JP2007274253A - 認証装置及び方法 - Google Patents
認証装置及び方法 Download PDFInfo
- Publication number
- JP2007274253A JP2007274253A JP2006096263A JP2006096263A JP2007274253A JP 2007274253 A JP2007274253 A JP 2007274253A JP 2006096263 A JP2006096263 A JP 2006096263A JP 2006096263 A JP2006096263 A JP 2006096263A JP 2007274253 A JP2007274253 A JP 2007274253A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- value
- authenticator
- way function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】ユーザがPC12からユーザ名及びPSWを入力して、インターネット11上のサーバ13より認証を受けるようになっている認証システムにおいて、PSWの外部流出を防止する。
【解決手段】登録手続の際、ユーザのPSWはハッシュ関数によりハッシュ値に置き換えられ(S21)、該ハッシュ値がユーザ名に対応付けられて、記憶装置内のデータベース28に保存される(S22)。ユーザ認証手続では、ユーザがインターネット11から送信して来たユーザ名及びPSWに対し、ユーザ名に対応付けて保存してあるハッシュ値をデータベース28から読み出すとともに、PSWからハッシュ関数によりハッシュ値を算出する。算出したハッシュ値を、データベース28から読み出したハッシュ値と照合し、一致していれば、認証する。
【選択図】図3
【解決手段】登録手続の際、ユーザのPSWはハッシュ関数によりハッシュ値に置き換えられ(S21)、該ハッシュ値がユーザ名に対応付けられて、記憶装置内のデータベース28に保存される(S22)。ユーザ認証手続では、ユーザがインターネット11から送信して来たユーザ名及びPSWに対し、ユーザ名に対応付けて保存してあるハッシュ値をデータベース28から読み出すとともに、PSWからハッシュ関数によりハッシュ値を算出する。算出したハッシュ値を、データベース28から読み出したハッシュ値と照合し、一致していれば、認証する。
【選択図】図3
Description
本発明は、パスワード等の認証子を使って、ユーザ認証を行なう認証装置及び方法に関する。
特許文献1は、ユーザが、車載装置に音楽データをダウンロードする場合に、代金支払に係る課金を受けるために、携帯端末(例:携帯電話機)を使って、インターネット上のコンテンツプロバイダへアクセスして、登録会員の認証を受けることを開示する(特許文献1の段落0074)。
典型的なユーザ認証では、ユーザはユーザ名の入力と共にPSW(パスワード)を入力することになっている。従来の認証装置では、ユーザ登録時に、ユーザのPSWがそのままサーバのデータベースに保存され、ユーザ認証時では、認証要求のためにユーザが入力したPSWを、データベースから読み出したPSWと照合し、もし一致していれば、認証し、不一致であれば、認証を拒否することにしている。
特開2001−239895号公報
ユーザ認証の際のユーザの端末機−ホスト間の通信は、公開鍵や、共通鍵の使用によりセキュア性が保持される。しかしながら、従来の認証装置では、ユーザのPSWがそのまま記録媒体に保存されているので、ハッカーが、データベースへ不正侵入して、データを盗んだり、内部関係者が、無断で、外部へ持ち出したり、ウィニーのようなソフトが外部へ情報流出させたりすると、他人が、漏出したPSWを使って簡単になりすましを行なえる危険がある。
本発明の目的は、認証子の漏出に対するセキュア性を保持できる認証装置及び方法を提供することである。
本発明の認証装置は次のものを備えている。
ユーザの認証子登録手続において、ユーザからの認証子を一方向関数の引数にして、該一方向関数の値としての認証用登録値を算出する第1の算出手段、
ユーザの認証子は除外しつつ、該認証子に対応する認証用登録値を記録媒体に保存する保存手段、
ユーザの認証手続において、ユーザからの認証子を一方向関数の引数にして、該一方向関数の値としての認証要求値を算出する第2の算出手段、及び
ユーザに対応付けられている認証用登録値を記録媒体から読み出して該認証用登録値と認証要求値とを照合し照合に基づきユーザ認証の可否を決める照合手段。
ユーザの認証子登録手続において、ユーザからの認証子を一方向関数の引数にして、該一方向関数の値としての認証用登録値を算出する第1の算出手段、
ユーザの認証子は除外しつつ、該認証子に対応する認証用登録値を記録媒体に保存する保存手段、
ユーザの認証手続において、ユーザからの認証子を一方向関数の引数にして、該一方向関数の値としての認証要求値を算出する第2の算出手段、及び
ユーザに対応付けられている認証用登録値を記録媒体から読み出して該認証用登録値と認証要求値とを照合し照合に基づきユーザ認証の可否を決める照合手段。
本発明の認証方法は次のステップを備えている。
ユーザの認証子登録手続において、ユーザからの認証子を一方向関数の引数にして、該一方向関数の値としての認証用登録値を算出するステップ、
ユーザの認証子は除外しつつ、該認証子に対応する認証用登録値を記録媒体に保存するステップ、
ユーザの認証手続において、ユーザからの認証子を一方向関数の引数にして、該一方向関数の値としての認証要求値を算出するステップ、及び
ユーザに対応付けられている認証用登録値を記録媒体から読み出して該認証用登録値と認証要求値とを照合し照合に基づきユーザ認証の可否を決めるステップ。
ユーザの認証子登録手続において、ユーザからの認証子を一方向関数の引数にして、該一方向関数の値としての認証用登録値を算出するステップ、
ユーザの認証子は除外しつつ、該認証子に対応する認証用登録値を記録媒体に保存するステップ、
ユーザの認証手続において、ユーザからの認証子を一方向関数の引数にして、該一方向関数の値としての認証要求値を算出するステップ、及び
ユーザに対応付けられている認証用登録値を記録媒体から読み出して該認証用登録値と認証要求値とを照合し照合に基づきユーザ認証の可否を決めるステップ。
本発明によれば、認証処理側の記録媒体には、認証子そのものではなく、認証子を引数とする一方向関数の値が認証用登録値として保存されるとともに、認証時では、ユーザからの認証子を引数とする一方向関数の値を、保存中の認証用登録値と照合するようになっている。したがって、支障なく、認証が行なうことができるとともに、保存情報が漏れても、該情報を使用して、認証が受けられることを防止できる。
図1はユーザ認証が適用されるインターネットシステムを示している。インターネット11にはPC(パーソナルコンピュータ)12及びサーバ13が接続され、インターネット11を介してデータを相互に送受自在になっている。
図2はPC12のユーザがサーバ13に対して認証登録を受ける際の手順の説明図である。認証登録手続の際、PC12−サーバ13間の通信は、共通鍵の使用等によりにセキュア性が保持されている。S20〜S22はサーバ13において実行される。
登録を求めるユーザは、PC12において入力したユーザ名(例:”Thomas”)及びPSW(例:”ABCDE”)を入力し、入力データはインターネット11を介してサーバ13へ送られ、サーバ13は、S20においてこれを受信する。S21では、一方向関数として例えばハッシュ関数を使用し、PC12からのPSWを該ハッシュ関数の引数に使って、ハッシュ値(例:”bRiQK”)を算出する。
S22では、ハッシュ値をユーザ名に対応付けてハードディスク装置内のデータベース28に登録する。ハッシュ値からPSWへの変換は困難である。したがって、ハッカーがデータベース28に不正侵入して、データベース28のハッシュ値を盗み出したり、内部関係者がデータベース28のハッシュ値を外部へ持ち出したりしても、ハッシュ値に対応するPSWは露見せず、ユーザのPSWが不正使用されることはない。
図3はユーザがサーバ13に認証を受ける際の手順の説明図である。認証手続の際、PC12−サーバ13間の通信は、認証登録手続時と同様に、共通鍵の使用等によりセキュア性が保持されている。S30〜S33はサーバ13において実行される。
認証を求めるユーザは、PC12において自分のユーザ名(例:”Thomas”)及びPSW(例:”ABCDE”)を入力し、入力データはインターネット11を介してサーバ13へ送られ、サーバ13はS30においてこれを受信する。
S31では、PC12からのPSWをハッシュ関数の引数に使って、ハッシュ値を算出する。S32では、ユーザ名に対応するハッシュ値をデータベース28から読み出すとともに、S31で算出したハッシュ値を、データベース28から読み出したハッシュ値と照合する。S33では、S32の照合の結果、両者が一致すると判断すれば、認証し、不一致であれば、認証しない。
図4は認証装置50のブロック図である。図2及び図3で説明した各手順は装置の処理の一例である。認証装置50は、第1の算出手段51、保存手段52、第2の算出手段53、及び照合手段54を備えている。
第1の算出手段51は、ユーザの認証子登録手続において、ユーザからの認証子を一方向関数58の引数にして、該一方向関数58の値としての認証用登録値を算出する。保存手段52は、各ユーザの認証子は除外しつつ、該認証子に対応する認証用登録値を記録媒体59に保存する。
第2の算出手段53は、ユーザの認証手続において、ユーザからの認証子を一方向関数58の引数にして、該一方向関数58の値としての認証要求値を算出する。照合手段54は、ユーザに対応付けられている認証用登録値を記録媒体59から読み出して、該認証用登録値と認証要求値とを照合し照合に基づきユーザ認証の可否を決める。具体的には、両者が一致している場合は、認証し、不一致である場合は認証しない。
認証装置50における認証は、典型的には、サーバが、インターネットを介して端末のユーザに対して行なう認証であるが、その他の認証、例えば、情報処理装置が、該情報処理装置の使用開始に先立ってユーザに対して行なう認証であってもよい。情報処理装置とは、例えば、PC(パーソナルコンピュータ)、携帯電話機、又はPDA(Personal Digital Assistants)である。記録媒体59は、例えば、ハードディスク装置である。
一方向関数58とは、例えばハッシュ関数である。該ハッシュ関数は、例えばSecure Hash Algorithm512(SHA−512)やMessage Digest Algorithm5(MD5)である。なお、一方向関数58は、複数の異なる一方向関数を組み合わせたもの、少なくとも1個の一方向関数と非一方向関数とを組み合わせたものも含むものとする。
認証子は、典型的にはPSWであるが、指紋や虹彩等の生体認証の認証子であってもよい。個人情報保護の観点から、それら指紋のデータも、認証やその他に悪用されることが考えられ、それを防止する必要があるからである。
一方向関数値へ変換して記録媒体に保存する対象としての認証子は、PSWだけとせず、PSW及びユーザ名の両方であってもよい。認証業者によっては、ユーザ名そのものを把握しなくてもいい場合があり、すなわち、ユーザ名に対応する一方向関数値で足りる場合があり、また、ユーザ名によっては第三者がユーザ名から容易にユーザを特定できる場合があり、業者は、個人情報流出防止等の観点から、ユーザ名の外部流出も回避したいことがあるからである。
こうして、認証装置50では、記録媒体59に保存したデータが外部へ漏出するようなことがあっても、漏出データに基づき認証子が露見することが免れるので、保存情報流出に因る認証子の悪用を防止できる。
図5は認証方法70のフローチャートである。該認証方法70は、図2及び図3で説明した処理を抽象化したものである。S71,S72は認証子登録手続の際のステップに関する。S73,S74は、認証手続時のステップに関する。
S71では、ユーザの認証子登録手続において、ユーザからの認証子を一方向関数58の引数にして、該一方向関数58の値としての認証用登録値を算出する。S72では、ユーザの認証子は除外しつつ、該認証子に対応する認証用登録値を記録媒体に保存する。
S73では、ユーザの認証手続において、ユーザからの認証子を一方向関数58の引数にして、該一方向関数58の値としての認証要求値を算出する。S74では、ユーザに対応付けられている認証用登録値を記録媒体から読み出して、該認証用登録値と認証要求値とを照合し、照合に基づきユーザ認証の可否を決める。
前述の認証装置50についての具体的態様は認証方法70の具体的態様としても適用可能である。例えば、認証方法70は、所定のサーバがインターネットを介して端末のユーザを認証するものに適用されてもよいし、ユーザ使用の情報処理装置において、該情報処理装置の使用開始に先立ってユーザ認証を行なうものであってもよい。一方向関数58とは、例えばハッシュ関数である。認証子は、PSWや生体認証の認証子だけでなく、それらと共にユーザ名も対象としてよい。
本発明を各種具体的形態について説明したが、本発明は、これに限定されるものではなく、発明の要旨を逸脱しない範囲で、各種具体的形態における各構成要素を変形(削除も含む。)して具体化できる。また、各種具体的形態間の構成要素の置換したり、各種具体的形態の複数の構成要素を組み合わせたりすることにより、種々の発明を形成することもできる。
50:認証装置、51:第1の算出手段、52:保存手段、53:第2の算出手段、54:照合手段、58:一方向関数、59:記録媒体、70:認証方法。
Claims (3)
- ユーザの認証子登録手続において、ユーザからの認証子を一方向関数の引数にして、該一方向関数の値としての認証用登録値を算出する第1の算出手段、
ユーザの認証子は除外しつつ、該認証子に対応する認証用登録値を記録媒体に保存する保存手段、
ユーザの認証手続において、ユーザからの認証子を前記一方向関数の引数にして、該一方向関数の値としての認証要求値を算出する第2の算出手段、及び
ユーザに対応付けられている認証用登録値を前記記録媒体から読み出して該認証用登録値と認証要求値とを照合し照合に基づきユーザ認証の可否を決める照合手段、
を備えていることを特徴とする認証装置。 - 前記認証は、サーバが、インターネットを介して端末のユーザに対して行なう認証、又は情報処理装置が、該情報処理装置の使用開始に先立ってユーザに対して行なう認証であることを特徴とする請求項1記載の認証装置。
- ユーザの認証子登録手続において、ユーザからの認証子を一方向関数の引数にして、該一方向関数の値としての認証用登録値を算出するステップ、
ユーザの認証子は除外しつつ、該認証子に対応する認証用登録値を記録媒体に保存するステップ、
ユーザの認証手続において、ユーザからの認証子を一方向関数の引数にして、該一方向関数の値としての認証要求値を算出するステップ、及び
ユーザに対応付けられている認証用登録値を前記記録媒体から読み出して該認証用登録値と認証要求値とを照合し照合に基づきユーザ認証の可否を決めるステップ、
を備えていることを特徴とする認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006096263A JP2007274253A (ja) | 2006-03-31 | 2006-03-31 | 認証装置及び方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006096263A JP2007274253A (ja) | 2006-03-31 | 2006-03-31 | 認証装置及び方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007274253A true JP2007274253A (ja) | 2007-10-18 |
Family
ID=38676605
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006096263A Pending JP2007274253A (ja) | 2006-03-31 | 2006-03-31 | 認証装置及び方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007274253A (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002217892A (ja) * | 2001-01-24 | 2002-08-02 | Toyo Commun Equip Co Ltd | 鍵データ入力方式 |
| JP2003177967A (ja) * | 2001-12-11 | 2003-06-27 | Ricoh Co Ltd | アクセス制御履歴保証方法 |
| JP2004013488A (ja) * | 2002-06-06 | 2004-01-15 | Ricoh Co Ltd | 原本性保証電子文書保管サービス方法 |
