記号で構成されることが望ましい。
本実施形態において、本認証データは、具体的にはワンタイム識別コード(OTI; One Time Identifier)およびワンタイムパスワード(OTP; One Time Password)の組である。システム上では通常の識別コードとパスワードと同様に扱うことが可能であるが、認証の都度変化する一時的な値であることが異なる。
これらのキーデータおよび本認証データの生成には、既存のソフトウェア技術を適宜利用することができる。
【0026】
外部クライアント10は、既存のパーソナルコンピュータ等を利用したものであるが、本発明に基づく本認証データ生成部11を有する。
本認証データ生成部11は、事前認証サーバ30の本認証データ生成部33と同じ手順でキーデータと外部クライアント10の固有番号から本認証データを生成するものである。具体的には、同じアルゴリズムを用いて演算を行えばよい。
【0027】
本認証データ生成部33および本認証データ生成部11において、各々本認証データを生成する際には、キーデータ生成部32で生成されたキーデータとともに、外部クライアント10の固有番号を参照する。
従って、同じキーデータからでも、認証対象となる外部クライアント10が異なる場合には認証は成立しないことになる。つまり、正規のユーザ41が正規の外部クライアント10を用いてログインする場合にのみ、本認証が成立することになる。
【0028】
本認証サーバ23は、本認証部24により、外部クライアント10から送られる本認証データを事前認証サーバ30で生成された本認証データと照合してユーザ41の本認証を行う。
このために、本認証サーバ23には、事前認証サーバ30からの本認証データを記録しておく記録領域が準備されており、事前認証サーバ30は本認証データを生成する都度、この領域に登録するようになっている。そして、本認証部23は、外部クライアント10から本認証データが送られる都度、記録された事前認証サーバ30の本認証データと照合する。
【0029】
あるいは、事前認証サーバ30の本認証データを記録しておくのではなく、外部クライアント10から本認証データが送られた際に、本認証サーバ23が事前認証サーバ30の本認証データを読みに行くようにしてもよい。但し、読み出しにいくよりも、事前に登録しておく前者のほうがセキュリティ上安全といえる。
【0030】
本認証部23で外部クライアント10からのアクセス要求がユーザ41本人からであるとの認証(本認証)がなされた際にVPN装置22に対するアクセスが許可され、VPN通信91を確立する。
なお、本認証サーバ23は、この外部クライアント10の本認証サーバ23での認証が終了した際に、外部クライアント10からの本認証データおよび事前認証サーバ30からの本認証データを何れも消去するように設定されている。
【0031】
以上のような本実施形態では、次のような手順で多重認証を行う。
本システムの利用にあたっては、ユーザ41は事前登録手順を行っておく。そして、ユーザ41が外部クライアント10からイントラネット20にアクセスしたい場合、以下に述べる事前認証手順と本認証手順とを行う(図2および図3参照)。
【0032】
図2において、事前登録手順では、ユーザ41が、事前認証サーバ30ないしは本認証サーバ23に、所定のパスワード、携帯電話機40の固有番号、外部クライアント10の固有番号を登録しておく(図2の処理S01)。この登録は、ネットワークを経由してでもよいし、携帯電話機40からでもよいし、郵送などによりオペレータの手によってもよい。
【0033】
図2において、事前認証手順では、ユーザ41は、携帯電話機40で事前認証操作を行い、所定のパスワードを入力する(処理S11)。携帯電話機40は、入力されたパスワードと自分の固有番号とを事前認証サーバ30に送信する(処理S12)。
【0034】
携帯電話機40からの通信を受けて、事前認証サーバ30は事前認証を行う。すなわち、送られたパスワードおよび携帯電話機40の固有番号と、先にユーザ41が登録したパスワードおよび携帯電話機40の固有番号とを照合し、一致すれば認証成功、不一致であれば認証失敗とする(処理S13)。
【0035】
事前認証が成功した際には、事前認証サーバ30はキーデータを生成し、携帯電話機40に返送する(処理S14)。
携帯電話機40に返送されたキーデータは適宜記録あるいは表示され(処理S15)、ユーザ41は外部クライアント10にログインする際にこれを参照する。
【0036】
事前認証サーバ30においては、キーデータの生成に続いて本認証データであるOTI/OTPの生成がキーデータと外部クライアント10の固有番号より行われ、生成されたOTI/OTPは本認証サーバ23に送信される(処理S16)。
本認証サーバ23に送信されたOTI/OTPは装置内に登録され、本認証で参照されるまで保存される(処理S17)。
【0037】
図3において、本認証手順では、ユーザ41は、外部クライアント10で本認証操作を行い、先に携帯電話機40に返送されたキーデータを入力する(処理S21)。外部クライアント10は、入力されたキーデータと自分の固有番号とからOTI/OTPを生成し、本認証サーバ23に送信する(処理S22)。
【0038】
外部クライアント10からの送信を受けて、本認証サーバ23は本認証を行う。すなわち、送信されたOTI/OTPと、先に登録されている事前認証サーバ30からのOTI/OTPとを照合し、一致すれば認証成功、不一致であれば認証失敗とする(処理S23)。
【0039】
本認証が成功した際には、VPN装置22がアクセス可能になり(処理S24)、これによりサーバ装置21と外部クライアント10との間の通信が開始される(処理S25、S26)。
ユーザ41が外部クライアント10で通信終了の操作を行うと(処理S27)、サーバ装置21での通信も終了する(処理S28)。
本認証サーバ23は通信許可を出した後自らに記録されている外部クライアント10からのOTI/OTPと事前認証サーバ30からのOTI/OTPとをともに消去する。
以上により通信が完了する。
【0040】
このような本実施形態によれば、次のような効果がある。
ユーザ41の本人確認を、携帯電話機40を用いた事前認証と、外部クライアント10からの本認証との二段階で行うことができる。
また、事前認証および本認証の各々においては、携帯電話機40の固有番号と外部クライアント10の固有番号を用いて厳重化が図られる。
このため、通信されるパスワード、キーデータ、本人証データの何れかを盗聴しても、正規の携帯電話機40あるいは正規の外部クライアント10を用いない限り、なりすましは困難であり、セキュリティを確実に高めることができる。
【0041】
例えば、携帯電話機40が第三者の手に渡り、この第三者がユーザ41になりすまそうとしても、パスワードが解らなければ事前認証を通らない。
また、パスワードまで解ってキーデータが得られても、正規の外部クライアント10を用いない限り本認証を通過することはできない。
【0042】
更に、キーデータおよび本認証データは逐次変更されるので盗み出しは困難になる。
また、キーデータの生成ロジックは事前認証サーバ30のみにおかれるので、解析等は困難である。
そして、本認証データは、同じキーデータから同じアルゴリズム等を用いて生成されるため、外部クライアント10と事前認証サーバ30の各々で確実に同じものを生成できる。
【0043】
本実施形態では、携帯情報端末として携帯電話機40を用いるとしたため、普及著しい一般的な携帯電話機を用いることでシステムの導入を容易なものにできる。
【0044】
本実施形態では、一時的な本認証データとしてワンタイム識別コード(OTI)およびワンタイムパスワード(OTP)の組としたため、一時的なデータではあるが既存の認証システムと同様な識別コードおよびパスワードの組を利用することができ、既存の認証システムへの導入が容易にできる。
【0045】
本実施形態では、事前認証サーバ30には予めユーザ41のパスワードおよび携帯情報端末40の固有番号と外部クライアント10の固有番号とを記録しておき、本認証サーバ23には事前認証サーバ30で生成された本認証データ(OTI/OTP)を記録しておくようにしたため、各データを予め登録しておくことで随時参照することができ、ネットワーク上の通信機会を減らし、安全性を高めることができる。
【0046】
本実施形態において、本認証サーバ23は認証が終わり外部クライアント10とサーバ装置21との通信確立後、記録されている本認証データを消去するようにしたため、通信終了後に本認証サーバ23
に記録されている本認証データを盗聴してなりすます等を防止することができ、セキュリティ性を一層高めることができる。
【0047】
なお、本発明は前記実施形態に限定されるものではなく、本発明の目的を達成する範囲での変形等は本発明に含まれるものである。
例えば、携帯情報端末は携帯電話機40に限らず、他のPDAあるいは携帯型パーソナルコンピュータ等でもよい。
【0048】
キーデータは1個に限らず、2個以上の組データとしてもよい。キーデータはいわゆる半角の英数記号に限らず、全角の漢字などであってもよく、セキュリティを高めるための他の手段が適用されていてもよい。このキーコードはユーザ41が操作しやすいように、ユーザ41に親しみのある単語等を組み合わせるもの等であってもよい。
【0049】
本認証データはOTI/OTPの組に限らず、単一のデータであってもよく、ユーザ41を本名で特定してパスワードとして機能するものであってもよく、3つ以上のデータの組合せ等であってもよい。この本認証データに関しても、構成する文字は自由に設定することができる。
【0050】
前記実施形態では、事前認証と本認証との2段階であるとしたが、3段階以上としてもよい。その場合、3段階以上の何れか2段階に本発明に基づく事前認証と本認証とが含まれていればよい。
【0051】
【発明の効果】
以上に述べた通り、本発明によれば、安価で確実かつセキュリティ性の高い多重認証システム、コンピュータプログラムおよび多重認証方法を提供することができる。
【図面の簡単な説明】
【図1】
本発明の一実施形態を示すブロック図である。
【図2】
前記実施形態の事前認証の流れを示すブロック図である。
【図3】
前記実施形態の本認証の流れを示すブロック図である。
【符号の説明】
10 外部クライアント
11 本認証データ生成部
20 イントラネット
21 サーバ装置
22 VPN装置
23 本認証サーバ
24 本認証部
30 事前認証サーバ
31 事前認証部
32 キーデータ生成部
33 本認証データ生成部
40 携帯電話端末である携帯電話機
41 ユーザ
80 携帯電話回線
90 公衆データ回線
91 VPN通信[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a multiple authentication system, a computer program, and a multiple authentication method, and is used for ensuring security in a network system, confirming an access right, and the like.
[0002]
[Background Art]
2. Description of the Related Art Conventionally, in many fields such as computer systems, networks, and data communications, it has been required to ensure system security, and various security measures such as access restrictions have been taken.
As a typical security measure, user authentication for confirming the identity of a user when logging in to a system is performed. Specifically, an authentication system using an identification code (ID) for identifying a person and a password (PW) that only the person can know is frequently used.
[0003]
On the other hand, in the network system itself, an intranet closed to the inside of a company is used for the open Internet. In connection with a remote network, a dedicated line or a frame relay network is used in consideration of security. However, a virtual private network (VPN) is frequently used due to cost problems and the like.
A local client using a personal computer or the like accesses the server on the intranet as needed using a VPN, and the ID / PW authentication as described above is adopted for such access. ing.
[0004]
However, in the ID / PW authentication as described above, it is difficult to secure security due to password management, leakage, eavesdropping, and the like.
For this reason, when accessing generally important data files, security is ensured by a method that uses an external device such as an IC card, fingerprint authentication device, or token to identify individuals or terminals. ing.
In recent years, systems have been proposed that use a mobile phone owned by a general user instead of using expensive equipment as an external device for authentication (see Patent Literatures 1 and 2).
[0005]
[Patent Document 1]
JP 2000-10927 A [Patent Document 2]
JP 2002-132728 A
In Patent Literature 1, a temporary set of an identification code and a password is set using a mobile phone separately from a client that logs in to the system. Then, personal authentication is performed by logging in from the client using the identification code and the password. In other words, since the password changes sequentially, authentication with higher security than a fixed password can be performed.
[0007]
Patent Literature 2 develops Patent Literature 1 and simultaneously generates a set of a temporary identification code and a password in each of an application program incorporated in a mobile phone and an authentication system. This is to prevent leakage on the telephone service and to strengthen against leakage.
[0008]
[Problems to be solved by the invention]
However, even if the method of Patent Literature 1 or Patent Literature 2 described above is used, there are the following problems.
First, when a mobile phone is stolen, a fake user can use the mobile phone to impersonate and access an intranet or the like.
It is also considered dangerous that the identification code and the password pass over the network in plaintext (that is, without encryption). That is, if data packet sniffing is performed several times in the same environment, the possibility that these identification codes and passwords are stolen cannot be denied.
[0009]
On the other hand, in Patent Literature 2, a pair of a temporary identification code and a password is generated on each of the mobile phone and the network side, so that the possibility of eavesdropping can be reduced. However, since each data is generated separately, it is not possible to form a correctly synchronized set of the identification code and the password, and authentication may fail even though the user is a legitimate user. Also, if a third party who picks up the mobile phone analyzes the application, there is a possibility that the logic for generating a temporary set of identification code and password is leaked.
Against this background, an inexpensive, reliable and highly secure authentication system has been desired as a means of authentication from an external client to a server or VPN device on an intranet.
[0010]
An object of the present invention is to provide a multiple authentication system, a computer program, and a multiple authentication method that are inexpensive, reliable, and highly secure.
[0011]
[Means for Solving the Problems]
The present invention is a multiple authentication system for authenticating the user when the user communicates from a client to a server on a network,
A portable information terminal that transmits a predetermined password and its own unique number by an operation of the user, a main authentication server that manages communication with the server, and a portable information terminal that can communicate with each of the portable information terminal and the main authentication server. Having a pre-authentication server,
The pre-authentication server generates a pre-authentication unit that authenticates the user from a password and a unique number sent from the portable information terminal, and generates temporary key data when authentication is performed by the pre-authentication unit. A key data generation unit, comprising a main authentication data generation unit that generates temporary main authentication data in a predetermined procedure from the key data and the unique number of the client,
The client has a main authentication data generation unit that generates main authentication data in the same procedure as the main authentication data generation unit of the pre-authentication server,
The main authentication server includes a main authentication unit that authenticates the user by comparing main authentication data sent from the client with main authentication data generated by the pre-authentication server.
[0012]
The present invention is a multiple authentication method for authenticating the user when the user communicates from a client to a server on a network,
