JP2006011673A - 認証装置及び利用者端末及び認証方法 - Google Patents
認証装置及び利用者端末及び認証方法 Download PDFInfo
- Publication number
- JP2006011673A JP2006011673A JP2004185757A JP2004185757A JP2006011673A JP 2006011673 A JP2006011673 A JP 2006011673A JP 2004185757 A JP2004185757 A JP 2004185757A JP 2004185757 A JP2004185757 A JP 2004185757A JP 2006011673 A JP2006011673 A JP 2006011673A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- identification information
- password
- user side
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】 利用者側からのパスワードの入力情報に基づいて認証情報保持物と認証情報を交信して、この交信結果において認証が得られると、上記利用者側に送信する識別情報を生成する識別情報生成部21と、上記識別情報生成部が生成した上記識別情報を保存する識別情報保存部22とを備えて、上記利用者側から2回目以降は、上記識別情報に基づいて上記認証情報保持物と交信して、この識別情報に基づいて認証を行うようにした。
【選択図】 図1
Description
このとき、処理の過程で何回か認証情報を送信することになるので、繰り返し送信の情報を盗聴されて認証情報を不正使用されるという危険がある。この危険に対抗するために、例えば、特許文献1に記載の内容によれば、認証情報を暗号化して送信する方式をとることによって、盗聴された情報から認証情報が露呈する危険性を低減することが提案されている。
また、プログラムにとっては、暗号化された認証情報を送信するためには、利用者に対して認証情報の入力を促すか、認証情報を内部で保存している必要がある。前者の場合、利用者はログインしたままであるのにもかかわらず、その度に認証情報を再入力しなければならず煩雑である。後者の場合、秘密情報が利用者端末に保存されているので、情報漏洩の危険性が増大するという課題もある。
上記識別情報生成部が生成した上記識別情報を保存する識別情報保存部とを備えて、
上記利用者側から2回目以降は、上記識別情報に基づいて上記認証情報保持物と交信して、この識別情報に基づいて認証を行うようにした。
外部からの盗聴に強いスマートカード リーダ・ライタと、利用者端末によるシステムを図によって説明する。
図1は、本発明の実施の形態1における認証システムの構成を示すブロック図である。この認証システムは、耐タンパー性が有る認証情報保持物を認証する認証装置としてのスマートカード リーダ・ライタ20と、これと通信を行う利用者端末10を主要な構成要素としている。そしてスマートカード リーダ・ライタ20は、利用者端末10から送信された認証情報を認証情報保持物であるスマートカードへ送信し、スマートカードで認証された場合に、認証情報と無関係であるランダムな値を持つ識別情報を生成し、認証情報と共に保存し、以降はこの識別情報を使用することを特徴とし、以降に利用者端末から送信された識別情報をキーとして保存された識別情報を検索して、一致するものがある場合に、対応して保存されている認証情報をスマートカードへ送信する。
利用者端末10は内部に演算処理を行い、アプリケーションプログラムを実行するプロセッサ(CPU)14と、識別情報等を記憶するメモリ15と、スマートカード リーダ・ライタ20と通信を行う通信部16と、処理結果等を出力する表示部17と、マウスやキーボードのパスワード等を入力する入力部18と、アプリケーションプログラム11を備えている。アプリケーションプログラム11には、パスワード入力部18から入力されたパスワードを取得する機能、スマートカード リーダ・ライタ20へさまざまなコマンドを送出し、結果を取得する機能が記述されている。
スマートカード30内には、誰でもアクセスできるファイルである公開ファイル31と、認証が成功しているチャネルからのみアクセスを許す秘密ファイル32とが存在している。秘密ファイル32にアクセスするためには、秘密ファイル32に対応する認証ファイル33があって、先ずこの認証ファイル33に対する認証ができなければばならない。認証ができた場合には、スマートカード30に保存されている秘密ファイルの読み書き及び秘密ファイルのデータを秘密鍵として公開鍵暗号の演算などを行なうことができる。
先ず利用者は、初めてスマートカード30内の秘密ファイル32のデータを読み書きする際には、図3の利用者端末におけるフローの「スタート」として、利用者端末10の入力部18からパスワードを入力する。CPU14はアプリケーションプログラム11に従って、S111で秘密ファイル32に対応する認証ファイル33の番号を、例えば予め決められたシーケンスに基づきメモリ15から得る。そしてS112で、上記パスワードと認証ファイル番号をコマンドに載せて通信部16からスマートカード リーダ・ライタ20へ送出する。