-
2006
- 2006-03-31 JP JP2006096263A patent/JP2007274253A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002217892A (ja) * | 2001-01-24 | 2002-08-02 | Toyo Commun Equip Co Ltd | 鍵データ入力方式 |
| JP2003177967A (ja) * | 2001-12-11 | 2003-06-27 | Ricoh Co Ltd | アクセス制御履歴保証方法 |
| JP2004013488A (ja) * | 2002-06-06 | 2004-01-15 | Ricoh Co Ltd | 原本性保証電子文書保管サービス方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323260B2 (en) | Method and device for identity verification | |
| CN109684790B (zh) | 软件启动方法、软件授权验证方法、设备和存储介质 | |
| CN109951489B (zh) | 一种数字身份认证方法、设备、装置、系统及存储介质 | |
| CN110768968B (zh) | 基于可验证声明的授权方法、装置、设备及系统 | |
| EP2605567B1 (en) | Methods and systems for increasing the security of network-based transactions | |
| CN110768967B (zh) | 业务授权方法、装置、设备、系统及存储介质 | |
| US8869289B2 (en) | Software application verification | |
| US9325683B2 (en) | Mobile application management framework | |
| US7844832B2 (en) | System and method for data source authentication and protection system using biometrics for openly exchanged computer files | |
| US8681642B2 (en) | Equipment-information transmitting apparatus, service control apparatus, equipment-information transmitting method, and computer products | |
| US20110239281A1 (en) | Method and apparatus for authentication of services | |
| KR102137122B1 (ko) | 보안 체크 방법, 장치, 단말기 및 서버 | |
| US20220329446A1 (en) | Enhanced asset management using an electronic ledger | |
| JP2006311529A (ja) | 認証システムおよびその認証方法、認証サーバおよびその認証方法、記録媒体、プログラム | |
| US10694330B2 (en) | Validating mobile applications for accessing regulated content | |
| CN111800273B (zh) | 信息处理方法、电子设备及存储介质 | |
| US20010048359A1 (en) | Restriction method for utilization of computer file with use of biometrical information, method of logging in computer system and recording medium | |
| US20110154436A1 (en) | Provider Management Methods and Systems for a Portable Device Running Android Platform | |
| KR101642267B1 (ko) | 앱 위변조 방지시스템 및 그 방법 | |
| EP3443501B1 (en) | Account access | |
| CN110224974B (zh) | 基于第三方接入的接口鉴权方法及相关设备 | |
| JPH10260939A (ja) | コンピュータネットワークのクライアントマシン認証方法,クライアントマシン,ホストマシン及びコンピュータシステム | |
| CN108965335B (zh) | 防止恶意访问登录接口的方法、电子设备及计算机介质 | |
| CN106533685B (zh) | 身份认证方法、装置及系统 | |
| JP5049179B2 (ja) | 情報処理端末装置及びアプリケーションプログラムの起動認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090220 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110802 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20111012 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120110 |