A portable information terminal that can be used by the user, a main authentication server that manages communication with the server, and a pre-authentication server that can communicate with each of the portable information terminal and the main authentication server are installed,
A predetermined password is input to the portable information terminal, the password and a unique number of the portable information terminal are transmitted, and the pre-authentication server authenticates the user from the password and the unique number from the portable information terminal. A pre-authentication procedure of generating temporary key data when the authentication is performed, and generating temporary main authentication data in a predetermined procedure from the key data and a unique number of the client;
The key data is input to the client, the main authentication data is generated from the key data in the same procedure as the main authentication data generation procedure of the pre-authentication server, and the main authentication server sends the main authentication data transmitted from the client. A main authentication procedure for checking data against the main authentication data generated by the pre-authentication server and thereby authenticating the user.
[0013]
In this configuration, personal identification is performed in two stages: pre-authentication using the portable information terminal and main authentication from the client. In each of the pre-authentication and the main authentication, the unique number of the portable information terminal and the unique number of the client are used.
Therefore, even if the password, key data, or personal identification data to be communicated is wiretapped, impersonation is difficult unless a legitimate mobile phone or a legitimate client is used.
[0014]
For example, even if a legitimate mobile phone is handed over to a third party and this third party attempts to impersonate a legitimate user, the user will not pass the pre-authentication unless the password is known.
For example, even if the password is obtained and key data is obtained, it is not possible to pass this authentication unless a legitimate client is used.
[0015]
Further, since the key data and the main authentication data are sequentially changed, stealing becomes difficult.
Also, since the key data generation logic is located only in the pre-authentication server, analysis and the like are difficult.
Since the main authentication data is generated from the same key data by using the same algorithm or the like, the client and the pre-authentication server can surely generate the same data.
Note that the unique number is a unique code that can be specified by each of the client and the portable information terminal, such as a device number recorded in each read-only memory, a serial number of software, a user registration code of an operating system, and the like. Anything can be used as long as it can be put on the.
[0016]
In the present invention, it is preferable that the client and the server are connected via a data communication network, and the portable information terminal and the pre-authentication server are connected via a network different from the data communication network.
In this configuration, the effect of the present invention can be made remarkable by performing the multiple authentication of the present invention on a public line in which security is a problem.
[0017]
In the present invention, it is preferable that the temporary main authentication data is a set of a one-time identification code and a one-time password.
In this configuration, since a set of an identification code and a password similar to that of the existing authentication system is used although it is temporary data, introduction to the existing authentication system can be easily performed.
[0018]
In the present invention, the password of the user, the unique number of the portable information terminal, and the unique number of the client are recorded in advance in the pre-authentication server, and the pre-authentication server generates the password in the pre-authentication server. It is desirable that this authentication data is recorded.
In this configuration, by registering each data in advance, it is possible to refer to it at any time, and it is possible to reduce communication opportunities on the network and increase security.
[0019]
In the present invention, it is preferable that the main authentication data is deleted after the main authentication unit performs authentication.
In this configuration, after the authentication is completed, the main authentication data recorded on the server is erased, and even if the main authentication data is used by eavesdropping, the main authentication data is not authenticated. Thus, security can be further improved.
[0020]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
FIGS. 1 to 3 show an embodiment in which the present invention is applied to a network for externally connecting to an intranet of a company or the like by VPN.
In FIG. 1, an external client 10 is connected to a public data line 90, and can perform VPN communication 91 with an intranet 20 also connected to the public data line 90.
The intranet 20 includes a server device 21 that provides necessary data in response to a request from the external client 10, a VPN device 22 that performs VPN communication 91, and a full authentication server 23 that performs authentication in the VPN communication 91. I have.
The main authentication server 23 is the main authentication server in the present invention, and includes a main authentication unit 24 that performs main authentication based on the present invention.
[0021]
The main authentication server 23 and the pre-authentication server 30 based on the present invention are connected to each other via a public data line 90. However, the pre-authentication server 30 may be located in the intranet 20 and connected to the main authentication server 23.
The pre-authentication server 30 includes a pre-authentication unit 31 that performs pre-authentication based on the present invention, a key data generation unit 32 that generates key data when authentication is established, and a pre-authentication unit that generates main authentication data from the key data. An authentication data generation unit 33 is provided.
The pre-authentication server 30 can communicate with the mobile phone 40 via the mobile phone line 80.
[0022]
The mobile phone 40 is a device dedicated to the user 41 who uses the external client 10, and corresponds to the mobile information terminal of the present invention.
The portable information terminal may be a notebook type personal computer, a portable information device called a PDA (Personal Digital Assistant), or the like. However, it is desirable to use a public line different from the public data line 90 for performing the VPN communication 91.
In the above configuration, the multiple authentication of the present invention is performed. Hereinafter, each part will be described in more detail.
[0023]
The mobile phone 40 connects to the pre-authentication server 30 via the mobile phone line 80 when the user 41 performs a predetermined pre-authentication operation and inputs a predetermined password. The mobile phone 40 passes its own unique number (a number unique to the mobile phone, for example, a telephone number) together with the password input by the user 41 to the pre-authentication server 30 and requests a pre-authentication process.
[0024]
When the pre-authentication server 30 receives the password and the unique number sent from the mobile phone 40 from the user 41, the pre-authentication unit 31 performs authentication. In the pre-authentication server 30, an arbitrary password and a unique number of the mobile phone 40 are registered in advance by the user 41.
The pre-authentication unit 31 refers to the corresponding password from the unique number of the mobile phone 40 (or the identification code of the user 41 or the like) and confirms the user 41 himself / herself. The procedure of the pre-authentication may be in accordance with the existing authentication procedure.
When the authentication is performed by the pre-authentication unit 31, temporary key data is generated by the key data generation unit 32, and the authentication data generation unit 33 transmits the key data and the key data of the external client 10 registered in the pre-authentication server 30 in advance. A temporary main authentication data is generated in a predetermined procedure from a unique number (a number unique to an external client, for example, a serial number of a built-in hard disk).
[0025]
In the present embodiment, the key data is displayed on the mobile phone 40, and the user 41 logs in from the external client 10 with reference to the key data. Therefore, it is desirable that the key data be composed of alphanumeric characters and symbols that are easy for the user 41 to copy.
In the present embodiment, the authentication data is specifically a set of a one-time identification code (OTI) and a one-time password (OTP). Although it can be handled in the system in the same way as a normal identification code and password, it is different in that it is a temporary value that changes each time authentication is performed.
Existing software technology can be appropriately used to generate the key data and the main authentication data.
[0026]
The external client 10 uses an existing personal computer or the like, and has a main authentication data generation unit 11 based on the present invention.
The main authentication data generation unit 11 generates main authentication data from the key data and the unique number of the external client 10 in the same procedure as the main authentication data generation unit 33 of the pre-authentication server 30. Specifically, the calculation may be performed using the same algorithm.
[0027]
When the main authentication data is generated by the main authentication data generator 33 and the main authentication data generator 11, the unique number of the external client 10 is referred to together with the key data generated by the key data generator 32.
Therefore, even if the same key data is used, if the external client 10 to be authenticated is different, the authentication is not established. That is, only when the legitimate user 41 logs in using the legitimate external client 10, the main authentication is established.
[0028]
The main authentication server 23 performs the main authentication of the user 41 by comparing the main authentication data sent from the external client 10 with the main authentication data generated by the pre-authentication server 30 by the main authentication unit 24.
