JP2007058807A - Authentication system and method - Google Patents
Authentication system and method Download PDFInfo
- Publication number
- JP2007058807A JP2007058807A JP2005246643A JP2005246643A JP2007058807A JP 2007058807 A JP2007058807 A JP 2007058807A JP 2005246643 A JP2005246643 A JP 2005246643A JP 2005246643 A JP2005246643 A JP 2005246643A JP 2007058807 A JP2007058807 A JP 2007058807A
- Authority
- JP
- Japan
- Prior art keywords
- user
- code group
- code
- password
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ユーザを認証するための技術に関する。 The present invention relates to a technique for authenticating a user.
認証技術として、例えば、以下の特許文献1乃至特許文献4に開示されている技術がある。 As an authentication technique, for example, there are techniques disclosed in Patent Documents 1 to 4 below.
ところで、一般に、サーバクライアントシステムでは、サーバマシンが、ユーザがクライアントマシンに入力したパスワードを受信して、そのパスワードが正当か否かを判断し、正当であると判断した場合に、ユーザを正当な者と認証するものがある。 By the way, in general, in a server client system, when a server machine receives a password entered by a user into a client machine, determines whether the password is valid, and determines that the user is valid, the user is authorized. There is something that authenticates with the person.
この種の認証技術では、クライアントマシンにパスワードがそのまま入力される。このため、キーロガー等の入力監視機能が不正にクライアントマシンに仕掛けられていると、容易にパスワードが不特定の人間に盗まれてしまう。 With this type of authentication technology, the password is directly input to the client machine. For this reason, if an input monitoring function such as a key logger is illegally set on the client machine, the password can be easily stolen by an unspecified person.
また、この種の認証技術では、入力されたパスワードがクライアントマシンによって暗号化されてから送信されることがある。しかし、上記の通り、パスワードがそのまま入力されるため、暗号化されたとしても、暗号化されたパスワード(以下、暗号パスワード)が不特定の人間に盗まれ、盗まれた暗号パスワードがその不特定の人間によってサーバに送信されてしまえば、その不特定の人間がサーバで正当な者として認証されてしまう。 In this type of authentication technique, an input password may be transmitted after being encrypted by a client machine. However, as described above, the password is entered as it is, so even if it is encrypted, the encrypted password (hereinafter referred to as the encrypted password) is stolen by an unspecified person, and the stolen encrypted password is unspecified. If it is sent to the server by a human, the unspecified person is authenticated as a valid person by the server.
以上のような問題点は、他種の認証技術にも存在し得る。 The above problems may also exist in other types of authentication technologies.
従って、本発明の目的は、正当なユーザ以外の人間が正当なユーザであると認証されてしまうことを防ぐことにある。 Accordingly, an object of the present invention is to prevent a person other than a legitimate user from being authenticated as a legitimate user.
本発明の他の目的は、後の説明から明らかになるであろう。 Other objects of the present invention will become clear from the following description.
本発明に従う認証システムは、当該ユーザのユーザIDを受ける手段と、各ユーザのユーザID及びユーザ任意のコード変換規則を記憶した記憶域を参照し、前記受けたユーザIDに対応したコード変換規則を特定する手段と、コード群を生成する手段と、前記生成されたコード群を前記当該ユーザに提示する手段と、前記提示したコード群とは別の、前記当該ユーザから入力されたコード群を受ける手段と、前記生成されたコード群と前記特定されたコード変換規則に基づいて、前記受けた別のコード群が、前記特定されたコード変換規則に従って前記生成されたコード群を変換したものであるか否かを判断する手段とを備え、前記判断によって肯定的な判断結果が得られた場合に前記当該ユーザを認証する。 The authentication system according to the present invention refers to a means for receiving the user ID of the user, a storage area storing the user ID of each user and a user arbitrary code conversion rule, and the code conversion rule corresponding to the received user ID. A means for specifying, a means for generating a code group, a means for presenting the generated code group to the user, and a code group input from the user, different from the presented code group Based on the means, the generated code group, and the specified code conversion rule, the received another code group converts the generated code group according to the specified code conversion rule. And a means for judging whether or not the user is authenticated when a positive judgment result is obtained by the judgment.
なお、コードとしては、文字、符号、数字等の種々の記号を採用することができる。また、前記記憶域は、前記認証システムに備えられても良いし、前記認証システムの外に、前記認証システムと通信可能に存在しても良い。また、ユーザ任意のコード変換規則は、ユーザによって定義された規則であっても良いし、予め用意されている複数のコード変換規則の中からユーザに選択された規則であっても良い。また、ユーザIDは、ユーザを識別するための情報であればどのようなものであっても良い(例えば、コード列、或いはユーザの生体(例えば指紋)の情報であっても良い)。 As the code, various symbols such as letters, symbols, and numbers can be adopted. In addition, the storage area may be provided in the authentication system, or may exist outside the authentication system so as to be able to communicate with the authentication system. Further, the code conversion rule arbitrary by the user may be a rule defined by the user or a rule selected by the user from a plurality of code conversion rules prepared in advance. Further, the user ID may be any information as long as it is information for identifying the user (for example, it may be a code string or information on a user's biological body (for example, fingerprint)).
