JP2007336546A - サーバによるユーザ認証方法及びその装置 - Google Patents
サーバによるユーザ認証方法及びその装置 Download PDFInfo
- Publication number
- JP2007336546A JP2007336546A JP2007154856A JP2007154856A JP2007336546A JP 2007336546 A JP2007336546 A JP 2007336546A JP 2007154856 A JP2007154856 A JP 2007154856A JP 2007154856 A JP2007154856 A JP 2007154856A JP 2007336546 A JP2007336546 A JP 2007336546A
- Authority
- JP
- Japan
- Prior art keywords
- user authentication
- server
- value
- user
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Abstract
【解決手段】変数K、t、xの暗号化関数が提供されたクライアント装置を準備するステップ(Kは、サーバとクライアント装置とが共有する秘密であり、tは、時間に依存する変数であり、xは、少なくとも2つの値を有する変数である)と、サーバによるユーザ認証のために、クライアント装置が、xの第1値により得られる関数の第1値を計算するステップ(S30)と、サーバによるユーザ認証の検証のために、クライアント装置が、xの第2値により得られる関数の第2値を計算するステップ(S80、S110)とからなることを特徴とするサーバによるユーザ認証方法を構成する。また、本発明は、前記関数値の計算手段を備えたユーザ認証装置を提供する。
【選択図】図1
Description
別の欠点は、共有秘密を取得したアタッカーがパスワードを再生成できるところにある。ひとつのリスクは、このようなフォーク爆弾攻撃(ハイジャック)である。実際にユーザ認証は接続時になされる。一旦このユーザ認証を通過すると、認証が常に正しいかの検証は行われない。また、通信、例えばTCP/IP型やDTMF送信の流用も可能である。ひとたびこの流用がなされると、サーバが攻撃者に対話を求めた場合、これに対し攻撃者は犠牲者のセッションを使用するという事態が生じる。
サーバによるユーザ認証のために、クライアント装置が、xの第1値により得られる関数の第1値を計算するステップと、
サーバによるユーザ認証の検証のために、クライアント装置が、xの第2値により得られる関数の第2値を計算するステップとからなる。
好ましい実施態様においては、本発明の方法は、一つ以上の以下の特徴からなる。本発明による方法は、前記第1計算ステップの後で、さらに、
サーバに第1値を提供するステップと、
提供された第1値を利用して、サーバがユーザ認証を行うステップと、
ユーザがサーバに要求をするステップとからなり、またこの方法は、第2計算ステップの後で、さらに
サーバに第2値の少なくとも一部分を提供するステップと、
この第2値の少なくとも一部分を利用してサーバがユーザ認証を検証するステップとからなり、また、本発明による前記ユーザ認証方法は、第1計算ステップと第2計算ステップとの間において、さらに、
ユーザがサーバから第2値の少なくとも一部分に関連するチャレンジを受けるステップとからなり、
前記第1、第2計算ステップの少なくとも一方において、前記関数は変数K、t、xの連結値を使用し、
変数xは、1ビットコードの変数であり、−前記関数は、ハッシュ関数である。
また、本発明は、変数K、t、xの暗号化関数が提供されたユーザ認証装置において(Kは、サーバとクライアント装置とが共有する秘密であり、tは、時間に依存する変数であり、xは、少なくとも2つの値を有する変数である)、
少なくともxの2つの値の一方または残りの関数値を計算する手段を設けたユーザ認証装置に関するものである。
本発明の好ましい実施態様において、本発明のユーザ認証装置は、一つ以上の以下の特徴を有している。本発明のユーザ認証装置は、さらに
ユーザが変数xを変更する手段を設け、
ユーザによってユーザ認証装置による関数値の計算を発動させる手段を設け、
この変更手段および発動手段は、一体化して設け、
また、本発明によるユーザ認証装置は、さらに、複数の表示部を有する関数値の表示手段を設け、このユーザ認証装置は、各表示部において関数値の部分表示が可能であり、
計算手段は、変数K、t、xの連結値を利用した関数値の計算が可能であり、
変数xは、1ビットコードの変数である。
以下、図面に基づいてこの発明の実施例を詳細且つ具体的に説明する。
変数Kは、サーバとクライアント装置とが共有する秘密(シークレット)であって、通常、これは秘密鍵(一般には二つの通信者間にのみ知られた独自の鍵)である。従来技術で知られているように、暗号化セキュリティーは、この共通鍵による秘匿性に依存している。
関数fは、通常、暗号化やハッシングやメッセージ認証コード(MAC)に適する関数である。この関数は、ハッシュアルゴリズムからなる、ハッシュ関数またはダブルハッシュ関数(例えばMD5、SHA、SHAの発展型)が好ましい。従来技術で知られるように、このような関数は、一連の値をより小範囲の値に対応させるものである。アルゴリズムによって、初期メッセージを簡易化したメッセージを生成できる。
より正確には、ハッシュ関数fの場合、f(n)≠f(m)はn≠mを意味し、f(n)=f(m)はおそらくn=mを意味することが要求される。nの設定値がfによる設定値を超える場合、後者の性質を評価するのは困難である。実際にも、暗号という意味合いでは、関数fは、nが任意でハッシュ値f(n)が既知の場合、f(n)=f(m)であるようにmを計算することが非常に困難(すなわち技術的に不可能であるかほぼ不可能)となるように追求される。
変数xは、ハッシュレベルを考慮した、例えば追加ビットである。変数xを追加ビットでコード化することは、変数xに二つの値を与えるにつき十分であるため、特に単純で有利であることが証明される。
例えば、時間変数は、1バイトでコード化されうる(例えば11001010)。秘密すなわち鍵は、例えば、1011001010100111101010101100001010というストリングを有する値でありうる(他の値と区別するため太字で示している)。また、以下のように構成することもできる。