For this purpose, the main authentication server 23 is provided with a recording area for recording the main authentication data from the pre-authentication server 30, and the pre-authentication server 30 registers the main authentication data in this area every time the main authentication data is generated. It is supposed to. Then, every time the main authentication data is sent from the external client 10, the main authentication unit 23 checks the main authentication data against the recorded main authentication data of the pre-authentication server 30.
[0029]
Alternatively, instead of recording the main authentication data of the pre-authentication server 30, when the main authentication data is sent from the external client 10, the main authentication server 23 goes to read the main authentication data of the pre-authentication server 30. You may do so. However, it can be said that the former, which is registered in advance, is more secure than reading.
[0030]
When the main authentication unit 23 authenticates (main authentication) that the access request from the external client 10 is from the user 41 himself, access to the VPN device 22 is permitted, and the VPN communication 91 is established.
When the authentication of the external client 10 by the main authentication server 23 is completed, the main authentication server 23 deletes both the main authentication data from the external client 10 and the main authentication data from the pre-authentication server 30. Is set to
[0031]
In the present embodiment as described above, multiple authentication is performed in the following procedure.
In using this system, the user 41 performs a pre-registration procedure. When the user 41 wants to access the intranet 20 from the external client 10, the following pre-authentication procedure and main authentication procedure are performed (see FIGS. 2 and 3).
[0032]
2, in the pre-registration procedure, a user 41 registers a predetermined password, a unique number of the mobile phone 40, and a unique number of the external client 10 in the pre-authentication server 30 or the main authentication server 23 (see FIG. 2). Process S01). This registration may be performed via a network, from the mobile phone 40, or by an operator by mail or the like.
[0033]
2, in the pre-authentication procedure, the user 41 performs a pre-authentication operation on the mobile phone 40 and inputs a predetermined password (process S11). The mobile phone 40 transmits the input password and its own unique number to the pre-authentication server 30 (process S12).
[0034]
Upon receiving the communication from the mobile phone 40, the pre-authentication server 30 performs pre-authentication. That is, the transmitted password and the unique number of the mobile phone 40 are compared with the password registered by the user 41 and the unique number of the mobile phone 40, and if they match, the authentication is successful, and if they do not match, the authentication fails ( Processing S13).
[0035]
When the pre-authentication is successful, the pre-authentication server 30 generates key data and returns it to the mobile phone 40 (process S14).
The key data returned to the mobile phone 40 is appropriately recorded or displayed (process S15), and the user 41 refers to the key data when logging in to the external client 10.
[0036]
In the pre-authentication server 30, following the generation of the key data, the OTI / OTP which is the main authentication data is generated based on the key data and the unique number of the external client 10, and the generated OTI / OTP is transmitted to the main authentication server 23. It is transmitted (process S16).
The OTI / OTP transmitted to the main authentication server 23 is registered in the device and stored until it is referred to in the main authentication (process S17).
[0037]
In FIG. 3, in the main authentication procedure, the user 41 performs the main authentication operation with the external client 10, and inputs the key data returned to the mobile phone 40 first (process S21). The external client 10 generates an OTI / OTP from the input key data and its own unique number, and transmits the OTI / OTP to the main authentication server 23 (process S22).
[0038]
Upon receiving the transmission from the external client 10, the main authentication server 23 performs the main authentication. That is, the transmitted OTI / OTP is compared with the previously registered OTI / OTP from the pre-authentication server 30. If they match, the authentication is successful, and if they do not match, the authentication fails (step S23).
[0039]
When the authentication is successful, the VPN device 22 becomes accessible (process S24), and thereby the communication between the server device 21 and the external client 10 is started (process S25, S26).
When the user 41 performs an operation of terminating communication with the external client 10 (step S27), the communication with the server device 21 is also terminated (step S28).
After issuing the communication permission, the authentication server 23 erases both the OTI / OTP from the external client 10 and the OTI / OTP from the pre-authentication server 30 that are recorded therein.
Thus, the communication is completed.
[0040]