本発明の第一の態様では、前記特定する手段は、各ユーザのユーザID、認証用コード群及びユーザ任意のパスワード構成規則を記憶した前記記憶域を参照して、前記入力されたユーザIDに対応する認証用コード群及びパスワード構成規則を特定することができる。前記生成する手段は、認証用コード群とは違うコード群である偽コード群を生成することができる。前記提示する手段は、前記生成された偽コード群を前記当該ユーザに提示することができる。前記別のコード群を受ける手段は、前記提示した偽コード群を構成するコードと前記認証用コード群を構成するコードとが混在したコード群である混合パスワードを受けることができる。前記判断する手段は、前記生成した偽コード群と、前記特定された認証用コード群及びパスワード構成規則とに基づいて、前記受けた混合パスワードが、前記特定されたパスワード構成規則に従って前記特定された認証用コード群のコードと前記偽コード群のコードとが正しく混在されたものであるか否かを判断することができる。 In the first aspect of the present invention, the specifying means refers to the storage area in which the user ID of each user, the code group for authentication and the user arbitrary password configuration rule are stored, and the input user ID Corresponding authentication code groups and password composition rules can be specified. The generating means can generate a false code group which is a code group different from the authentication code group. The presenting means can present the generated pseudo code group to the user. The means for receiving the different code group can receive a mixed password which is a code group in which the code constituting the presented false code group and the code constituting the authentication code group are mixed. The means for determining is based on the generated false code group, the specified authentication code group and the password configuration rule, and the received mixed password is specified according to the specified password configuration rule. It can be determined whether the code of the authentication code group and the code of the false code group are correctly mixed.
本発明の第二の態様では、前記生成する手段は、同一のユーザに対して提示されるコード群であっても、ユーザ認証の都度に異なるコード群を生成することができる。 In the second aspect of the present invention, the means for generating can generate a different code group for each user authentication even if the code group is presented to the same user.
本発明の第三の態様では、前記生成する手段は、同一のユーザに対して提示される偽コード群であっても、ユーザ認証の都度に異なる偽コード群を生成し、且つ、その偽コード群を、前記特定された認証用コード群及び/又は前記パスワード構成規則に基づいて生成することができる。 In the third aspect of the present invention, the generating means generates a different false code group for each user authentication even if it is a false code group presented to the same user, and the false code A group may be generated based on the identified authentication code group and / or the password composition rule.
本発明の第四の態様では、前記生成する手段は、複数のコード群を生成することができる。前記提示する手段は、前記生成された複数のコード群を提示することができる。前記受けた別コード群は、前記提示された複数のコード群の中から前記当該ユーザに選択されたコード群が変換されたものである。 In the fourth aspect of the present invention, the means for generating can generate a plurality of code groups. The presenting means can present the plurality of generated code groups. The received another code group is obtained by converting the code group selected by the user from the plurality of presented code groups.
本発明の第五の態様では、認証システムには、前記ユーザが使用する装置であるユーザ装置に通信可能に接続されている。認証システムは、同一のユーザであってもユーザ認証の都度に中身の異なる電子的な鍵を生成する手段と、前記生成された鍵を前記ユーザ装置に提供する手段と、前記ユーザ装置から受けた、前記提供された鍵で前記別のコード群が暗号化されたものを、前記鍵で復号化する手段とを備えることができる。この場合、前記判断する手段は、前記鍵での復号化によって得られた別のコード群の正否を判断することができる。 In a fifth aspect of the present invention, the authentication system is communicably connected to a user device that is a device used by the user. The authentication system receives from the user device, means for generating an electronic key having different contents for each user authentication, means for providing the generated key to the user device, even for the same user And means for decrypting the other code group encrypted with the provided key with the key. In this case, the means for determining can determine whether or not another code group obtained by decryption with the key is correct.
前記認証システムは、一台のコンピュータマシンであっても良いし、複数台のコンピュータマシンにより構築されたコンピュータシステムであっても良い。前記認証システムは、例えば、サーバクライアントシステムのサーバに適用されても良いし、他のシステムに適用されてもよい。 The authentication system may be a single computer machine or a computer system constructed by a plurality of computer machines. For example, the authentication system may be applied to a server of a server client system or may be applied to another system.
また、前記認証システムの各手段は、ハードウェア、コンピュータプログラム又はそれらの組み合わせにより実現することができる。そのコンピュータプログラムが、例えば、CD−ROM等の記憶媒体からコンピュータにインストールされることにより、或いは、通信ネットワークを介してコンピュータにダウンロードされることにより、前記認証システムが構築されても良い。 Each unit of the authentication system can be realized by hardware, a computer program, or a combination thereof. The authentication system may be constructed by installing the computer program on a computer from a storage medium such as a CD-ROM or by downloading the computer program to a computer via a communication network.
本発明によれば、正当なユーザ以外の人間が正当なユーザであると認証されてしまうことを防ぐことができる。 According to the present invention, it is possible to prevent a person other than a legitimate user from being authenticated as a legitimate user.
以下、図面を参照して、本発明の一実施形態について説明する。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
図1は、本発明の一実施形態に係る認証システムが適用されたWEBサーバを有するシステム全体のハードウェア構成を示す。 FIG. 1 shows a hardware configuration of an entire system having a WEB server to which an authentication system according to an embodiment of the present invention is applied.
例えば、WEBサーバ13は、通信ネットワーク(例えばインターネット)51を介して、ユーザが使用する各ユーザ端末(別の言い方をすればクライアントマシン)100と通信することができる。ユーザ端末100は、CPUやメモリ等を備えた据置型の或いはモバイル型のコンピュータマシンであり、具体的には、例えば、パーソナルコンピュータ、携帯電話機などである。WEBサーバ13は、データベース(例えばデータベースサーバ)17にも通信可能に接続することができる。データベース17には、後述するユーザテーブル31を格納することができる。
For example, the
WEBサーバ13は、例えば、通信ネットワーク51を介した通信を行うためのインターフェース装置(以下、「I/F」と略記)7や、データベース17と通信を行うためのI/F5を備える。また、WEBサーバ13は、プロセッサ9や、メモリ11及び/又はメディアドライブ(例えばハードディスクドライブ)3等の記憶資源を備える。記憶資源には、複数種類のソフトウェア(コンピュータプログラム)が記憶され、各種ソフトウェアが適宜にプロセッサ9に読み込まれて実行される。
The
図1Bは、WEBサーバ13におけるソフトウェアアーキテクチャの概要の一例を示す。
FIG. 1B shows an example of the outline of the software architecture in the
WEBサーバ13では、ウィンドウズ(登録商標)等のオペレーティングシステム(OS)21上で、アプリケーションプログラムの一種として認証プログラム23が実行される。認証プログラム23には、複数のプログラムモジュールが含まれている。複数のプログラムモジュールとしては、例えば、後述する隠蔽用コード群を生成するための隠蔽用コード群生成モジュール25と、電子的な鍵を生成するための鍵生成モジュール26と、生成された鍵を用いた復号化を行うための復号化モジュール27とがある。認証プログラム23は、これらのモジュール25、26及び27を適宜に利用して種々の処理を実行することができる。勿論、認証プログラム23は、これらのモジュール25、26及び27以外のモジュールを備えることもできる。
In the
図2は、ユーザテーブル31の構成例を示す。 FIG. 2 shows a configuration example of the user table 31.
ユーザテーブル31には、ユーザがWEBサーバ13にログインするために必要な情報が登録される。具体的には、例えば、ユーザテーブル31には、各ユーザ毎に、ユーザID、パスワード及び変換方式情報が登録される。変換方式情報とは、変換方式を表す情報である。認証プログラム23を読み込んで実行するプロセッサ9は(以下、「認証プログラム23は」と言う)、この変換方式情報を参照することで、どんな変換方式が登録されているかを理解することができる(変換方式についての説明は後に行う)。
Information required for the user to log in to the
以下、図3以降を参照して、本実施形態で行われる処理の流れを説明する。 Hereinafter, the flow of processing performed in the present embodiment will be described with reference to FIG.
図3は、ユーザ登録処理の流れの一例を示す。 FIG. 3 shows an example of the flow of user registration processing.
ユーザ端末100とWEBサーバ(以下、単に「サーバ」と言う)13とが所定のやり取りを行うことにより、サーバ13が、ユーザID登録欄43、パスワード登録欄45、変換方式登録欄47及び複数の変換方式選択肢を記載した電子的な画面(以下、ユーザ登録画面)41を準備し、そのユーザ登録画面41をユーザ端末100に提供する(ステップS1)。これにより、ユーザ登録画面41が、ユーザ端末100のディスプレイ画面に表示される。
When the
ここで、変換方式とは、ユーザの認証を行うためにユーザがパスワードを入力する場合に、どのような規則に従ってパスワードを構成するかということを意味する。より詳細に言うと、パスワードと、後述する隠蔽用コード群を構成する各コード(以下、隠蔽コード)とを、どのような規則に従って混在させるかという意味である。つまり、ここでは、パスワードを後述する混合パスワードに変換することとして「変換方式」という言葉を用いている。この実施形態では、変換方式として、例えば、「反転」、「インサート」及び「反転+インサート」の三種類が用意されている。 Here, the conversion method means what rules are used to construct a password when the user inputs the password to authenticate the user. More specifically, it means what rules are used for mixing passwords and codes constituting a concealment code group (to be described later) (hereinafter, concealment codes). That is, here, the term “conversion method” is used to convert a password into a mixed password described later. In this embodiment, for example, three types of “inversion”, “insert”, and “inversion + insert” are prepared as conversion methods.
「反転」とは、隠蔽用コード群を反転し、反転後の隠蔽用コード群の前又は後ろに、パスワードを結合することを意味する。例えば、隠蔽用コード群が"123"であり、パスワードが"678"である場合では、変換方式「反転」に従うと、反転後の隠蔽用コード群は"321"となるので、"321678"又は"678321"が入力されることになる(このような、隠蔽コードとパスワードとが混在したコード群を、以下、「混合パスワード」と言うことにする)。なお、隠蔽用コード群とは、ユーザのパスワードを不特定の人間に特定されないようにするために、パスワードと共に入力される、パスワードを構成しない偽のコード(例えば乱数)の集合である。隠蔽用コード群を構成する隠蔽コードは、一つであっても複数であっても良い。 “Invert” means that the concealment code group is inverted and the password is combined before or after the concealment code group after the inversion. For example, when the concealment code group is “123” and the password is “678”, the concealment code group after inversion becomes “321” according to the conversion method “inversion”. “6783221” is input (a group of codes in which a concealment code and a password are mixed is hereinafter referred to as “mixed password”). The concealment code group is a set of fake codes (for example, random numbers) that are input together with a password and do not constitute a password so that the user's password is not specified by an unspecified person. There may be one or more concealment codes constituting the concealment code group.
「インサート」とは、隠蔽用コード群のユーザ任意の場所にパスワードを挿入することを意味する。例えば、隠蔽用コード群が"123"であり、パスワードが"678"である場合では、変換方式「インサート」に従うと、入力される混合パスワードは、"123678"、"126783"、"167823"又は"678123"である。 “Insert” means that a password is inserted at an arbitrary location in the concealing code group. For example, when the concealment code group is “123” and the password is “678”, according to the conversion method “insert”, the input mixed password is “123678”, “1266783”, “167823” or "678123".
「反転+インサート」とは、反転後の隠蔽用コード群のユーザ任意の場所にパスワードを挿入することを意味する。例えば、隠蔽用コード群が"123"であり、パスワードが"678"である場合では、変換方式「反転+インサート」に従うと、入力される混合パスワードは、"321678"、"326781"、"367821"又は"678321"である。 “Reversal + insert” means that a password is inserted at an arbitrary location in the concealed code group after reversal. For example, when the concealment code group is “123” and the password is “678”, the mixed password to be input is “321678”, “326781”, “367821” according to the conversion method “reversal + insert”. "Or" 678321 ".
ユーザは、ユーザ登録画面41に、任意のユーザID、任意のパスワード、及び複数の変換方式選択肢から選択した選択肢を表す変換方式情報(例えば、「反転」であれば(A)という記号)を、それぞれの登録欄43、45及び47に入力することができる(変換方式登録欄47は、プルアップ或いはプルダウンのメニューになっていても良い)。
The user displays, on the
ユーザ端末100は、ユーザ登録画面41を介して、ユーザID、パスワード及び変換方式情報の入力を受け(S2)、入力されたユーザID、パスワード及び変換方式情報と、ユーザ登録要求とをサーバ13に送信する。
The
サーバ13は、ユーザID、パスワード及び変換方式情報と、ユーザ登録要求とを受信し(S4)、ユーザ登録要求に従い、ユーザID、パスワード及び変換方式情報を、データベース(以下、DB)17内のユーザテーブル31に登録する(S5)。その後、サーバ13は、登録完了通知を、ユーザ登録要求送信元のユーザ端末100に送信する(S6)。ユーザ端末100がその通知を受領することにより(S7)、ユーザ登録の終了となる。
The
図4及び図5は、ログイン処理の流れの一例を示す。 4 and 5 show an example of the flow of login processing.
サーバ13が、ユーザID入力欄53を有した電子的な画面(以下、ユーザID入力画面)51をユーザ端末100に提供する(S11)。それにより、ユーザID入力画面51が、ユーザ端末100のディスプレイ画面に表示される。
The
ユーザ端末100は、ユーザID入力欄53を介して、ユーザIDの入力を受け、入力されたユーザIDとログイン要求とをサーバ13に送信する(S12)。
The
サーバ13は、ユーザID及びログイン要求を受信する(S13)。認証プログラム23は、ログイン要求に応答して、以下の処理を実行する。
The
すなわち、認証プログラム23は、S13で受信したユーザIDに対応するパスワード及び変換方式情報を、DB17内のユーザテーブル13から取得する(S14)。
That is, the
そして、認証プログラム23は、所定の規則(例えばアルゴリズム)に基づいて、隠蔽用コード群生成モジュール25及び鍵生成モジュール26により、複数の隠蔽用コード群と電子的な鍵(以下、単に「鍵」と言う)を生成する(S15)。
Then, the
なお、このS15では、例えば、隠蔽用コード群生成モジュール25は、S14で取得されたパスワード及び/又は変換方式情報に基づいて、複数の隠蔽用コード群(例えば、パスワードを構成するコード(以下、PWコード)と重複しない隠蔽コードから成るコード群)を生成することができる。隠蔽用コード群は、例えば、同一のユーザIDに対応したパスワードや変換方式情報を基に生成されたものであったとしても、ログイン処理の都度に異なるコード群とすることができる(すなわち、一旦ログアウトされた後に再びログイン処理が行われる場合には、前回と今回のログイン処理では異なる隠蔽用コード群が生成される)。
In S15, for example, the concealment code
また、このS15では、鍵生成モジュール26は、例えば、電子的な鍵として、S13で受信されたユーザIDを用いて乱数を生成することができる。
In S15, the
さて、次に、認証プログラム23は、パスワード、変換方式情報、複数の隠蔽用コード群及び鍵を、メモリ11(例えば、メモリ11に展開されたセッション管理用のテーブル)に書く(S16)。
Next, the
認証プログラム23は、複数の隠蔽用コード群と混合パスワード入力欄57とを有した電子的な画面(以下、パスワード入力画面)55を生成し、生成したパスワード入力画面55と、S15で生成した鍵とを、ユーザ端末100に提供する(S17)。これにより、パスワード入力画面55が、ユーザ端末100のディスプレイ画面に表示される。
The
ユーザは、図5に示すように、パスワード入力画面55のパスワード入力欄57に、ユーザ登録時に選択した変換方式に従い、パスワード入力画面55に表示されている複数の隠蔽用コード群の中から黙視で選択した隠蔽用コード群と、パスワードとから構成される混合パスワードを入力することができる。例えば、パスワードが"1912"であり、選択された隠蔽用コード群が"5443"であり、変換方式が「反転+インサート」である場合、正しい混合パスワードの一例としては、図示の通り、"34191245"がある。
As shown in FIG. 5, the user can silently select from a plurality of concealment code groups displayed on the
ユーザ端末100は、パスワード入力画面55を介して混合パスワードの入力を受け、入力された混合パスワードを、パスワード入力画面55と共に受けた鍵で暗号化し、暗号化された混合パスワード(以下、暗号混合パスワード)を、サーバ13に送信する(S19)。なお、ここでの暗号化は、例えば、ユーザ端末100に備えられている図示しない暗号化プログラム(例えば、図示しないWWWブラウザにプラグインされている)により、行われる。
The
サーバ13で暗号混合パスワードが受信された場合(S20)、認証プログラム23は、暗号混合パスワードを、復号化モジュール27により、メモリ11に記憶されている鍵で復号化する(S21)。なお、この復号化に失敗した場合、認証プログラム23は、ユーザ端末100にエラー報告をしてもよい。
When the encryption mixed password is received by the server 13 (S20), the
認証プログラム23は、復号化によって得られた混合パスワードの正当性を、メモリ11に記憶されているパスワード、変換方式情報及び複数の隠蔽用コード群に基づいて、チェックする(S22)。このチェックのための処理流れとしては、種々の方法を採用することができる。一例としては、認証プログラム23は、以下の(1)及び(2)の判断、
(1)メモリ11に記憶されているパスワードが混合パスワードの中に含まれているか否かの判断、
(2)(1)の判断の結果、含まれているならば、混合パスワードにおけるパスワード以外の残りの全てのコードによって、メモリ11に記憶されている複数の隠蔽用コード群のうちの一つの隠蔽用コード群を構成することができるか否かの判断、
を実行し、(1)及び(2)の判断のうちの一つでも否定的な判断結果を得たならば、混合パスワードが不当であるとし(S23でNO)、一方、(1)及び(2)の判断の全てにおいて肯定的な判断結果を得たならば、混合パスワードが正当であるとすることができる(S23でYES)。
The
(1) Judgment whether or not the password stored in the
(2) If it is included as a result of the determination in (1), one of the plurality of concealment code groups stored in the
If a negative determination result is obtained in one of the determinations (1) and (2), it is determined that the mixed password is invalid (NO in S23), while (1) and ( If a positive determination result is obtained in all of the determinations of 2), it can be determined that the mixed password is valid (YES in S23).
認証プログラムは、混合パスワードが不当であるとした場合には、ログインを拒否し(S24)、一方、混合パスワードが正当であるとした場合には、ログインを許可する(S25)。 If the mixed password is invalid, the authentication program rejects the login (S24). On the other hand, if the mixed password is valid, the authentication program permits the login (S25).
以上、上述した実施形態によれば、以下のことが行われる。すなわち、サーバ13が、複数の隠蔽用コード群を生成してユーザに提示し、ユーザが、所望の隠蔽用コード群を決めて、ユーザ登録時に決定した変換方式に従い、隠蔽用コード群とパスワードとを含んだ混合パスワードを入力する。サーバ13は、パスワード、変換方式及び生成した隠蔽用コード群に基づいて、混合パスワードの正当性を判断する。生成された隠蔽用コード群はログイン処理の都度に異なるコード群となる。従って、入力される混合パスワードが毎回異なるので、サーバ13に送信されるコード群が毎回異なる。このため、万一、サーバ13への送信の際やキー入力された際に、混合パスワードが不特定の人間に盗られたとしても、盗られた混合パスワードから真のパスワードが知られる危険性は低い。
As described above, according to the above-described embodiment, the following is performed. That is, the
また、上述した実施形態によれば、生成されて提示される隠蔽用コード群は複数個あるので、上記の危険性をより抑えることができる。 Further, according to the above-described embodiment, since there are a plurality of concealment code groups that are generated and presented, the above risk can be further suppressed.
さらに、上述した実施形態によれば、サーバ13で鍵が生成され、生成された鍵がユーザ端末100に送られ、ユーザ端末100が、その鍵で、入力された混合パスワードを暗号化してから送信するようになっているが、その鍵は、ログイン処理の都度に異なる値である。これにより、暗号混合パスワードが盗聴されて別のログイン処理でログインされてしまうといったことを防ぐことができる。
Furthermore, according to the above-described embodiment, the
また、上述した実施形態によれば、隠蔽用コード群は、ユーザ登録されたパスワード及び/又は変換方式に基づいて生成される。これにより、混合パスワードから正しくパスワードと隠蔽用コード群とを分離できるような(或いは、分離し易いような)隠蔽化コード群を生成することができる。 Further, according to the above-described embodiment, the concealment code group is generated based on the user-registered password and / or conversion method. This makes it possible to generate a concealed code group that can correctly separate (or easily separate) the password and the concealment code group from the mixed password.
以上、本発明の一実施形態を説明したが、これは本発明の説明のための例示であって、本発明の範囲をこの実施形態にのみ限定する趣旨ではない。本発明は、他の種々の形態でも実施することが可能である。 The embodiment of the present invention has been described above, but this is an example for explaining the present invention, and the scope of the present invention is not limited to this embodiment. The present invention can be implemented in various other forms.
例えば、混合パスワード中では、パスワードを構成するPWコードが、ばらばらに存在してもよい。具体的には、例えば、図5の例では、正しい混合パスワードの一つとして、"34191245"のように、パスワード"1912"が塊りとして存在するが、それに代えて、例えば、"31491452"のように、PWコードが連続していなくても良い。ただし、その際、PWコードの順序は、パスワード内での並び順になっていた方が好ましいと考えられる。例えば、上記の例で言えば、PWコードがどのようにばらついたとしても、"1912"といった並び順を維持し、違う順序(一例として、"31492145"ように、後半二桁の並び順が逆になる)なら、混合パスワードが不当であると判断してもよい。 For example, in the mixed password, the PW codes constituting the password may be scattered. Specifically, for example, in the example of FIG. 5, as one of the correct mixed passwords, the password “1912” exists as a lump like “34191245”, but instead, for example, “31491452” As described above, the PW codes need not be continuous. However, at that time, it is considered that the order of the PW codes is preferably the order in which the passwords are arranged. For example, in the above example, no matter how the PW code varies, the arrangement order such as “1912” is maintained, and the order of the latter two digits is reversed, such as “31492145” as an example. ), It may be determined that the mixed password is invalid.
また、例えば、隠蔽用コード群とパスワードの両方に同じコードが含まれていてもよい。その場合、例えば、混合パスワード中に同じコードが存在する数や並び順序等から、混合パスワードの正当性を判断することができる。 For example, the same code may be included in both the concealment code group and the password. In this case, for example, the validity of the mixed password can be determined from the number, arrangement order, etc., of the same code in the mixed password.
また、例えば、変換方式の種類は、上述した三種類に限らず、二種類以下或いは四種類以上であっても良い。 Further, for example, the types of conversion methods are not limited to the three types described above, but may be two or less types or four or more types.
また、例えば、ユーザに選択された隠蔽用コード群に適用される変換方式に代えて又は加えて、パスワードに適用される変換方式があってもよい。具体的には、例えば、ユーザに選択された隠蔽用コード群に代えて又は加えて、パスワードそれ自体の反転が行われても良い。 Further, for example, instead of or in addition to the conversion method applied to the concealment code group selected by the user, there may be a conversion method applied to the password. Specifically, for example, the password itself may be reversed instead of or in addition to the concealment code group selected by the user.
また、例えば、ユーザテーブル31には、変換規則が登録されていれば、必ずしもパスワードが登録されなくても良い。この場合、ユーザは、ログイン処理において、パスワードとして、選択した隠蔽用コード群を予め指定してある変換方式に従って変換したものを入力することになる。具体的には、例えば、選択した隠蔽用コード群が"1234"であり、ユーザ登録時に指定した変換方式が「反転した後の値に5を加算する」であれば、パスワードとして、反転後の値"4321"に5を加算した値"4326"を入力する。認証プログラム23は、入力されたパスワード"4326"が、生成して提示した隠蔽用コード群が上記変換方式に従って変換されたものであるか否かを判断する。具体的には、例えば、認証プログラム23は、自分が生成した各隠蔽用コード群を、ログイン要求したユーザに対応した変換方式に従って変換し、変換後の各コード群と入力されたパスワードとが一致するか否かを判断する。その判断の結果、一致が得られれば、認証プログラム23は、入力されたパスワードが正しいものとして、ユーザを認証することができる。
Further, for example, if a conversion rule is registered in the user table 31, the password does not necessarily have to be registered. In this case, in the login process, the user inputs a password obtained by converting the selected concealment code group according to a conversion method designated in advance. Specifically, for example, if the selected concealment code group is “1234” and the conversion method specified at the time of user registration is “add 5 to the value after inversion”, the password is used after the inversion. A value “4326” obtained by adding 5 to the value “4321” is input. The
11…メモリ 13…WEBサーバ 17…データベース 23…認証プログラム 25…隠蔽用コード群生成モジュール 26…鍵生成モジュール 27…復号化モジュール
DESCRIPTION OF
Claims (8)
コード群を生成する手段と、
前記生成されたコード群を前記当該ユーザに提示する手段と、
前記提示したコード群とは別の、前記当該ユーザから入力されたコード群を受ける手段と、
前記生成されたコード群と前記特定されたコード変換規則に基づいて、前記受けた別のコード群が、前記特定されたコード変換規則に従って前記生成されたコード群を変換したものであるか否かを判断する手段と
を備え、前記判断によって肯定的な判断結果が得られた場合に前記当該ユーザを認証する、
認証システム。 Means for identifying a code conversion rule corresponding to the user who is a target of determination of whether to authenticate, referring to a storage area storing a user's arbitrary code conversion rule for each user;
Means for generating code groups;
Means for presenting the generated code group to the user;
Means for receiving a code group input from the user different from the presented code group;
Based on the generated code group and the specified code conversion rule, whether the received another code group is a result of converting the generated code group according to the specified code conversion rule And authenticating the user when a positive determination result is obtained by the determination.
Authentication system.
前記生成する手段は、認証用コード群とは違うコード群である偽コード群を生成し、
前記提示する手段は、前記生成された偽コード群を前記当該ユーザに提示し、
前記別のコード群を受ける手段は、前記提示した偽コード群を構成するコードと前記認証用コード群を構成するコードとが混在したコード群である混合パスワードを受け、
前記判断する手段は、前記生成した偽コード群と、前記特定された認証用コード群及びパスワード構成規則とに基づいて、前記受けた混合パスワードが、前記特定されたパスワード構成規則に従って前記特定された認証用コード群のコードと前記偽コード群のコードとが正しく混在されたものであるか否かを判断する、
請求項1記載の認証システム。 The specifying means refers to the storage area storing the authentication code group of each user and the password configuration rule of the user, and specifies the authentication code group and password configuration rule corresponding to the user,
The generating means generates a false code group which is a code group different from the authentication code group,
The presenting means presents the generated pseudo code group to the user,
The means for receiving the different code group receives a mixed password which is a code group in which the code constituting the presented false code group and the code constituting the authentication code group are mixed,
The means for determining is based on the generated false code group, the specified authentication code group and the password configuration rule, and the received mixed password is specified according to the specified password configuration rule. Determining whether the code of the authentication code group and the code of the fake code group are correctly mixed;
The authentication system according to claim 1.
請求項1記載の認証システム。 The generating means generates a different code group for each user authentication even if the code group is presented to the same user.
The authentication system according to claim 1.
請求項2記載の認証システム。 The generating means generates a false code group that is different for each user authentication even if it is a false code group presented to the same user, and the false code group is used for the specified authentication. Generate based on code group and / or password composition rules,
The authentication system according to claim 2.
前記提示する手段は、前記生成された複数のコード群を提示し、
前記受けた別コード群は、前記提示された複数のコード群の中から前記当該ユーザに選択されたコード群が変換されたものである、
請求項1記載の認証システム。 The generating means generates a plurality of code groups,
The presenting means presents the plurality of generated code groups,
The received another code group is obtained by converting the code group selected by the user from the plurality of presented code groups.
The authentication system according to claim 1.
同一のユーザであってもユーザ認証の都度に中身の異なる電子的な鍵を生成する手段と、
前記生成された鍵を前記ユーザ装置に提供する手段と、
前記ユーザ装置から受けた、前記提供された鍵で前記別のコード群が暗号化されたものを、前記鍵で復号化する手段と
を備え、
前記判断する手段は、前記鍵での復号化によって得られた別のコード群の正否を判断する、
請求項1記載の認証システム。 Connected to a user device, which is a device used by the user, in a communicable manner;
Means for generating an electronic key with different contents for each user authentication even for the same user;
Means for providing the generated key to the user device;
Means for decrypting the other code group encrypted with the provided key received from the user device with the key;
The means for determining determines whether another code group obtained by decryption with the key is correct or not.
The authentication system according to claim 1.
コード群を生成するステップと、
前記生成されたコード群を前記当該ユーザに提示するステップと、
前記提示したコード群とは別の、前記当該ユーザから入力されたコード群を受けるステップと、
前記生成されたコード群と前記特定されたコード変換規則に基づいて、前記受けた別のコード群が、前記特定されたコード変換規則に従って前記生成されたコード群を変換したものであるか否かを判断するステップと
を備え、前記判断によって肯定的な判断結果が得られた場合に前記当該ユーザを認証する、
認証方法。 A step of identifying a code conversion rule corresponding to the user who is a target of determination of whether to authenticate by referring to a storage area storing a user's arbitrary code conversion rule of each user;
Generating code groups;
Presenting the generated code group to the user;
Receiving a code group input from the user, different from the presented code group;
Based on the generated code group and the specified code conversion rule, whether the received another code group is a result of converting the generated code group according to the specified code conversion rule And when the determination results in a positive determination, the user is authenticated.
Authentication method.
コード群を生成するステップと、
前記生成されたコード群を前記当該ユーザに提示するステップと、
前記提示したコード群とは別の、前記当該ユーザから入力されたコード群を受けるステップと、
前記生成されたコード群と前記特定されたコード変換規則に基づいて、前記受けた別のコード群が、前記特定されたコード変換規則に従って前記生成されたコード群を変換したものであるか否かを判断するステップと
前記判断によって肯定的な判断結果が得られた場合に前記ユーザを認証するステップと
をコンピュータに実行させるためのコンピュータプログラム。 A step of identifying a code conversion rule corresponding to the user who is a target of determination of whether to authenticate by referring to a storage area storing a user's arbitrary code conversion rule of each user;
Generating code groups;
Presenting the generated code group to the user;
Receiving a code group input from the user, different from the presented code group;
Based on the generated code group and the specified code conversion rule, whether the received another code group is a result of converting the generated code group according to the specified code conversion rule And a computer program for causing a computer to execute the step of authenticating the user when a positive determination result is obtained by the determination.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005246643A JP2007058807A (en) | 2005-08-26 | 2005-08-26 | Authentication system and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005246643A JP2007058807A (en) | 2005-08-26 | 2005-08-26 | Authentication system and method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007058807A true JP2007058807A (en) | 2007-03-08 |
Family
ID=37922205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005246643A Pending JP2007058807A (en) | 2005-08-26 | 2005-08-26 | Authentication system and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007058807A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012194648A (en) * | 2011-03-15 | 2012-10-11 | Nec Personal Computers Ltd | Authentication server, authentication system and authentication method of server |
JP2013097512A (en) * | 2011-10-31 | 2013-05-20 | Sumitomo Mitsui Banking Corp | Login authentication system and method |
JP2016184266A (en) * | 2015-03-26 | 2016-10-20 | 富士通株式会社 | Authentication method, authentication program, and authentication device |
JP2017510869A (en) * | 2014-06-25 | 2017-04-13 | テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド | Method and apparatus for protecting an application program password on a mobile terminal |
JP2018107814A (en) * | 2014-03-14 | 2018-07-05 | ロウェム インコーポレイテッド | Confidential data management method and device, and security authentication method and system |
-
2005
- 2005-08-26 JP JP2005246643A patent/JP2007058807A/en active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012194648A (en) * | 2011-03-15 | 2012-10-11 | Nec Personal Computers Ltd | Authentication server, authentication system and authentication method of server |
JP2013097512A (en) * | 2011-10-31 | 2013-05-20 | Sumitomo Mitsui Banking Corp | Login authentication system and method |
JP2018107814A (en) * | 2014-03-14 | 2018-07-05 | ロウェム インコーポレイテッド | Confidential data management method and device, and security authentication method and system |
JP2017510869A (en) * | 2014-06-25 | 2017-04-13 | テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド | Method and apparatus for protecting an application program password on a mobile terminal |
US10546137B2 (en) | 2014-06-25 | 2020-01-28 | Tencent Technology (Shenzhen) Company Limited | Method and apparatus for protecting application program password of mobile terminal |
JP2016184266A (en) * | 2015-03-26 | 2016-10-20 | 富士通株式会社 | Authentication method, authentication program, and authentication device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9191394B2 (en) | Protecting user credentials from a computing device | |
US9246897B2 (en) | Method and system of login authentication | |
JP4907895B2 (en) | Method and system for recovering password-protected private data over a communication network without exposing the private data | |
CN112425118B (en) | Public key-private key pair account login and key manager | |
JP6702874B2 (en) | Method and apparatus for providing client-side score-based authentication | |
CN112425114B (en) | Password manager protected by public key-private key pair | |
CN109075976A (en) | Certificate depending on key authentication is issued | |
JP4818664B2 (en) | Device information transmission method, device information transmission device, device information transmission program | |
JP2016063533A (en) | Network authentication method for electronic transactions | |
US20080229109A1 (en) | Human-recognizable cryptographic keys | |
JPWO2019239591A1 (en) | Authentication system, authentication method, application provider, authentication device, and authentication program | |
CN109981665A (en) | Resource provider method and device, resource access method and device and system | |
JP2008242926A (en) | Authentication system, authentication method and authentication program | |
JP2009043037A (en) | User authentication method, user authentication device, program and recording medium | |
US12107956B2 (en) | Information processing device, information processing method, and non-transitory computer readable storage medium | |
JP2007058807A (en) | Authentication system and method | |
JP4998314B2 (en) | Communication control method and communication control program | |
JP2007336127A (en) | Authentication system, server computer, program, and recording medium | |
JP2007060581A (en) | Information management system and method | |
JP2007065789A (en) | Authentication system and method | |
Weeks et al. | CCI-Based Web security: a design using PGP | |
KR20090013616A (en) | Server certification system and method using server certification code | |
Maddipati | Implementation of Captcha as Graphical Passwords For Multi Security | |
JP7403430B2 (en) | Authentication device, authentication method and authentication program | |
JP2009246459A (en) | Communication control method, communication control program, and information processor |