(i)f(K、t、x=0)=f(1100101010110010101001111010101011000010100)、あるいは
(ii)f(K、t、x=1)=f(11001010101100l0101001111010101011000010101)。
この計算ステップは、変数x(例えばx=0)の第1値のために実施される。
この原理によると、装置がユーザにx=0で生成されうる各新規パスワードを知らせる必要がないことに注目しなければならない。ユーザは、必要なときのみ装置に要求するだけでよい。したがって、ユーザは、例えば、1回目は、ユーザ自身を認証するよう装置にリクエストまたはそれを制御し(X=0)、それから2回目はサーバが認証を検証するための新規パスワードの交付を要求する(x=1)。
また好ましくは、表示手段は、個別の表示部23〜25からなる。これらの表示部は、例えば、表示スクリーン20の境界部を設けることや、個別のスクリーンによって、個別化される。当業者は、例えば、個別の表示部の間にキャラクター表示スペースを設けることで、読み取り容易にできる。
12 サーバ接続手段
16 変更手段
20 表示手段
23〜25 表示部
Claims (12)
- 変数K、t、xの暗号化関数が提供されたクライアント装置を準備するステップ(Kは、サーバとクライアント装置とが共有する秘密であり、tは、時間に依存する変数であり、xは、少なくとも2つの値を有する変数である)と、
サーバによるユーザ認証のために、クライアント装置が、xの第1値により得られる関数の第1値を計算するステップ(S30)と、
サーバによるユーザ認証の検証のために、クライアント装置が、xの第2値により得られる関数の第2値を計算するステップ(S80、S110)とからなることを特徴とするサーバによるユーザ認証方法。 - 前記ユーザ認証方法は、前記第1計算ステップ(S30)の後で、さらに、
サーバに第1値を提供するステップ(S40)と、
提供された第1値を利用して、サーバがユーザ認証を行うステップ(S50)と、
ユーザがサーバにリクエストをするステップ(S70、S80)とからなり、
また、前記ユーザ認証方法は、前記第2計算ステップの後で、さらに、
サーバに第2値の少なくとも一部分を提供するステップ(S110、S80)と、
この第2値の少なくとも一部分を利用してサーバがユーザ認証を検証するステップ(S50)とからなることを特徴とする請求項1に記載のサーバによるユーザ認証方法。 - 前記ユーザ認証方法は、第1計算ステップ(S30)と第2計算ステップ(S80、S110)との間において、さらに、
ユーザがサーバから第2値の少なくとも一部分に関連するチャレンジを受けるステップ(S90)からなることを特徴とする請求項1又は請求項2に記載のサーバによるユーザ認証方法。 - 前記第1計算ステップ(S30)および第2計算ステップ(S80、S110)の少なくとも一方において、前記関数は変数K、t、xの連結値を使用することを特徴とする請求項1〜3のいずれか1項に記載のサーバによるユーザ認証方法。
- 前記変数xは1ビットコードの変数であることを特徴とする請求項1〜4のいずれか1項に記載のサーバによるユーザ認証方法。
- 前記関数は、ハッシュ関数であることを特徴とする請求項1〜5のいずれか1項に記載のサーバによるユーザ認証方法。
- 変数K、t、xの暗号化関数が提供された備えたユーザ認証装置において(Kは、サーバとクライアント装置とが共有する秘密であり、tは、時間に依存する変数であり、xは、少なくとも2つの値を有する変数である)、xの少なくとも2つの値の一方または残りの関数値を計算する手段を設けたことを特徴とするユーザ認証装置。
- ユーザが変数xを変更する手段(16)を設け、ユーザによってユーザ認証装置による関数値の計算を発動させる手段(16)を設けたことを特徴とする請求項7に記載のユーザ認証装置。
- 前記変更および発動手段(16)は、一体化して設けたことを特徴とする請求項8に記載のユーザ認証装置。
- 複数の表示部(23〜25)を有する関数値の表示手段(20)を設けたユーザ認証装置であって、このユーザ認証装置は、各表示部(23〜25)において関数値の部分表示が可能であることを特徴とする請求項7〜請求項9のいずれか1項に記載のユーザ認証装置。
- 前記計算手段は、変数K、t、xの連結値を利用した関数値の計算が可能であることを特徴とする請求項7〜請求項10のいずれか1項に記載のユーザ認証装置。
- 前記変数xは、1ビットコードの変数であることを特徴とする請求項7〜請求項11のいずれか1項に記載のユーザ認証装置。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0605240A FR2902253B1 (fr) | 2006-06-13 | 2006-06-13 | Procede et dispositif d'authentification d'un utilisateur |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007336546A true JP2007336546A (ja) | 2007-12-27 |
Family
ID=37496331
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007154856A Pending JP2007336546A (ja) | 2006-06-13 | 2007-06-12 | サーバによるユーザ認証方法及びその装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8850518B2 (ja) |
EP (1) | EP1868316B1 (ja) |
JP (1) | JP2007336546A (ja) |
CN (1) | CN101090322B (ja) |
ES (1) | ES2792177T3 (ja) |
FR (1) | FR2902253B1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9742761B2 (en) | 2015-11-10 | 2017-08-22 | International Business Machines Corporation | Dynamic authentication for a computing system |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000224162A (ja) * | 1999-02-03 | 2000-08-11 | Hitachi Ltd | 不可逆関数を用いたクライアント認証方法 |
JP2001167052A (ja) * | 1999-10-28 | 2001-06-22 | Xerox Corp | ハードコピー文書において参照されるオンラインコンテンツへの安全なアクセスを提供するための方法 |
JP2002521962A (ja) * | 1998-07-31 | 2002-07-16 | サンマイクロシステムズ インコーポレーテッド | 認証トークンを使用して共有秘密を確立する方法及びシステム |
JP2002259344A (ja) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | ワンタイムパスワード認証システム及び携帯電話及びユーザ認証サーバ |
JP2006508471A (ja) * | 2002-11-27 | 2006-03-09 | アールエスエイ セキュリティー インク | 識別認証システムおよび方法 |
JP2007505408A (ja) * | 2003-09-12 | 2007-03-08 | アールエスエイ セキュリティー インコーポレーテッド | 無連絡認証を提供するシステムおよび方法 |
JP2007523431A (ja) * | 2004-02-23 | 2007-08-16 | ベリサイン・インコーポレイテッド | トークン認証システムおよび方法 |
JP2009534742A (ja) * | 2006-04-21 | 2009-09-24 | ベリサイン・インコーポレイテッド | 時間およびイベントベースのワンタイムパスワード |
JP2010507838A (ja) * | 2006-05-01 | 2010-03-11 | ミ ラエ テクノロジー カンパニー リミテッド | 携帯電話における時間同期方式otp発生装置と方法 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100213188B1 (ko) * | 1996-10-05 | 1999-08-02 | 윤종용 | 사용자 인증 장치 및 방법 |
JP2002508892A (ja) * | 1997-03-10 | 2002-03-19 | ガイ・エル・フィールダー | 双方向認証および暗号化システム |
US7478434B1 (en) * | 2000-05-31 | 2009-01-13 | International Business Machines Corporation | Authentication and authorization protocol for secure web-based access to a protected resource |
US7114080B2 (en) * | 2000-12-14 | 2006-09-26 | Matsushita Electric Industrial Co., Ltd. | Architecture for secure remote access and transmission using a generalized password scheme with biometric features |
GB0119629D0 (en) * | 2001-08-10 | 2001-10-03 | Cryptomathic As | Data certification method and apparatus |
US20030145204A1 (en) * | 2002-01-29 | 2003-07-31 | Mehrdad Nadooshan | Method and apparatus for simultaneously establishing user identity and group membership |
US7069438B2 (en) * | 2002-08-19 | 2006-06-27 | Sowl Associates, Inc. | Establishing authenticated network connections |
AU2005295579B2 (en) * | 2004-10-15 | 2011-08-04 | NortonLifeLock Inc. | One time password |
US7624181B2 (en) * | 2006-02-24 | 2009-11-24 | Cisco Technology, Inc. | Techniques for authenticating a subscriber for an access network using DHCP |
-
2006
- 2006-06-13 FR FR0605240A patent/FR2902253B1/fr not_active Expired - Fee Related
-
2007
- 2007-05-29 ES ES07290670T patent/ES2792177T3/es active Active
- 2007-05-29 EP EP07290670.4A patent/EP1868316B1/fr active Active
- 2007-06-08 US US11/760,063 patent/US8850518B2/en active Active
- 2007-06-12 JP JP2007154856A patent/JP2007336546A/ja active Pending
- 2007-06-13 CN CN2007101110761A patent/CN101090322B/zh not_active Expired - Fee Related
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002521962A (ja) * | 1998-07-31 | 2002-07-16 | サンマイクロシステムズ インコーポレーテッド | 認証トークンを使用して共有秘密を確立する方法及びシステム |
JP2000224162A (ja) * | 1999-02-03 | 2000-08-11 | Hitachi Ltd | 不可逆関数を用いたクライアント認証方法 |
JP2001167052A (ja) * | 1999-10-28 | 2001-06-22 | Xerox Corp | ハードコピー文書において参照されるオンラインコンテンツへの安全なアクセスを提供するための方法 |
JP2002259344A (ja) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | ワンタイムパスワード認証システム及び携帯電話及びユーザ認証サーバ |
JP2006508471A (ja) * | 2002-11-27 | 2006-03-09 | アールエスエイ セキュリティー インク | 識別認証システムおよび方法 |
JP2007505408A (ja) * | 2003-09-12 | 2007-03-08 | アールエスエイ セキュリティー インコーポレーテッド | 無連絡認証を提供するシステムおよび方法 |
JP2007523431A (ja) * | 2004-02-23 | 2007-08-16 | ベリサイン・インコーポレイテッド | トークン認証システムおよび方法 |
JP2009534742A (ja) * | 2006-04-21 | 2009-09-24 | ベリサイン・インコーポレイテッド | 時間およびイベントベースのワンタイムパスワード |
JP2010507838A (ja) * | 2006-05-01 | 2010-03-11 | ミ ラエ テクノロジー カンパニー リミテッド | 携帯電話における時間同期方式otp発生装置と方法 |
Also Published As
Publication number | Publication date |
---|---|
EP1868316B1 (fr) | 2020-04-01 |
US20080077977A1 (en) | 2008-03-27 |
CN101090322B (zh) | 2012-11-28 |
US8850518B2 (en) | 2014-09-30 |
ES2792177T3 (es) | 2020-11-10 |
FR2902253B1 (fr) | 2009-04-03 |
EP1868316A1 (fr) | 2007-12-19 |
CN101090322A (zh) | 2007-12-19 |
FR2902253A1 (fr) | 2007-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8302167B2 (en) | Strong authentication token generating one-time passwords and signatures upon server credential verification | |
Hiltgen et al. | Secure internet banking authentication | |
KR100864903B1 (ko) | 일시적 모듈을 사용한 암호 인증 | |
US20090328168A1 (en) | Method for registering and certificating user of one time password by a plurality of mode and computer-readable recording medium where program executing the same method is recorded | |
KR20080059617A (ko) | 사용자 인증 방법 및 디바이스 | |
JP2013528857A (ja) | パスワードキーの移動値を利用するパスワード安全入力システム及びそのパスワード安全入力方法 | |
EP1676393B1 (en) | Authentication system | |
AU2007309051B2 (en) | User authentication system and method | |
JP2008176383A (ja) | ワンタイムパスワード生成方法、ワンタイムパスワード認証方法、ワンタイムパスワード生成装置、ワンタイムパスワードの生成機能を備えたicカード、ワンタイムパスワード認証装置、icカードプログラム及びコンピュータプログラム | |
KR20210095061A (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
WO2008032916A1 (en) | Method for registering and certificating user of one time password by a plurality of mode and computer-readable recording medium where program executing the same method is recorded | |
JP2007336546A (ja) | サーバによるユーザ認証方法及びその装置 | |
JP6315080B2 (ja) | 認証装置、認証システム及びプログラム | |
Tsuji et al. | Cryptanalysis on one-time password authentication schemes using counter value |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100409 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120911 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121206 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20121221 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130418 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130524 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20130617 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20130719 |