According to this embodiment, the following effects can be obtained.
The identification of the user 41 can be performed in two stages: pre-authentication using the mobile phone 40 and authentic authentication from the external client 10.
Further, in each of the pre-authentication and the main authentication, strictness is achieved by using the unique number of the mobile phone 40 and the unique number of the external client 10.
Therefore, even if the password, key data, or personal identification data to be communicated is intercepted, it is difficult to impersonate unless the legitimate mobile phone 40 or the legitimate external client 10 is used. be able to.
[0041]
For example, even if the mobile phone 40 is handed over to a third party and this third party attempts to impersonate the user 41, the user does not pass the pre-authentication unless the password is known.
Further, even if the key data is obtained by solving the password, it is not possible to pass the main authentication unless the authorized external client 10 is used.
[0042]
Further, since the key data and the main authentication data are sequentially changed, stealing becomes difficult.
In addition, since the key data generation logic is located only in the pre-authentication server 30, analysis is difficult.
Since the main authentication data is generated from the same key data using the same algorithm or the like, the same data can be reliably generated by each of the external client 10 and the pre-authentication server 30.
[0043]
In the present embodiment, since the mobile phone 40 is used as the mobile information terminal, the introduction of the system can be facilitated by using a general mobile phone which is widely spread.
[0044]
In the present embodiment, since the one-time identification code (OTI) and the one-time password (OTP) are used as a set of temporary main authentication data, the data is temporary data, but the same identification code and password of the existing authentication system are used. A pair can be used, and it can be easily introduced into an existing authentication system.
[0045]
In the present embodiment, the password of the user 41, the unique number of the portable information terminal 40, and the unique number of the external client 10 are recorded in the pre-authentication server 30 in advance, and the pre-authentication server 30 Because the authenticated data (OTI / OTP) is recorded, it is possible to refer to it at any time by registering each data in advance, reducing the chance of communication on the network and improving security. it can.
[0046]
In the present embodiment, the main authentication server 23 deletes the main authentication data recorded after the authentication is completed and the communication between the external client 10 and the server device 21 is established.
Can be prevented from eavesdropping on the authentication data recorded in the authentication data, and the security can be further improved.
[0047]
It should be noted that the present invention is not limited to the above-described embodiment, and modifications and the like within the scope of achieving the object of the present invention are included in the present invention.
For example, the portable information terminal is not limited to the mobile phone 40, but may be another PDA or a portable personal computer.
[0048]
The key data is not limited to one, and may be two or more sets of data. The key data is not limited to so-called half-width alphanumeric symbols, but may be full-width kanji, or other means for enhancing security may be applied. The key code may be a combination of words or the like familiar to the user 41 so that the user 41 can easily operate the key code.
[0049]
The authentication data is not limited to the OTI / OTP pair, and may be a single data, may be a data that specifies the user 41 by real name and functions as a password, a combination of three or more data, or the like. It may be. Regarding the main authentication data, the characters constituting the main authentication data can be freely set.
[0050]
In the above-described embodiment, the pre-authentication and the main authentication are performed in two stages, but may be performed in three or more stages. In that case, any two of the three or more stages may include the pre-authentication and the main authentication based on the present invention.
[0051]
【The invention's effect】
As described above, according to the present invention, a multiple authentication system, a computer program, and a multiple authentication method that are inexpensive, reliable, and highly secure can be provided.
[Brief description of the drawings]
FIG.
It is a block diagram showing one embodiment of the present invention.
FIG. 2
It is a block diagram showing a flow of pre-authentication of the above-mentioned embodiment.
FIG. 3
It is a block diagram showing the flow of this attestation of the above-mentioned embodiment.
[Explanation of symbols]
Reference Signs List 10 external client 11 main authentication data generation unit 20 intranet 21 server device 22 VPN device 23 main authentication server 24 main authentication unit 30 pre-authentication server 31 pre-authentication unit 32 key data generation unit 33 main authentication data generation unit 40 Mobile phone terminal Cellular phone 41 User 80 Cellular phone line 90 Public data line 91 VPN communication

Claims (7)

ユーザがクライアントからネットワーク上のサーバに対して通信を行う際に前記ユーザの認証を行うための多重認証システムであって、
前記ユーザの操作により所定のパスワードと自らの固有番号とを送信する携帯情報端末と、前記サーバへの通信を管理する本認証サーバと、前記携帯情報端末および前記本認証サーバの各々と通信可能な事前認証サーバとを有し、
前記事前認証サーバは、前記携帯情報端末から送られたパスワードおよび固有番号から前記ユーザを認証する事前認証部と、前記事前認証部で認証がなされた際に一時的なキーデータを生成するキーデータ生成部と、前記キーデータと前記クライアントがもつ固有番号より所定の手順で一時的な本認証データを生成する本認証データ生成部とを有し、
前記クライアントは、前記事前認証サーバの本認証データ生成部と同じ手順で本認証データを生成する本認証データ生成部を有し、
前記本認証サーバは、前記クライアントから送られる本認証データを前記事前認証サーバで生成された本認証データと照合して前記ユーザを認証する本認証部とを有することを特徴とする多重認証システム。A multiple authentication system for authenticating the user when the user communicates from a client to a server on a network,
A portable information terminal that transmits a predetermined password and its own unique number by an operation of the user, a main authentication server that manages communication with the server, and a portable information terminal that can communicate with each of the portable information terminal and the main authentication server. Having a pre-authentication server,
The pre-authentication server generates a pre-authentication unit that authenticates the user from a password and a unique number sent from the portable information terminal, and generates temporary key data when authentication is performed by the pre-authentication unit. A key data generation unit, and a main authentication data generation unit that generates temporary main authentication data in a predetermined procedure from the key data and a unique number of the client,
The client has a main authentication data generation unit that generates main authentication data in the same procedure as the main authentication data generation unit of the pre-authentication server,
A multi-authentication system, comprising: a main authentication unit for authenticating the user by comparing the main authentication data sent from the client with the main authentication data generated by the pre-authentication server. . 請求項1に記載した多重認証システムにおいて、前記クライアントおよび前記サーバはデータ通信網で接続され、前記携帯情報端末と前記事前認証サーバは前記データ通信網とは異なるネットワークを介して接続されていることを特徴とする多重認証システム。2. The multiple authentication system according to claim 1, wherein the client and the server are connected by a data communication network, and the portable information terminal and the pre-authentication server are connected via a network different from the data communication network. A multi-authentication system characterized in that: 請求項1または請求項2に記載した多重認証システムにおいて、前記一時的な本認証データはワンタイム識別コードおよびワンタイムパスワードの組であることを特徴とする多重認証システム。3. The multiple authentication system according to claim 1, wherein said temporary temporary authentication data is a set of a one-time identification code and a one-time password. 請求項1から請求項3までの何れかに記載した多重認証システムにおいて、前記事前認証サーバには予め前記ユーザのパスワードおよび携帯情報端末の固有番号と前記クライアントの固有番号とが記録されており、前記本認証サーバには前記事前認証サーバで生成された本認証データが記録されていることを特徴とする多重認証システム。In the multiple authentication system according to any one of claims 1 to 3, the pre-authentication server pre-records a password of the user, a unique number of a portable information terminal, and a unique number of the client. A multi-authentication system, wherein the main authentication server records the main authentication data generated by the pre-authentication server. 請求項1から請求項4までの何れかに記載した多重認証システムにおいて、前記本認証部で認証がなされた後に、前記本認証データを消去することを特徴とする多重認証システム。5. The multiple authentication system according to claim 1, wherein the main authentication data is deleted after the main authentication unit performs authentication. 6. 請求項1から請求項5までの何れかに記載した多重認証システムをコンピュータシステム上に実現するコンピュータプログラム。A computer program for realizing a multiple authentication system according to any one of claims 1 to 5 on a computer system. ユーザがクライアントからネットワーク上のサーバに対して通信を行う際に前記ユーザの認証を行うための多重認証方法であって、
前記ユーザが利用可能な携帯情報端末と、前記サーバへの通信を管理する本認証サーバと、前記携帯情報端末および前記本認証サーバの各々と通信可能な事前認証サーバとを設置しておき、
前記携帯情報端末に所定のパスワードを入力し、当該パスワードと前記携帯情報端末の固有番号とを送信するとともに、前記事前認証サーバにおいて、前記携帯情報端末からのパスワードおよび固有番号から前記ユーザを認証し、前記認証がなされた際に一時的なキーデータを生成し、前記キーデータと前記クライアントがもつ固有番号より所定の手順で一時的な本認証データを生成する事前認証手順と、
前記クライアントに前記キーデータを入力し、当該キーデータから前記事前認証サーバの本認証データ生成手順と同じ手順で本認証データを生成するとともに、
前記本認証サーバにおいて、前記クライアントから送られる本認証データを前記事前認証サーバで生成された本認証データと照合し、これより前記ユーザを認証する本認証手順とを有することを特徴とする多重認証方法。A multiple authentication method for authenticating the user when the user communicates from a client to a server on a network,
A portable information terminal that can be used by the user, a main authentication server that manages communication with the server, and a pre-authentication server that can communicate with each of the portable information terminal and the main authentication server are installed,
A predetermined password is input to the portable information terminal, the password and a unique number of the portable information terminal are transmitted, and the pre-authentication server authenticates the user from the password and the unique number from the portable information terminal. A pre-authentication procedure of generating temporary key data when the authentication is performed, and generating temporary main authentication data in a predetermined procedure from the key data and a unique number of the client;
The key data is input to the client, and the main authentication data is generated from the key data in the same procedure as the main authentication data generation procedure of the pre-authentication server,
The authenticating server checks the authenticated data sent from the client with the authenticated data generated by the pre-authentication server, and authenticates the user based on the authenticated data. Authentication method.
JP2002372396A 2002-12-24 2002-12-24 Multiple authentication system, computer program, and multiple authentication method Expired - Fee Related JP4303952B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002372396A JP4303952B2 (en) 2002-12-24 2002-12-24 Multiple authentication system, computer program, and multiple authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002372396A JP4303952B2 (en) 2002-12-24 2002-12-24 Multiple authentication system, computer program, and multiple authentication method

Publications (2)

Publication Number Publication Date
JP2004206258A true JP2004206258A (en) 2004-07-22
JP4303952B2 JP4303952B2 (en) 2009-07-29

Family

ID=32811013

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002372396A Expired - Fee Related JP4303952B2 (en) 2002-12-24 2002-12-24 Multiple authentication system, computer program, and multiple authentication method

Country Status (1)

Country Link
JP (1) JP4303952B2 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008118278A (en) * 2006-11-01 2008-05-22 Ricoh Co Ltd Remote management system
JP2010026988A (en) * 2008-07-24 2010-02-04 Nec Computertechno Ltd Authentication device and authentication method, program, and authentication system
JP2010525471A (en) * 2007-04-27 2010-07-22 インターナショナル・ビジネス・マシーンズ・コーポレーション Stepwise authentication system
WO2011037226A1 (en) * 2009-09-28 2011-03-31 日本ユニシス株式会社 Access control system, authentication server system, and access control program
JP2011077769A (en) * 2009-09-30 2011-04-14 Fujifilm Corp Vpn system and operation control method thereof
KR101337447B1 (en) 2012-03-22 2013-12-05 (주)네오위즈게임즈 Method and server for authenticatiing user in onlie game
US8713665B2 (en) 2007-06-19 2014-04-29 International Business Machines Corporation Systems, methods, and media for firewall control via remote system information
JP2018525947A (en) * 2015-08-31 2018-09-06 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited Confirmation information update method and apparatus

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4745939B2 (en) * 2006-11-01 2011-08-10 株式会社リコー Remote management system
JP2008118278A (en) * 2006-11-01 2008-05-22 Ricoh Co Ltd Remote management system
US8726347B2 (en) 2007-04-27 2014-05-13 International Business Machines Corporation Authentication based on previous authentications
JP2010525471A (en) * 2007-04-27 2010-07-22 インターナショナル・ビジネス・マシーンズ・コーポレーション Stepwise authentication system
US9094393B2 (en) 2007-04-27 2015-07-28 International Business Machines Corporation Authentication based on previous authentications
US9686262B2 (en) 2007-04-27 2017-06-20 International Business Machines Corporation Authentication based on previous authentications
US8713665B2 (en) 2007-06-19 2014-04-29 International Business Machines Corporation Systems, methods, and media for firewall control via remote system information
JP2010026988A (en) * 2008-07-24 2010-02-04 Nec Computertechno Ltd Authentication device and authentication method, program, and authentication system
WO2011037226A1 (en) * 2009-09-28 2011-03-31 日本ユニシス株式会社 Access control system, authentication server system, and access control program
JP2011070513A (en) * 2009-09-28 2011-04-07 Nippon Yunishisu Kk Access control system, authentication server system, and access control program
JP2011077769A (en) * 2009-09-30 2011-04-14 Fujifilm Corp Vpn system and operation control method thereof
KR101337447B1 (en) 2012-03-22 2013-12-05 (주)네오위즈게임즈 Method and server for authenticatiing user in onlie game
JP2018525947A (en) * 2015-08-31 2018-09-06 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited Confirmation information update method and apparatus
US10880306B2 (en) 2015-08-31 2020-12-29 Alibaba Group Holding Limited Verification information update

Also Published As

Publication number Publication date
JP4303952B2 (en) 2009-07-29

Similar Documents

Publication Publication Date Title
AU2016217549B2 (en) Systems and methods for securely managing biometric data
CN101350723B (en) USB Key equipment and method for implementing verification thereof
JP7083892B2 (en) Mobile authentication interoperability of digital certificates
CN110149328B (en) Interface authentication method, device, equipment and computer readable storage medium
US8689013B2 (en) Dual-interface key management
KR101198120B1 (en) Iris information based 3-factor user authentication method for otp generation and secure two way authentication system of wireless communication device authentication using otp
US20080120698A1 (en) Systems and methods for authenticating a device
CN108684041A (en) The system and method for login authentication
US20080120707A1 (en) Systems and methods for authenticating a device by a centralized data server
KR102265788B1 (en) Multi-security authentication system and method between blockchain-based mobile terminals and IoT devices
US20020112183A1 (en) Apparatus and method for authenticating access to a network resource
KR100548638B1 (en) Creating and authenticating one time password using smartcard and the smartcard therefor
JPWO2007094165A1 (en) Identification system and program, and identification method
US10263782B2 (en) Soft-token authentication system
JP2009510644A (en) Method and configuration for secure authentication
JP2008538146A (en) Architecture for privacy protection of biometric templates
CN107113613B (en) Server, mobile terminal, network real-name authentication system and method
JP7309261B2 (en) Authentication method for biometric payment device, authentication device for biometric payment device, computer device, and computer program
CN108965222A (en) Identity identifying method, system and computer readable storage medium
JP4698751B2 (en) Access control system, authentication server system, and access control program
US8635454B2 (en) Authentication systems and methods using a packet telephony device
JP3860280B2 (en) Communication system, IC card issuance registration system, key code generation device, and recording medium
CN108667801A (en) A kind of Internet of Things access identity safety certifying method and system
JPH10336172A (en) Managing method of public key for electronic authentication
WO2010048350A1 (en) Card credential method and system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050926

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20070816

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080909

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090414

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090427

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120501

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120501

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130501

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees