JP2006146327A - 個人認証方法、装置及びプログラム - Google Patents
個人認証方法、装置及びプログラム Download PDFInfo
- Publication number
- JP2006146327A JP2006146327A JP2004331944A JP2004331944A JP2006146327A JP 2006146327 A JP2006146327 A JP 2006146327A JP 2004331944 A JP2004331944 A JP 2004331944A JP 2004331944 A JP2004331944 A JP 2004331944A JP 2006146327 A JP2006146327 A JP 2006146327A
- Authority
- JP
- Japan
- Prior art keywords
- user
- random number
- character string
- authentication
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Images
Abstract
【課題】比較的簡単な構成により、他人に容易に暗証番号を知られることなく、確実にユーザ本人を認証することができる個人認証方法を提供する。
【解決手段】認証対象のユーザからのユーザIDの入力に応答してランダム数字を生成するステップと、前記ユーザから入力される第1暗証番号とランダム数字とから特定の計算方法により算出される第1文字列を取得するステップと、複数のユーザIDに対応付けて第2暗証番号を記憶した記憶手段よりユーザからのユーザIDに対応する一つの第2暗証番号を読み出すステップと、読み出された第2暗証番号と第2ランダム数字とから計算方法により第2文字列を算出するステップと、第1文字列と第2文字列とを比較することにより、ユーザの認証を行うステップとを具備する。
【選択図】 図4
【解決手段】認証対象のユーザからのユーザIDの入力に応答してランダム数字を生成するステップと、前記ユーザから入力される第1暗証番号とランダム数字とから特定の計算方法により算出される第1文字列を取得するステップと、複数のユーザIDに対応付けて第2暗証番号を記憶した記憶手段よりユーザからのユーザIDに対応する一つの第2暗証番号を読み出すステップと、読み出された第2暗証番号と第2ランダム数字とから計算方法により第2文字列を算出するステップと、第1文字列と第2文字列とを比較することにより、ユーザの認証を行うステップとを具備する。
【選択図】 図4
Description
本発明は、ユーザのみが使用する暗証番号を他人に知られることなくユーザ本人を認証する認証方法、装置及びプログラムに関する。
近年、いわゆるピッキングなどにより家に置いてある銀行通帳が本人の知らぬ間に盗まれ、勝手に銀行から預金を下ろされるといった犯罪や、クレジットカード自体またはクレジットカードの情報のみが盗まれ、本人の知らぬ間にクレジットカードを悪用されるといった犯罪が急増している。このような犯罪は、預金を下ろすときに必要な暗証番号や、クレジットカード情報及び暗証番号が他人に容易に知られてしまうことが大きな原因となっている。現在、このような犯罪を防止するために、金融窓口などでは低コストで信頼性の高い本人確認を行う個人認証手段が望まれており、クレジットカードの情報を取得する店舗などにおいても、ユーザのクレジットカード情報や暗証番号が盗まれないようなシステムが望まれている。
現在、ATM(Automatic Tellers Machine)では預金口座への本人確認をタッチパネルなどによる暗証番号の入力で行っている。また、クレジットカードで買い物をする際に本人確認を行う場合を想定すると、店内もしくはレジの前で暗証番号をキーボード入力もしくは音声入力することが予想される。これらの場合、他人に暗証番号を知られてしまう可能性がある。銀行、証券会社などの窓口における本人確認を行う際にも、他人に暗証番号を知られてしまう可能性が高い。
また、現在では携帯電話に保存されている暗証番号を検索するソフトウェアが出現しており、このようなソフトウェアを用いて他人による携帯電話の不正使用や個人情報が盗まれるなどの危険性がある。携帯電話の暗証番号と銀行口座の暗証番号に同じ番号を利用しているユーザも多く、暗証番号の厳重なセキュリティが求められている。
セキュリティ面の安全性を向上させるという観点から、本人か否かを判定する最も有力な個人認証方法として、バイオメトリクス認証(指紋、顔、音声などの情報を用いた認証)が存在する。バイオメトリクス認証は、第3者が真似をするのが難しい情報を用いて認証を行うため安全性が高い。指紋認証は、セキュリティ上の安全性は高いが、高価な指紋認証専用の機器を使うため、すべての店への導入にはコスト面で難しい。音声を使った話者認証は指紋認証に比べると低コストで実現可能であるが、識別性能の面で問題が残る。
例えば、特許文献1(特開2001−222295号公報)では、音声入力を指示されてから識別情報が音声入力されるまでの時間情報を用いて、登録されている時間通りに音声入力されたかどうかを判定することにより、セキュリティ面を向上させる技術が記載されている。
また、特許文献2(特開2002−311992号公報)では、秘密の記号列を音声で入力し、音声認識の結果を基に発声者が本人かどうかを判定する話者認証方法において、各記号の種別と色の種別をランダムに対応付け、各記号を対応する色で表示し、秘密の記号列の各記号を前記表示された色名を音声入力するよう指示し、利用者が発声した色名を順次認識して記号列に変換し、この記号列を予め登録された記号列と比較して、一致がとれると当該利用者を本人であると判定することを特徴とした技術が記載されている。
特開2001−222295号公報
特開2002−311992号公報
特許文献1の手法では、発声時間によりセキュリティの向上を図っている反面、不正使用者が隣で録音を行うことにより、秘密の記号列と発声時間を解析し、それらの情報をユーザの知らないところで使用されしまう可能性があるという問題点があった。
一方、特許文献2の手法では、記号に対応する色がランダムに表示されるため、不正使用者が利用者の近くで録音を行ったとしても、秘密の記号列が第三者に解読されることがないため、不正利用ができない。しかし、銀行のATMなどでこのような表示を行うことは可能であっても、バイオメトリクス認証を利用した装置は高価であり、非常にコストがかかってしまうという問題点がある。更に、このようなバイオメトリクス認証を行う場合、事前に本人情報の登録、設定に時間や手間がかかってしまうという問題点があった。
一方、ワンタイムパスワードによる個人認証では、携帯電話とクレジットカードが盗まれた場合、携帯電話に送られてきたワンタイムパスワードにより、なりすましによる認証が行われる危険性があるという問題点があった。
従って、本発明の目的は、比較的簡単な構成により、他人に容易に暗証番号を知られることなく、確実にユーザ本人を認証することができる個人認証方法、装置及びプログラムを提供することにある。
上記課題を解決するために、本発明の一つの観点では、認証対象のユーザからのユーザIDの入力に応答してランダム数字を生成するステップと、ユーザから入力される第1暗証番号とランダム数字とから特定の計算方法により算出される第1文字列を取得するステップと、複数のユーザIDに対応付けて第2暗証番号を記憶した記憶手段よりユーザからのユーザIDに対応する一つの第2暗証番号を読み出すステップと、読み出された第2暗証番号と第2ランダム数字とから計算方法により第2文字列を算出するステップと、第1文字列と第2文字列とを比較することにより、ユーザの認証を行うステップとを具備する個人認証方法を提供する。
本発明の他の観点では、第1ランダム数字を生成するステップと、認証対象のユーザから入力される第1暗証番号と第1ランダム数字とから特定の計算方法により算出される第1文字列を取得するステップと、第1ランダム数字に同期して第2ランダム数字を生成するステップと、複数のユーザIDに対応付けて第2暗証番号を記憶した記憶手段よりユーザからのユーザIDに対応する一つの第2暗証番号を読み出すステップと、読み出された第2暗証番号と第2ランダム数字とから計算方法により第2文字列を算出するステップと、第1文字列と第2文字列とを比較することにより、ユーザの認証を行うステップとを具備する個人認証方法を提供する。
本発明によれば、暗証番号とランダム数字とに基づいて容易に暗証番号を解読することができない文字列を算出し、当該文字列によってユーザ本人を認証することにより、当該文字列を他人に盗聴された場合や、携帯電話とクレジットカードが盗まれた場合でも、容易に暗証番号を解読できないため、不正利用者によるなりすましを防ぐことができる。従って、確実にユーザ本人を認証することができ、認証時のセキュリティを向上させることができる。
また、本発明によれば過大な設備投資を行うことなく、例えば現在のクレジットカード機器程度の設備によって認証を行うことができるため、認証装置の構築にかかるコストを削減することができる。
以下、図面を参照して本発明の実施の形態について説明する。
(第1実施形態)
図1に示されるように、本発明の第1実施形態に従う認証システム100では、先ず、認証対象のユーザ(以下、単にユーザという)から店舗側に設置された個人認証機関受付部20にユーザIDが入力されると、個人認証機関受付部20は個人認証サーバ50へユーザIDと共に、ランダム数字の生成命令を送信する。個人認証サーバ50では、ユーザIDに基づいてランダム数字を生成し、携帯電話網11及びネットワーク10を介してユーザが所有する携帯端末(以下、携帯端末部60と呼ぶ)へランダム数字を送信する。ユーザは携帯端末部60に暗証番号を入力する。携帯端末計算部6は、受信したランダム数字とユーザが入力した暗証番号を用いて容易に解読ができない文字列(以下、便宜上、解読不能文字列という)を計算する。ユーザは、計算された解読不能文字列を個人認証機関受付部20へ入力する。個人認証機関受付部20は、入力された解読不能文字列を個人認証サーバ50へ送信する。個人認証サーバ50は、解読不能文字列に基づいてユーザ本人を認証する。
(第1実施形態)
図1に示されるように、本発明の第1実施形態に従う認証システム100では、先ず、認証対象のユーザ(以下、単にユーザという)から店舗側に設置された個人認証機関受付部20にユーザIDが入力されると、個人認証機関受付部20は個人認証サーバ50へユーザIDと共に、ランダム数字の生成命令を送信する。個人認証サーバ50では、ユーザIDに基づいてランダム数字を生成し、携帯電話網11及びネットワーク10を介してユーザが所有する携帯端末(以下、携帯端末部60と呼ぶ)へランダム数字を送信する。ユーザは携帯端末部60に暗証番号を入力する。携帯端末計算部6は、受信したランダム数字とユーザが入力した暗証番号を用いて容易に解読ができない文字列(以下、便宜上、解読不能文字列という)を計算する。ユーザは、計算された解読不能文字列を個人認証機関受付部20へ入力する。個人認証機関受付部20は、入力された解読不能文字列を個人認証サーバ50へ送信する。個人認証サーバ50は、解読不能文字列に基づいてユーザ本人を認証する。
図1に示すように個人認証機関受付部20と個人認証サーバ50とはネットワーク10を介して接続され、携帯端末部60と個人認証サーバ50とは携帯電話網11及びネットワーク10を介して接続されている。尚、各部の接続形態は図1に限定されることなく、例えば個人認証機関受付部20と個人認証サーバ50とをLAN(Local Area Network)で接続したり、無線でデータを送受信したりすることも可能である。
個人認証機関受付部20は、例えば暗証番号を入力して認証を行う銀行のATMや、店舗に設置されたクレジットカードの読み取り機(POS端末(Point Of Sales))などに設けられている。この個人認証機関受付部20は、例えばユーザIDや携帯端末部60により変換された解読不可能文字列を入力するための専用のタッチパネルあるいはキーボードなどの入力端末部と、個人認証サーバ50とネットワーク10を介して認証に関する情報の送受信を行う通信部とを有する。尚、個人認証機関受付部20は、上記入力端末だけでなく、PCや携帯端末など、暗証番号やユーザID等の情報の入力が可能な端末であれば適用可能である。
個人認証サーバ50は、個人認証機関受付部20からのユーザIDを受信すると、ランダム数字を生成し、ユーザが所有する携帯端末部60へ送信する。また、個人認証サーバ50は、個人認証機関受付部20から解読不能文字列を受信し、ユーザ本人を認証する。この個人認証サーバ50は、ランダム数字生成部3、ユーザ情報格納部4と、メールサーバ部5、情報一時記憶部7及び認証部8を有する。
ランダム数字生成部3は、暗証番号を用いて解読不能文字列を算出するためのランダム数字を生成する。ランダム数字生成部3でのランダム数字の算出方法については、後に説明する。ユーザ情報格納部4は、ユーザを識別するユーザID、暗証番号、メールアドレスなどのユーザ情報を格納している。ユーザ情報格納部4に格納されるユーザ情報は、上記ユーザID、暗証番号、メールアドレス項目に限定されることなく、必要に応じて追加、削除することができる。メールサーバ部5は、ユーザのメールアドレスに基づいてユーザが所持する携帯端末部60へランダム数字を送信する。情報一時記憶部7は、認証時に使用する情報を一時的に格納する。認証部8は、解読不能文字列に基づいてユーザの認証を行う。
携帯端末部60は、個人認証サーバ50のメールサーバ部5から送信されたメールを受信する。この携帯端末部60は、この例ではメール内のランダム数字とユーザが入力する暗証番号とに基づいて解読不能文字列を算出する携帯端末計算部6を有する。
このように認証システム100では、暗証番号とランダム数字とを用いて解読不能文字列を算出し、その解読不能文字列に基づいてユーザ本人か否かを認証する。これにより解読不能文字列を他人に盗聴された場合や、携帯電話とクレジットカードが盗まれた場合でも、暗証番号の解読は原理的に不可能なため、不正利用者によるなりすましを防ぐことができる。従って、確実にユーザの認証を行うことができ、認証時のセキュリティが向上する。また、新たな設備投資を行うことなく、店舗に予め設置されているクレジットカード機器程度の設備で認証を行うことができるため、コストを削減することができる。
次に、図1認証システム100で実行される処理手順について図2〜図4を参照して説明する。図2に、本発明の第1実施形態に従う認証システムでのランダム数字に関する処理の過程を示す。図2では、認証システム100においてランダム数字を携帯端末部60に送信するまでの処理の流れについて説明する。図2において、先ず、個人認証機関受付部20は、ユーザ1からユーザIDが入力される。個人認証機関受付部20は、個人認証サーバ50のランダム数字生成部3にランダム数字生成の命令を送信する。また、個人認証機関受付部20は、受信したユーザIDを個人認証サーバ5のメールサーバ部5、及び情報一時記憶部7へ送信する(図4に示すステップS60)。
ランダム数字生成部3は、個人認証機関受付部20からの命令により、ランダム数字を生成し(ステップS61)、ランダム数字をメールサーバ部5、情報一時記憶部7に送信する。メールサーバ部5は、ユーザ情報格納部4からユーザIDに基づいてユーザ1のメールアドレスを取得する。また、情報一時記憶部7は、ユーザ情報格納部4からユーザ1の暗証番号を取得する。情報一時記憶部7は、個人認証機関受付部20から送信されたユーザIDと、ランダム数字生成部3から提供されたランダム数字と、ユーザ情報格納部4から提供された暗証番号とを一時的に格納する。
メールサーバ部5は、ユーザ情報格納部4からのユーザーメールアドレスにより、ランダム数字をユーザの携帯端末部60に送信する(ステップS62)。携帯端末部60は、ユーザ1の操作に応じて受信したメール内容を表示する。
次に、認証システム100での認証処理の流れについて説明する。図3は、本発明の第1実施形態に従う認証システムでの認証処理の過程を示す図である。図3において、携帯端末計算部6は、メールサーバ部5から送信されたランダム数字と、ユーザ1から入力された暗証番号とにより解読不可能な文字列を計算し(ステップS63)、ディスプレイ等に表示させる。ユーザ1は、携帯端末部60に表示された解読不能文字列を確認し、個人認証機関受付部20に入力する。個人認証機関受付部20は、認証部8に解読不能文字列を送信する。認証部8は、情報一時記憶部7に保存されているランダム数字と暗証番号とを取得し、解読不能文字列と一致するか否かを判断する(ステップS64)。
このように携帯端末60で計算された解読不能文字列と、認証部8でランダム数字と暗証番号とを加算した値とが一致するか否かを判定することにより、解読不能文字列を他人に盗聴された場合や、携帯電話とクレジットカードが盗まれた場合でも、容易に暗証番号を解読できないため、不正利用者によるなりすましを防ぐことができる。従って、確実にユーザ本人を認証することができ、認証時のセキュリティを向上させることができる。
次に、図2に示すランダム数字生成部3でのランダム数字の生成方法及び、図8に示す携帯端末計算部6での計算方法について詳細に説明する。ランダム数字生成部3において、ランダム数字を生成する方法としては、線形合同法、Knuthの乱数発生法、M系列乱数、Wichmann−Hillの乱数発生法などがある。詳しくは奥村晴彦著の「C言語による最新アルゴリズム辞典」などに記載されている。
携帯端末計算部6では、例えばn桁の解読不能文字列を求める場合、何らかの四則演算によって暗証番号とランダム数字との演算を行い、その値についてmod 10nを求める。例えば、暗証番号とランダム数字との演算に乗算を用いる場合、以下のようになる。
解読不能文字列=(ランダム数字×暗証番号)mod 10n ・・・(1)
ランダム数字は不明であるため、このようにして求めた文字列から暗証番号を推測することは不可能となる。
ランダム数字は不明であるため、このようにして求めた文字列から暗証番号を推測することは不可能となる。
上記のように認証部8は、情報一時記憶部7から取り出した情報(ランダム数字、暗証番号)に基づいて解読不能文字列を算出し、その算出結果と個人認証機関受付部20から送信された文字列とを用いて、携帯端末計算部6と同様の計算を行って求めた文字列が一致するかどうかを判定することによりユーザ本人であるか否かの認証を行う。従って、携帯端末計算部6により算出された解読不能文字列を個人認証機関受付部20に伝える過程で不正使用者にこの文字列を知られても、暗証番号の解読が難しいため、認証時のセキュリティを向上させることができる。
また、ワンタイムパスワードによる個人認証では、携帯電話とクレジットカードが盗まれた場合、携帯電話に送られてきたワンタイムパスワードにより、なりすましによる個人認証が行われる可能性があるが、本発明によれば、携帯電話とクレジットカードが盗まれた場合においても、不正使用者が容易に暗証番号を解読することは難しい。従って、なりすましによる認証を防ぐことができ、セキュリティの向上を図ることができる。
(第2実施形態)
次に、本発明の第2実施形態の認証システム101で実行される処理手順について図5〜図7を参照して説明する。図5は、本発明の第2実施形態に従う認証システムでのランダム数字に関する処理の過程を示す図である。図5に示す認証システム101の構成は、図2に示す認証システム100の構成と略同様であるため、同一構成及び同一処理については同符号を付して説明を省略する。
次に、本発明の第2実施形態の認証システム101で実行される処理手順について図5〜図7を参照して説明する。図5は、本発明の第2実施形態に従う認証システムでのランダム数字に関する処理の過程を示す図である。図5に示す認証システム101の構成は、図2に示す認証システム100の構成と略同様であるため、同一構成及び同一処理については同符号を付して説明を省略する。
図5の認証システム101は、図3に示す携帯端末計算部6を除いた構成を特徴としている。ランダム数字生成部3は、ユーザIDを用いてユーザ情報格納部4からユーザ1の暗証番号を取得し(図7に示すステップS30)、その暗証番号に基づいてランダム数字を生成する(ステップS31)。ランダム数字生成部3は、生成したランダム数字をメールサーバ部5に提供する。メールサーバ部5は、ユーザ情報格納部4からユーザ1のメールアドレスを取得し、そのメールアドレスの携帯端末部60へランダム数字を送信する(ステップS32)。
次に、認証システム101での認証処理について説明する。図6は、本発明の第2実施形態に従う認証システムでの認証処理の過程を示す図である。図6において、携帯端末部60は、メールサーバ部5から送信されたランダム数字をディスプレイ等に表示させる(ステップS33)。ユーザ1は、携帯端末部60に表示されたランダム数字と暗証番号とを加算し(ステップS34)、その文字列を個人認証機関受付部20に入力する。個人認証機関受付部20は、認証部8にユーザ1からの文字列を送信する。認証部8は、情報一時記憶部7に保存されているランダム数字と暗証番号とを取得し、ユーザ1からの文字列と一致するか否かを判断する(ステップS35)。
このようにユーザ1からの暗証番号とランダム数字との加算値と、認証部8でランダム数字と暗証番号とを加算した値とが一致するか否かを判定することにより、変換された文字列を他人に盗聴された場合や、携帯電話とクレジットカードが盗まれた場合でも、容易に暗証番号を解読できないため、不正利用者によるなりすましを防ぐことができる。従って、確実にユーザ本人を認証することができ、認証時のセキュリティを向上させることができる。
また、上記に示すようにユーザ1の入力する文字列は、ランダム数字と暗証番号とに基づいてユーザ1自らが以下の計算を例えば暗算を行うことによって生成される。
文字列=ランダム数字+暗証番号 ・・・ (2)
上記式(2)に示す文字列の計算は、ユーザが暗算で行うため、繰り上がりのない計算であることが望まれる。そこで上記計算において、繰り上がりが必要とないランダム数字を生成する方法について以下に述べる。
上記式(2)に示す文字列の計算は、ユーザが暗算で行うため、繰り上がりのない計算であることが望まれる。そこで上記計算において、繰り上がりが必要とないランダム数字を生成する方法について以下に述べる。
繰り上がりが無いようなランダム数字とは、例えば、使用者の暗証番号が0000ならばランダムな数字は各桁0から9までの数字、ランダム数字はたとえば「9325」、「2139」、あるいは「3607」などが考えられる。一方、使用者の暗証番号が9999ならば、ランダム数字としては各桁0から−9までの数字が考えられため、ランダム数字部10は例えば「−3,−4,−6,−8」、「−6,−8,0,−9」、あるいは「−2,−9,0,−5」などを生成する。
ランダム数字の生成方法は、線形合同法、Knuthの乱数発生法、M系列乱数、Wichmann−Hillの乱数発生法などを用い、暗証番号に応じて、上で述べた範囲に入る数字が求まるまで、繰り返しランダム数字を生成する。生成方法に関して、詳細は奥村晴彦著の「C言語による最新アルゴリズム辞典」などに記載されている。
このように、認証システム101は携帯端末計算部6がない分コストを削減することができ、ユーザ認証の為に携帯端末部60に暗証番号を打つ必要がないため、他人に手の動きにより暗証番号を読まれることなくユーザを認証することができる。
(第3実施形態)
次に、本発明の第3実施形態について説明する。図8は、本発明の第3実施形態に従う認証システムでのランダム数字に関する処理の過程を示す図である。図8に示す認証システム102の構成は、図2に示す認証システム100の構成と略同様であるため、同一構成及び同一処理については同符号を付して説明を省略する。図8に示す認証システム102は、個人認証サーバ50が保有しているランダム数字生成部3をユーザ1の携帯端末部61に設けたことを特徴としている。
次に、本発明の第3実施形態について説明する。図8は、本発明の第3実施形態に従う認証システムでのランダム数字に関する処理の過程を示す図である。図8に示す認証システム102の構成は、図2に示す認証システム100の構成と略同様であるため、同一構成及び同一処理については同符号を付して説明を省略する。図8に示す認証システム102は、個人認証サーバ50が保有しているランダム数字生成部3をユーザ1の携帯端末部61に設けたことを特徴としている。
図8において、認証を行う場合、先ず、ユーザ1は携帯端末部61に暗証番号を打ち込む(ステップS40)。携帯端末部61は、暗証番号とランダム数字生成部30によるランダム数字により、解読不能文字列を出力する。(ステップS41)。
ここで、携帯端末部61における解読不能文字列生成過程について説明する。図9は、本発明の第3実施形態に従う携帯端末部での解読不能文字列生成処理の過程を示す図である。図9に示す携帯端末部61には、図2に示す構成と同様の携帯端末計算部6と、図2に示すランダム数字生成部3と同様のランダム数字生成部30とが設けられている。携帯端末計算部6は、ユーザ1から入力された暗証番号と、ランダム数字生成部30からのランダム数字とに基づいて解読不能文字列を計算し、ディスプレイ等に表示させる。
図8に戻り、携帯端末部61で出力された解読不能文字列とユーザIDとが、ユーザ1により個人認証機関受付部20に入力される(ステップS42)。個人認証機関受付部20は、入力された解読不能文字列を個人認証サーバ50の認証部80へ送信する(ステップS43)。尚、認証部80では、ランダム数字を用いるだけでなく、携帯端末部61と個人認証サーバ50との遅延時間に基づいて認証を行っている。以下に、遅延時間について説明する。
図9に示すように、携帯端末部61に内蔵されているランダム数字生成部30の時計は、個人認証サーバ50が保有しているランダム数字生成部3に比べ、時間がずれやすいものと考えられる。従って、図8に示す認証部80では、図1、3、6に示す認証部8の機能に加え、時間同期のための機能を有する。時間同期とは、個人認証サーバ50のランダム数字生成部3の時計と携帯端末部61のランダム数字生成部30の時計との時刻がずれていた場合に、初期始動させるためのシード等を用いて時間の同期をとることを表す。以下に、RSAセキュリティ株式会社の時間同期方法「オフセット補正」(http://rsas-info.jp/opal/onetime/index.htmlを参照)を利用した時間同期について詳細に説明する。
認証部80は、ランダム数字生成部3に複数のランダム数字の生成を命令すると同時にユーザIDが入力される(ステップS45)。ランダム数字生成部3は、ユーザIDを情報一時記憶部7に提供し、ユーザ1の携帯端末部61の時間と、ランダム数字生成部3の時間とのずれ(オフセット)を情報一時記憶部7から受け取る(ステップS46)。ランダム数字生成部3は、「現在の時刻+オフセット(±1時間)」のそれぞれの時間に対して、複数のランダム数字を生成して認証部80に提供する(ステップS47)。ここで、±1時間という値は一例であり、実際に装備する時計がどれだけずれるかによって任意に設定変更可能である。
認証部80は、受け取った複数のランダム数字すべてに対して、「解読不能文字列」を作成し、個人認証機関受付部20から受け取った「解読不能文字列」と比較を行い、「解読不能文字列」が(1)ひとつも一致しなかった場合、(2)「現在の時刻+オフセット」時間において、ひとつだけ一致した場合、(3)「現在の時刻+オフセット」以外の時間において、ひとつだけ一致した場合(ただし、「現在の時刻+オフセット」からの時間のずれをtとする)、(4)ひとつ以上の時刻において一致した場合、のそれぞれについて認証する。
認証部80の認証結果が(1)と(4)の場合、メールサーバ部5に「もう一度暗証番号を入力して下さい」という内容のデータを提供する(ステップS48)。認証部80の認証結果が(2)の場合、メールサーバ部5に「認証成功」という内容のデータを提供する(ステップS48)。認証部80の認証結果が(3)の場合、メールサーバ部5に、「もう一度暗証番号を入力して下さい」という内容のデータを提供する(ステップS48)。認証部80は、情報一時記憶部7に「時刻のずれt」(遅延時間)とユーザIDとを一時保存する(ステップS49)。また、認証部80は、個人認証機関受付部20から送られてきた「解読不能文字列」について認証を行い、(3)の結果になることを確認する。認証部8は、新たに得られた「時刻のずれt2」と情報一時記憶部7に格納されている「時刻のずれt」とが一致する場合には、メールサーバ部5に「認証成功」と提供する。また、認証部80は、情報一時記憶部7に、その「時刻のずれt」を一時保存でなくオフセット値として格納する。認証部80は、新たに得られた「時刻のずれt2」と情報一時記憶部7の「時刻のずれt」とが一致しなかった場合には,メールサーバ部5に「もう一度暗証番号を入力して下さい」という内容のデータを提供する。認証部80は、情報一時記憶部7に「時間のずれt2」を一時格納させる。
メールサーバ部5は、認証部80から提供された認証結果とユーザIDに基づいて、ユーザ情報格納部4に格納されたユーザ1のメールアドレスを取得し(ステップS50)、認証結果をユーザ1の携帯端末部61へ送信する(ステップS51)。
このように、携帯端末部61にランダム数字生成部30を備えることにより、ユーザが認証に関する情報を必要とする際に、個人認証サーバ50に問い合わせることなく解読不可能文字列を得ることができる。従って、携帯端末部61で生成された解読不能文字列を即座に使用してユーザ認証を行うことができるため、認証にかかる時間を短縮することができる。
また、携帯端末部61の時刻と個人認証サーバ50の時刻との時間のずれを同期させて認証を行うことにより認証がスムーズに行えると共に、第2実施形態と同様に解読不能文字列による認証を行うため、暗証番号が容易に解読されずセキュリティ向上を図ることができる。
(第4実施形態)
次に、本発明の第4実施例について説明する。図10は、本発明の第4実施形態に従う認証システムの構成を示すブロック図である。図10に示す認証システム110の構成は、図1に示す認証システム100の構成と略同様であるため、同一構成については同符号を付して説明を省略する。
次に、本発明の第4実施例について説明する。図10は、本発明の第4実施形態に従う認証システムの構成を示すブロック図である。図10に示す認証システム110の構成は、図1に示す認証システム100の構成と略同様であるため、同一構成については同符号を付して説明を省略する。
図10に示す認証システム110は、個人認証サーバ500内に個人認証機関受付部20を有し、ネットワークを介して個人認証サーバ500とユーザの所有するPC65との間で認証に関する情報を送受信することを特徴としている。
例えば、PC65を用いてユーザ本人の認証を行う場合、先ず、PC65に表示された個人認証サーバ500が管理するサイトからユーザIDが入力される。個人認証サーバ500の個人認証機関受付部20は、受信したユーザIDをランダム数字生成部3、メールサーバ部5、情報一時記憶部7へ提供する。
ランダム数字生成部3は、個人認証機関受付部20からの命令により、ランダム数字を生成し、ランダム数字をメールサーバ部5、情報一時記憶部7に提供する。メールサーバ部5は、ユーザ情報格納部4からユーザIDに基づいてユーザのメールアドレスを取得する。また、情報一時記憶部7は、ユーザ情報格納部4からユーザの暗証番号を取得する。
メールサーバ部5は、ユーザ情報格納部4からのユーザーメールアドレスにより、ランダム数字をPC65に送信する。PC65は、ユーザの操作に応じて受信したメール内容を表示する。PC65のPC計算部66は、メールサーバ部5から送信されたランダム数字と、ユーザから入力された暗証番号とにより解読不能文字列を計算する。この場合、解読不能文字列をディスプレイに表示させないように設定することも可能である。
ユーザは、計算された解読不能文字列を個人認証サーバ500に送信する。個人認証サーバ500の個人認証機関受付部20は、認証部8に解読不能文字列を提供する。認証部8は、情報一時記憶部7に保存されているランダム数字と暗証番号とを取得し、ユーザから送信された解読不能文字列と一致するか否かを判断する。
このように、PC65で算出された解読不能文字列を、ネットワークを介して個人認証サーバ500へ送信する過程で、不正使用者に解読不能文字列を知られた場合、その解読不能文字列から暗証番号を解読するのは難しい。従って、なりすましによる認証を防ぐことができ、セキュリティの向上を図ることができる。
上記実施形態で説明した個人認証処理は、ハードウェアによって実現することもできるし、コンピュータを用いてソフトウェアにより実行することもできる。すなわち、本発明によると、認証対象のユーザからのユーザIDの入力に応答してランダム数字を生成する処理と、前記ユーザから入力される第1暗証番号と前記ランダム数字とから特定の計算方法により算出される第1文字列を取得する処理と、複数のユーザIDに対応付けて第2の暗証番号を記憶した記憶手段より前記ユーザからのユーザIDに対応する一つの第2暗証番号を読み出す処理と、読み出された第2暗証番号と前記第2ランダム数字とから前記計算方法により第2文字列を算出する処理と、前記第1文字列と前記第2文字列とを比較することにより、前記ユーザの認証を行う処理とを含む個人認証処理をコンピュータに行わせるためのプログラムを提供することもできる。
また、第1ランダム数字を生成する処理と、認証対象のユーザから入力される第1暗証番号と前記第1ランダム数字とから特定の計算方法により算出される第1文字列を取得する処理と、前記第1ランダム数字に同期して第2ランダム数字を生成する処理と、複数のユーザIDに対応付けて第2の暗証番号を記憶した記憶手段より前記ユーザからのユーザIDに対応する一つの第2暗証番号を読み出す処理と、読み出された第2暗証番号と前記第2ランダム数字とから前記計算方法により第2文字列を算出する処理と、前記第1文字列と前記第2文字列とを比較することにより、前記ユーザの認証を行う処理とを含む個人認証処理をコンピュータに行わせるためのプログラムを提供することができる。
3、30・・・ランダム数字生成部;
4・・・ユーザ情報格納部;
5・・・メールサーバ部;
6・・・携帯端末計算部;
7・・・情報一時記憶部;
8、80・・・認証部;
10・・・ネットワーク;
11・・・形態電話網;
20・・・個人認証機関受付部;
50、500・・・個人認証サーバ;
60、61・・・携帯端末部;
65・・・PC;
66・・・PC計算部;
100、101、102、110…認証システム
4・・・ユーザ情報格納部;
5・・・メールサーバ部;
6・・・携帯端末計算部;
7・・・情報一時記憶部;
8、80・・・認証部;
10・・・ネットワーク;
11・・・形態電話網;
20・・・個人認証機関受付部;
50、500・・・個人認証サーバ;
60、61・・・携帯端末部;
65・・・PC;
66・・・PC計算部;
100、101、102、110…認証システム
Claims (11)
- 認証対象のユーザからのユーザIDの入力に応答してランダム数字を生成するステップと、
前記ユーザから入力される第1暗証番号と前記ランダム数字とから特定の計算方法により算出される第1文字列を取得するステップと、
複数のユーザIDに対応付けて第2暗証番号を記憶した記憶手段より前記ユーザからのユーザIDに対応する一つの第2暗証番号を読み出すステップと、
読み出された第2暗証番号と前記第2ランダム数字とから前記計算方法により第2文字列を算出するステップと、
前記第1文字列と前記第2文字列とを比較することにより、前記ユーザの認証を行うステップとを具備することを特徴とする個人認証方法。 - 前記ランダム数字を生成するステップは、線形合同法、Knuthの乱数発生法、M系列乱数、Wichmann−Hillの乱数発生法のいずれか一つを使用して前記第1ランダム数字を生成することを特徴とする請求項1記載の認証方法。
- 前記ユーザからのユーザIDの入力に応答して前記ユーザの宛先情報を生成するステップと、生成された宛先情報に従って前記ユーザが所有する端末に前記ランダム数字を送信するステップとをさらに具備し、前記第1文字列を取得するステップは、前記端末によって前記第1文字列を取得することを特徴とする請求項1記載の認証方法。
- 第1ランダム数字を生成するステップと、
認証対象のユーザから入力される第1暗証番号と前記第1ランダム数字とから特定の計算方法により算出される第1文字列を取得するステップと、
前記第1ランダム数字に同期して第2ランダム数字を生成するステップと、
複数のユーザIDに対応付けて第2暗証番号を記憶した記憶手段より前記ユーザからのユーザIDに対応する一つの第2暗証番号を読み出すステップと、
読み出された第2暗証番号と前記第2ランダム数字とから前記計算方法により第2文字列を算出するステップと、
前記第1文字列と前記第2文字列とを比較することにより、前記ユーザの認証を行うステップとを具備することを特徴とする個人認証方法。 - 前記第1ランダム数字を生成するステップ及び前記第2ランダム数字を生成するステップは、線形合同法、Knuthの乱数発生法、M系列乱数、Wichmann−Hillの乱数発生法のいずれか一つを使用して前記第1ランダム数字及び第2ランダム数字を生成することを特徴とする請求項4記載の認証方法。
- 前記第1ランダム数字の生成及び前記第1文字列の取得は、前記ユーザが所有する端末によって行われることを特徴とする請求項4記載の認証方法。
- 認証対象のユーザからのユーザIDの入力に応答してランダム数字を生成する生成手段と、
前記ユーザから入力される第1暗証番号と前記ランダム数字とから特定の計算方法により算出される第1文字列を取得する取得手段と、
複数のユーザIDに対応付けて第2暗証番号を記憶した記憶手段と、
前記記憶手段より前記ユーザからのユーザIDに対応して読み出される一つの第2暗証番号と前記ランダム数字とから前記計算方法により第2文字列を算出して前記第1文字列と前記第2文字列とを比較することにより、前記ユーザの認証を行う認証手段とを具備することを特徴とする個人認証装置。 - 認証対象のユーザが所有する端末に設けられ、第1ランダム数字を生成する第1の生成手段と、
前記ユーザから入力される暗証番号と前記第1ランダム数字とから特定の計算方法により算出される第1文字列を取得する取得手段と、
前記第1ランダム数字と同期して第2ランダム数字を生成する第2の生成手段と、
複数のユーザIDに対応付けて第2暗証番号を記憶した記憶手段と、
前記記憶手段より前記ユーザからのユーザIDに対応して読み出される第2暗証番号と前記第2ランダム数字とから前記計算方法により第2文字列を算出して前記第1文字列と前記第2文字列とを比較することにより、前記ユーザの認証を行う認証手段とを具備することを特徴とする個人認証装置。 - 前記第1の生成手段及び第2の生成手段はそれぞれ第1の時計及び第2の時計に従って前第1ランダム数字及び第2ランダム数字を生成し、前記認証手段は前記第1の時計及び第2の時計の時間ずれを補償しつつ前記第2文字列を前記第1文字列と比較することを特徴とする請求項8記載の個人認証装置。
- 認証対象のユーザからのユーザIDの入力に応答してランダム数字を生成する処理と、
前記ユーザから入力される第1暗証番号と前記ランダム数字とから特定の計算方法により算出される第1文字列を取得する処理と、
複数のユーザIDに対応付けて第2暗証番号を記憶した記憶手段より前記ユーザからのユーザIDに対応する一つの第2暗証番号を読み出す処理と、
読み出された第2暗証番号と前記第2ランダム数字とから前記計算方法により第2文字列を算出する処理と、
前記第1文字列と前記第2文字列とを比較することにより、前記ユーザの認証を行う処理とを含む個人認証処理をコンピュータに行わせるためのプログラム。 - 第1ランダム数字を生成する処理と、
認証対象のユーザから入力される第1暗証番号と前記第1ランダム数字とから特定の計算方法により算出される第1文字列を取得する処理と、
前記第1ランダム数字に同期して第2ランダム数字を生成する処理と、
複数のユーザIDに対応付けて第2暗証番号を記憶した記憶手段より前記ユーザからのユーザIDに対応する一つの第2暗証番号を読み出す処理と、
読み出された第2暗証番号と前記第2ランダム数字とから前記計算方法により第2文字列を算出する処理と、
前記第1文字列と前記第2文字列とを比較することにより、前記ユーザの認証を行う処理とを含む個人認証処理をコンピュータに行わせるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004331944A JP2006146327A (ja) | 2004-11-16 | 2004-11-16 | 個人認証方法、装置及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004331944A JP2006146327A (ja) | 2004-11-16 | 2004-11-16 | 個人認証方法、装置及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006146327A true JP2006146327A (ja) | 2006-06-08 |
Family
ID=36625964
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004331944A Abandoned JP2006146327A (ja) | 2004-11-16 | 2004-11-16 | 個人認証方法、装置及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006146327A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008269610A (ja) * | 2007-04-18 | 2008-11-06 | Hewlett-Packard Development Co Lp | リモートアプリケーションを対象とした機密データの保護 |
-
2004
- 2004-11-16 JP JP2004331944A patent/JP2006146327A/ja not_active Abandoned
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008269610A (ja) * | 2007-04-18 | 2008-11-06 | Hewlett-Packard Development Co Lp | リモートアプリケーションを対象とした機密データの保護 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11489673B2 (en) | System and method for device registration and authentication | |
JP4553565B2 (ja) | 電子バリューの認証方式と認証システムと装置 | |
EP2648163B1 (en) | A personalized biometric identification and non-repudiation system | |
US8751801B2 (en) | System and method for authenticating users using two or more factors | |
EP1791073B1 (en) | Processing device, helper data generating device, terminal device, authentication device and biometrics authentication system | |
JP5859953B2 (ja) | 生体認証システム、通信端末装置、生体認証装置、および生体認証方法 | |
EP2065798A1 (en) | Method for performing secure online transactions with a mobile station and a mobile station | |
CN101517562A (zh) | 通过多个模式对一次性密码的用户进行注册和验证的方法以及记录有执行该方法的程序的计算机可读记录介质 | |
KR101025807B1 (ko) | 인증방법 및 인증서버 | |
JP2006209697A (ja) | 個人認証システム、この個人認証システムに使用される認証装置、および個人認証方法 | |
US20060204048A1 (en) | Systems and methods for biometric authentication | |
JP2006301684A (ja) | 本人認証方式 | |
JP5536511B2 (ja) | 携帯電話機を用いた本人認証のための認証装置、認証システム、認証プログラム及び認証方法 | |
JP4665352B2 (ja) | 顧客認証システム、顧客認証方法、及び該方法を実施するための制御プログラム | |
Nath et al. | Issues and challenges in two factor authentication algorithms | |
JP2001312477A (ja) | 認証システム、並びに、認証装置およびその方法 | |
JP4967428B2 (ja) | 認証機能付き情報処理システム | |
ES2631002B1 (es) | Dispositivo para facilitar transacciones financieras, procedimiento e instalación correspondientes | |
JP4584192B2 (ja) | 認証システム、認証サーバ、端末、認証方法、プログラム | |
JP2006011940A (ja) | 個人認証装置、携帯端末装置、および認証用データ入力処理プログラム、端末制御プログラム | |
JP4111960B2 (ja) | 個人認証システム、個人認証方法及びコンピュータプログラム | |
JP2002183095A (ja) | 個人認証方法 | |
JP2007317095A (ja) | 自動取引装置の認証システム | |
JP2006146327A (ja) | 個人認証方法、装置及びプログラム | |
JP2006302116A (ja) | 認証システム、認証サーバ、端末装置、認証方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A762 | Written abandonment of application |
Free format text: JAPANESE INTERMEDIATE CODE: A762 Effective date: 20090330 |