スマートカード30はS302でデータ受信を監視して、データがあればS305で受信した認証ファイル番号から認証ファイルを取得する。S306で受信したパスワードと認証ファイル番号を照合し、一致するとS308で一致を、一致しないとS309で不一致を、それぞれスマートカード リーダ・ライタ20に返す。
認証情報保存部22では、図4に例を示すように、識別情報41とパスワード43と残存有効期間44を記録する。例えば、パスワードとしてP=“hogehoge”、認証ファイル番号としてAF=0001をそれぞれ指定して認証が成功した場合に、識別情報生成部21では疑似乱数を用いて識別情報41としてII=1234を生成する。ここで識別情報41を生成するために疑似乱数を用いているが、もちろんスマートカード リーダ・ライタ20のハードウェアが持つ乱数源を利用する真性乱数を用いてもよい。また、必ずしも識別情報41として乱数を用いる必要はないが、攻撃者に、ある識別情報を盗聴された場合に、他の識別情報が推測されないためにはそれぞれの識別情報間に関連性のない値、すなわち乱数を使用することが望ましい。
S113で識別情報を受信した利用者端末10は、S114でそれが正しい認証であることを示す認証結果であれば、S115で受け取った識別情報IIをメモリ15に任意の必要な期間だけ保存し、S116で他の必要な処理を行う。
S307においてスマートカード30での認証ファイル33の認証に失敗した場合には、S309で失敗通知などの必要処理を行って終える。
これはスマートカード リーダ・ライタ20におけるS208での認証失敗の場合も同様であり、S213で失敗通知などの必要処理を行って終える。
この場合、従来のように利用者にパスワードを入力させるのではなく、利用者端末10はアプリケーションプログラム11がメモリ15上に保存しているスマートカード リーダ・ライタ20から受け取った識別情報41をS102で読出し、その情報と認証ファイル33の番号をS103でスマートカード リーダ・ライタ20へ送出する。
スマートカード リーダ・ライタ20はS203で、利用者端末10から受け取った識別情報がパスワードではないのでS203でNoとなって、S204で認証情報保存部22中に保存されている識別情報41を調べてパスワードを取得する。そしてその認証情報と対で保存されているパスワード43と認証ファイル33の番号をスマートカード30へS206で送信し、認証結果が正しければ、利用者端末10のアプリケーションプログラム11へ伝える。なおその際、残存有効期間の値を1つ減らし、結果が0になった場合はその認証情報を破棄する。
なお認証情報を破棄するための条件として、認証情報が登録されてから一定時間以上を経過する、認証情報が最後に使用されてから一定時間以上を経過する、などを用いてもよい。また認証情報を破棄するための条件を設けないこともできる。
こうしてS116で利用者端末10において処理が終わるまで上記動作が繰返される。
スマートカード リーダ・ライタ20は耐タンパー性を持つ。具体的には、認証情報保存部22中に保存されている認証情報は、スマートカード リーダ・ライタ20への電源供給が停止した場合や、スマートカード30を分解しようとした場合には、情報が破棄されて消去される。
パスワードに代えて、個人によって異なる生体情報を入力とするシステムとすることもできる。こうすることにより、利用者の利便性は更に向上する。
本発明の実施の形態2における認証システムの構成を図5に示す。実施の形態1においては、スマートカード30内の認証ファイル33を初めて読み書きする際にパスワードを用いて認証を行うようにした。これに対して本実施の形態では、スマートカード リーダ・ライタ20上の、生体情報の一種である指紋を検出する生体情報検出部としての指紋センサー23から指紋情報を入力して認証を行なう。スマートカード30内には認証ファイル33に対応する指紋ファイル34が存在する。そして入力された指紋情報と指紋ファイル34内のデータを比較した結果、一致していると判断した場合には認証ファイル33を認証状態へと変化させる。
利用者端末10上のアプリケーションプログラム11が、初めてスマートカード30内の秘密ファイル32を読み書きする場合、秘密ファイル32に対応する番号を指定して、スマートカード リーダ・ライタ20に指紋センサー23から入力を行なうためのコマンドを送出する。スマートカード リーダ・ライタ20は、指紋センサー23から指紋を読み取り、秘密ファイル32に対応する番号と共にスマートカード30と交信する。
スマートカード30は、受け取った指紋情報を指紋ファイル34に登録されている指紋情報と比較することにより照合し、照合が成功した場合には認証ファイル33を認証状態へと変化させ、認証成功結果をスマートカード リーダ・ライタ20へと返す。スマートカード リーダ・ライタ20は、識別情報生成部21で識別情報を生成し、識別情報と指紋情報を認証情報保存部22に保存して、利用者端末10上のアプリケーションプログラム11へ認証結果を返す。
また実施の形態1と同様、秘密ファイル32に対して繰り返し読み書きを行なう場合にも、その度ごとに指紋情報を入力することなくスマートカード30に対する認証を行なうことができる。
実施の形態1においては、識別情報41が認証ファイル番号42に対して固定である例を説明した。その場合は利用者端末10において、S116で処理が複数回続く場合に、同一の識別情報41が複数回やり取りされることになる。
本実施の形態では、この識別情報41をシステムとしてやり取り毎に順次変更するようにする。具体的に云うと、最も簡単には識別情報を第3回目には数字を1つ増やした値とする。対応してスマートカード リーダ・ライタ20も認証情報保存部22が保存する識別情報41も、対応して数字を1つ増やした値を保存する。こうすると、次に利用者端末10からの1つ数字が増えた識別情報を受けてS204でパスワードを取得する際に、識別情報が期待値と一致する。
または、識別情報を利用者端末10へ通知する際に、次の交信時に利用する識別情報41を必ず付加して通知し、同時に保存値を通知した値に更新するようにしてもよい。こうすれば識別情報自体が毎回更新時に変り、更に盗聴が困難になる効果がある。
また上記実施の形態1と2では、利用者端末10とスマートカード リーダ・ライタ20は、それぞれハードウェア装置であるとして説明したが、汎用の計算機を使用して、図3の動作機能ステップを組込んだものとしてもよい。
Claims (6)
- 利用者側からのパスワードの入力情報に基づいて認証情報保持物と認証情報を交信して、該交信結果において認証が得られると、上記利用者側に送信する識別情報を生成する識別情報生成部と、
上記識別情報生成部が生成した上記識別情報を保存する識別情報保存部とを備えて、
上記利用者側から2回目以降は、上記識別情報に基づいて上記認証情報保持物と交信して、該識別情報に基づいて認証を行うことを特徴とする認証装置。 - 生体情報を検出する生体情報検出部を備えて、パスワードに代えて該生体情報検出部が検出する情報に基づいて認証情報を交信することを特徴とする請求項1記載の認証装置。
- 識別情報生成部は、利用者側と交信の度に識別情報を更新して送信し、認証情報保存部は該更新後の識別情報を保存することを特徴とする請求項1記載の認証装置。
- 認証情報保持物と交信する認証装置に要求して、該認証情報保持物の読み取りまたは書き込みを要求する利用者側の端末において、
上記認証装置から上記認証情報保持物の認証のためにパスワードを送信して得られる識別情報を保持し、次回以降の認証要求には該保持する識別情報をパスワードに代えて送信することを特徴とする利用者端末。 - 利用者側からのパスワードの入力情報に基づいて認証情報保持物と認証情報を交信して、該交信結果により認証を行う方法において、
上記パスワードの入力により認証情報保持物の認証が得られると、上記利用者側に送信する識別情報を生成する識別情報生成ステップと、
上記識別情報生成ステップで生成した上記識別情報を保存するステップと、
上記識別情報生成ステップで生成した上記識別情報を上記利用者側に送信するステップと、
上記利用者側から2回目以降は、上記識別情報を受信し、該受信した識別情報と上記保存している識別情報とに基づいて上記認証情報保持物と交信して、認証を行うステップ、とを備えたことを特徴とする認証方法。 - 生体情報を検出する生体情報検出ステップを備えて、
パスワードに代えて該生体情報検出ステップが検出する情報に基づいて認証を行うことを特徴とする請求項5記載の認証方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004185757A JP4680538B2 (ja) | 2004-06-24 | 2004-06-24 | 認証装置、利用者端末、認証方法および認証システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004185757A JP4680538B2 (ja) | 2004-06-24 | 2004-06-24 | 認証装置、利用者端末、認証方法および認証システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006011673A true JP2006011673A (ja) | 2006-01-12 |
JP4680538B2 JP4680538B2 (ja) | 2011-05-11 |
Family
ID=35778895
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004185757A Expired - Fee Related JP4680538B2 (ja) | 2004-06-24 | 2004-06-24 | 認証装置、利用者端末、認証方法および認証システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4680538B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013012215A (ja) * | 2012-08-17 | 2013-01-17 | Fuji Xerox Co Ltd | 画像形成装置と認証情報管理方法およびプログラム |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS61194586A (ja) * | 1985-02-25 | 1986-08-28 | Hitachi Ltd | Icカ−ド |
JPH02273886A (ja) * | 1989-04-14 | 1990-11-08 | Omron Corp | Icカード装置 |
JP2000182007A (ja) * | 1998-12-18 | 2000-06-30 | Toshiba Corp | 非接触式データキャリア通信制御システムとその制御方法 |
JP2003256787A (ja) * | 2002-03-05 | 2003-09-12 | Ricoh Co Ltd | 個人認証システム |
-
2004
- 2004-06-24 JP JP2004185757A patent/JP4680538B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS61194586A (ja) * | 1985-02-25 | 1986-08-28 | Hitachi Ltd | Icカ−ド |
JPH02273886A (ja) * | 1989-04-14 | 1990-11-08 | Omron Corp | Icカード装置 |
JP2000182007A (ja) * | 1998-12-18 | 2000-06-30 | Toshiba Corp | 非接触式データキャリア通信制御システムとその制御方法 |
JP2003256787A (ja) * | 2002-03-05 | 2003-09-12 | Ricoh Co Ltd | 個人認証システム |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013012215A (ja) * | 2012-08-17 | 2013-01-17 | Fuji Xerox Co Ltd | 画像形成装置と認証情報管理方法およびプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP4680538B2 (ja) | 2011-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9858401B2 (en) | Securing transactions against cyberattacks | |
TWI724683B (zh) | 電腦實施的用於管理用戶金鑰對的方法、用於管理用戶金鑰對的系統以及用於管理用戶金鑰對的裝置 | |
CN101272237A (zh) | 一种用于自动生成和填写登录信息的方法和系统 | |
WO2020018182A1 (en) | Public-private key pair protected password manager | |
TWI728587B (zh) | 用於安全地執行加密操作的電腦實施的方法、系統及裝置 | |
JP2004266360A (ja) | 認証処理装置及びセキュリティ処理方法 | |
TWI724681B (zh) | 基於身分資訊管理密碼金鑰 | |
JP5489913B2 (ja) | 携帯型情報装置及び暗号化通信プログラム | |
JP4680538B2 (ja) | 認証装置、利用者端末、認証方法および認証システム | |
JP4749017B2 (ja) | 擬似生体認証システム、及び擬似生体認証方法 | |
KR20200137126A (ko) | 생체 정보 등록 장치 및 방법, 생체 인증 장치 및 방법 | |
JP2006323691A (ja) | 認証装置、登録装置、登録方法及び認証方法 | |
JP2007258789A (ja) | エージェント認証システム、エージェント認証方法、及びエージェント認証プログラム | |
JP4626372B2 (ja) | Icカード | |
CN111740840A (zh) | 一种多UKey认证系统、方法、设备及存储介质 | |
JP2007249629A (ja) | 生体情報登録システム | |
JP2007251437A (ja) | 認証方法及び安全な通信制御方法 | |
JP2018037877A (ja) | ワンタイム認証用icカード | |
JP2005311876A (ja) | ネットワーク通信システム、通信装置およびその通信方法 | |
KR20100120835A (ko) | 보안 입력 장치 및 이를 이용한 보안 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070406 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100405 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100511 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100709 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110201 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110203 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140210 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |