JP2008176383A - Method for creating one-time password, method for authenticating one-time password, one-time password creation apparatus, ic card with function to create one-time password, one-time password authentication apparatus, ic card program, and computer program - Google Patents
Method for creating one-time password, method for authenticating one-time password, one-time password creation apparatus, ic card with function to create one-time password, one-time password authentication apparatus, ic card program, and computer program Download PDFInfo
- Publication number
- JP2008176383A JP2008176383A JP2007006963A JP2007006963A JP2008176383A JP 2008176383 A JP2008176383 A JP 2008176383A JP 2007006963 A JP2007006963 A JP 2007006963A JP 2007006963 A JP2007006963 A JP 2007006963A JP 2008176383 A JP2008176383 A JP 2008176383A
- Authority
- JP
- Japan
- Prior art keywords
- time password
- user
- password
- time
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、ユーザを認証する技術に関し、更に詳しくは、使い捨てのパスワードであるワンタイムパスワードを利用してユーザを認証する技術に関する。 The present invention relates to a technique for authenticating a user, and more particularly to a technique for authenticating a user using a one-time password which is a disposable password.
フィッシング詐欺やスパイウェア対策として、ネットバンキングなどの用途で二要素認証が注目を集めている。二要素認証とは、異なる性質を持つ二つの認証要素を組み合せてユーザを認証する方式である。 Two-factor authentication is attracting attention for applications such as net banking as a measure against phishing and spyware. Two-factor authentication is a method for authenticating a user by combining two authentication factors having different properties.
二要素認証でユーザを認証するときは、「自分だけが知っている(know)」に係る認証要素であるPIN(Personal Identification Number)などのパスワードと、「自分だけが知っている(know)」に係る認証要素以外の認証要素を用いてユーザ認証することが一般的である。 When authenticating a user by two-factor authentication, a password such as a PIN (Personal Identification Number), which is an authentication factor related to “know” only, and “know only by myself” In general, user authentication is performed using an authentication element other than the authentication element according to the above.
「自分だけが知っている(know)」以外の認証要素としては、「自分自身(is)」に係る認証要素であるバイオメトリクス情報(例えば、指紋)を用いる場合もあるが、バイオメトリクス情報に対してユーザは強い抵抗感をもつため、「自分だけが持っている(has)」に係る認証要素であるワンタイムパスワード(OTP: One Time Password)を利用するケースが増えている。 Biometric information (for example, fingerprint), which is an authentication factor related to “self”, may be used as an authentication factor other than “know” only. On the other hand, since users have a strong sense of resistance, there are increasing cases of using one-time passwords (OTP: One Time Password), which is an authentication factor related to “has only you”.
トークンを利用してOTPを生成する方式には、時刻同期方式とカウンタ方式の2つの方式があり、例えば、特許文献1では、カウンタ同期方式でOTPを生成する技術に関する発明が開示され、特許文献2では、時刻同期方式でOTPを生成する技術に関する発明が開示されている。 There are two methods of generating an OTP using a token, a time synchronization method and a counter method. For example, Patent Document 1 discloses an invention related to a technique for generating an OTP by a counter synchronization method. 2 discloses an invention related to a technique for generating an OTP by a time synchronization method.
特許文献1はカウンタ同期方式に利用するカウンタを乱数にもとづいて進めることで、カウンタの値やワンタイムパスワードを生成するときに利用する暗号鍵の秘匿性を高める発明である。更に、特許文献2は時刻同期方式に利用する時刻に秒、又は、ワンタイムパスワードの発生回数を示すカウンタの値を含ませることで、ワンタイムパスワードの不正利用を防止する発明である。
たしかに、PINによるユーザ認証と、OTPによるユーザ認証を組み合せた二要素認証を用いることで、ユーザ認証のセキュリティを高めることができるが、ユーザ認証を行うときには、ユーザしか知りえないPINをネットバンキングのウェブサーバ5に入力するが必要があり、フィッシング詐欺等で第三者の手にPINが渡ってしまうことは避けられない。
Certainly, the security of user authentication can be improved by using two-factor authentication that combines user authentication by PIN and user authentication by OTP. However, when performing user authentication, a PIN that only the user knows can be used for net banking. It is necessary to input to the
更に、パスワードとOTPによる二要素認証では、ユーザ認証のセキュリティが向上する反面、ユーザはPINとOTPの二つを入力する必要があるため、ユーザに作業負担がかかってしまう問題がある。 Furthermore, in the two-factor authentication by password and OTP, although the security of user authentication is improved, the user needs to input both PIN and OTP.
そこで、本発明は、ユーザしか知りえないPINが、フィッシング詐欺等で第三者の手に暗証番号が渡ってしまうことがなく、更に、ユーザの入力負担を減らすことのできるワンタイムパスワード生成方法、ワンタイムパスワード認証方法、ワンタイムパスワード生成装置、ワンタイムパスワードの生成機能を備えたICカード、ワンタイムパスワード認証装置、ICカードプログラム及びコンピュータプログラムを提供することを目的とする。 Accordingly, the present invention provides a one-time password generation method in which a PIN that only a user can know does not pass a personal identification number to a third party due to phishing, etc., and can further reduce the input burden on the user. An object is to provide a one-time password authentication method, a one-time password generation device, an IC card having a one-time password generation function, a one-time password authentication device, an IC card program, and a computer program.
上述した課題を解決する第1の発明は、ユーザ認証に利用するワンタイムパスワードを生成する方法であって、ステップa1):認証されるユーザの前記ワンタイムパスワードを生成するときに、前記ユーザが記憶しているパスワードを前記ユーザから取得するステップ、ステップb2):前記ステップa1)で前記ユーザから取得した前記パスワード、及び、前記ワンタイムパスワードを生成する度に異なる可変データとをパラメータとし、所定のアルゴリズムに従い演算することで、前記ユーザの前記ワンタイムパスワードを生成するステップ、を順に実行することを特徴とする。 A first invention for solving the above-described problem is a method of generating a one-time password used for user authentication, step a1): when generating the one-time password of a user to be authenticated, A step of acquiring a stored password from the user, step b2): the password acquired from the user in step a1) and variable data different each time the one-time password is generated as parameters, The step of generating the one-time password of the user is executed in order by performing an operation according to the algorithm.
更に、第2の発明は、ユーザ認証に利用するワンタイムパスワードを生成するワンタイムパスワード生成装置であって、前記ワンタイムパスワード生成装置は、認証するユーザのパスワードを前記ユーザから取得するパスワード取得手段と、前記ユーザから取得した前記パスワード及び前記ワンタイムパスワードを生成する度に毎回異なる可変データをパラメータとし、所定のアルゴリズムに従い演算することで、前記ユーザの前記ワンタイムパスワードを生成するワンタイムパスワード生成手段と、前記ワンタイムパスワードを表示する表示手段を備えていることを特徴とする。 Further, the second invention is a one-time password generation device for generating a one-time password used for user authentication, wherein the one-time password generation device acquires a password of a user to be authenticated from the user. One-time password generation for generating the one-time password of the user by calculating according to a predetermined algorithm using variable data that is different each time the password acquired from the user and the one-time password are generated as parameters And display means for displaying the one-time password.
更に、第3の発明は、第2の発明に記載のワンタイムパスワード生成装置であって、前記ワンタイムパスワード生成装置は、前記ワンタイムパスワード生成手段として動作するコマンドを備えたICカードと、前記ICカードを装着するICカードビューアとから構成され、前記ICカードビューアは、前記パスワード取得手段及び前記表示手段を備え、取得した前記パスワードを含む前記コマンドのコマンドAPDUを前記ICカードに送信し、前記ICカードの前記コマンドのレスポンスAPDUに含まれる前記ワンタイムパスワードを表示することを特徴とする。 Furthermore, a third invention is the one-time password generation device according to the second invention, wherein the one-time password generation device includes an IC card having a command that operates as the one-time password generation means, An IC card viewer for mounting an IC card, the IC card viewer comprising the password acquisition means and the display means, and transmits a command APDU of the command including the acquired password to the IC card, The one-time password included in the response APDU of the command of the IC card is displayed.
更に、第4の発明は、ユーザ認証に利用するワンタイムパスワードを生成するICカードであって、前記ICカードは、前記ワンタイムパスワードを生成する度に毎回異なる可変データとして、前記ワンタイムパスワードを生成する度に毎回更新されるカウンタを有し、前記カウンタを更新した後に、端末から送信されたコマンドデータ及び前記カウンタの値をパラメータとし、所定のアルゴリズムに従い演算することで、前記ユーザの前記ワンタイムパスワードを生成し、生成した前記ワンタイムパスワードを前記端末に送信するワンタイムパスワード生成コマンドを備えていることを特徴とする。 Furthermore, the fourth invention is an IC card for generating a one-time password used for user authentication, and the IC card uses the one-time password as variable data that is different each time the one-time password is generated. A counter that is updated every time it is generated, and after updating the counter, the command data transmitted from the terminal and the value of the counter are used as parameters, and calculation is performed according to a predetermined algorithm, thereby A one-time password generation command for generating a time password and transmitting the generated one-time password to the terminal is provided.
更に、第5の発明は、ユーザ認証に利用するワンタイムパスワードを生成するICカードに実装されるICカードプログラムであって、前記ICカードは、前記ワンタイムパスワードを生成する度に毎回更新されるカウンタを有し、前記カウンタを更新した後に、前記カウンタの値及び端末から送信されたコマンドデータをパラメータとし、所定のアルゴリズムに従い演算することで、前記ユーザの前記ワンタイムパスワードを生成し、生成した前記ワンタイムパスワードを前記端末に送信するワンタイムパスワード生成コマンドとして、前記ICカードを機能させるためのICカードプログラムである。 Further, the fifth invention is an IC card program mounted on an IC card for generating a one-time password used for user authentication, and the IC card is updated every time the one-time password is generated. After the counter is updated, the counter value and the command data transmitted from the terminal are used as parameters, and the one-time password of the user is generated and generated by calculating according to a predetermined algorithm. An IC card program for causing the IC card to function as a one-time password generation command for transmitting the one-time password to the terminal.
更に、第6の発明は、ユーザが生成したワンタイムパスワードを認証する方法であって、ステップa):認証する前記ユーザの前記識別データ及び前記ワンタイムパスワードを前記ユーザから取得するステップ、ステップb):前記ユーザの識別データに関連付けて前記パスワードを記憶したデータベースから、前記ステップa)で取得した前記識別データに対応する前記パスワードを割出すステップ、ステップc):前記ステップb)で割出した前記パスワード及び前記ワンタイムパスワードを認証する度に異なる可変データをパラメータとし、所定のアルゴリズムに従い演算することで、認証側の前記ワンタイムパスワードを生成するステップ、ステップd):ステップa)で取得した前記ユーザの前記ワンタイムパスワードと、前記ステップc)で生成した認証側の前記ワンタイムパスワードを照合することで、ステップa)で取得した前記ユーザの前記ワンタイムパスワードを認証するステップ、を順に実行することを特徴とする。 Further, the sixth invention is a method for authenticating a one-time password generated by a user, step a): obtaining the identification data of the user to be authenticated and the one-time password from the user, step b ): Step of determining the password corresponding to the identification data acquired in step a) from the database storing the password in association with the user identification data, step c): indexing in step b) Step of generating the one-time password on the authenticating side by using variable data that is different each time the password and the one-time password are authenticated as parameters, and calculating in accordance with a predetermined algorithm, acquired in step d): step a) The one-time password of the user and the password; Tsu and collates the one-time password generated authentication side flop c), the characterized in that performing the step of authenticating the one-time password of the user acquired in step a), in this order.
更に、第7の発明は、ユーザが生成したワンタイムパスワードを認証するワンタイムパスワード認証装置であって、前記ワンタイムパスワード認証装置は、前記ユーザの識別データに関連付けて前記パスワードを記憶するデータベースと、前記ユーザの前記識別データ及び前記ワンタイムパスワードを前記ユーザから取得するパスワード取得手段と、取得した前記識別データに対応する前記パスワードを前記データベースから割出し、前記ワンタイムパスワードを認証する度に異なる可変データ及び割出した前記パスワードをパラメータとし、所定のアルゴリズムに従い演算することで、前記ワンタイムパスワード認証装置の前記ワンタイムパスワードを生成する手段、前記ワンタイムパスワード認証装置の前記ワンタイムパスワードと前記ユーザの前記ワンタイムパスワードを照合することで、前記ユーザの前記ワンタイムパスワードを認証するワンタイムパスワード認証手段を備えていることを特徴とする。 Furthermore, a seventh invention is a one-time password authentication device for authenticating a one-time password generated by a user, wherein the one-time password authentication device includes a database for storing the password in association with the identification data of the user; The password acquisition means for acquiring the identification data and the one-time password of the user from the user, and the password corresponding to the acquired identification data is determined from the database, and is different each time the one-time password is authenticated. Means for generating the one-time password of the one-time password authentication device by calculating the variable data and the calculated password as a parameter according to a predetermined algorithm, the one-time password of the one-time password authentication device, and the By matching the one-time password over THE, characterized in that it comprises a one-time password authentication means for authenticating said one-time password of the user.
更に、第8の発明は、ユーザが生成したワンタイムパスワードを認証するサーバに実装されるコンピュータプログラムであって、前記サーバは、前記ユーザの前記識別データ及び前記ワンタイムパスワードを前記ユーザから取得するパスワード取得手段と、前記ユーザの識別データに関連付けて前記パスワードを記憶するデータベースから、取得した前記識別データに対応する前記パスワードを割出し、前記ワンタイムパスワードを認証する度に異なる可変データ及び前記パスワードをパラメータとし、所定のアルゴリズムに従い演算することで、前記ワンタイムパスワード認証装置の前記ワンタイムパスワードを生成する手段、前記ワンタイムパスワード認証装置の前記ワンタイムパスワードと前記ユーザの前記ワンタイムパスワードを照合することで、前記ユーザの前記ワンタイムパスワードを認証するワンタイムパスワード認証手段として、前記サーバを機能させるためのコンピュータプログラムである。 The eighth invention is a computer program implemented in a server that authenticates a one-time password generated by a user, wherein the server acquires the identification data of the user and the one-time password from the user. Variable data and password that differ each time the one-time password is authenticated by determining the password corresponding to the acquired identification data from a password acquisition means and a database that stores the password in association with the user identification data And generating the one-time password of the one-time password authentication device, and calculating the one-time password of the one-time password authentication device and the one-time password of the user by calculating according to a predetermined algorithm. By, as a one-time password authentication means for authenticating said one-time password of the user, a computer program for operating the server.
本発明で生成されるワンタイムパスワードは、ユーザのPINと、前記ユーザの前記ワンタイムパスワードを生成するごとに異なる種データ(例えば、カウンタ値や時刻)とをパラメータとして生成されるため、「自分だけが持っている(has)」と「自分だけが知っている(know)」の2つの性質を有する認証要素となる。 The one-time password generated in the present invention is generated by using a user's PIN and different seed data (for example, a counter value and time) as parameters each time the user's one-time password is generated. It is an authentication factor having two properties: “has only” and “know only”.
よって、本発明で生成されるワンタイムパスワードを、ユーザのワンタイムパスワードを生成したときと同じ手順で認証側のワンタイムパスワードを生成し、ユーザのワンタイムパスワードを認証しさえすれば、二要素認証と同様の効果が期待できるばかりか、認証側にユーザのPINを入力する必要がなくなり、フィッシング詐欺等で第三者の手にPINが渡るリスクを少なくすることができ、更に、ユーザの入力負担を軽減することができる。 Therefore, as long as the one-time password generated in the present invention is generated by the same procedure as that for generating the user's one-time password and the user's one-time password is authenticated, there are two factors. In addition to being expected to have the same effect as authentication, there is no need to enter the user's PIN on the authentication side, reducing the risk of a PIN being passed to the hands of a third party due to phishing, etc. The burden can be reduced.
なお、本発明に係るワンタイムパスワード生成装置を、ICカードとICカードと組み合わされて利用されるICカードビューアで実現することで、ICキャッシュカードやICクレジットカードなどを利用できるようになり、ネットバンキングなどの金融機関のシステムへの適用が容易になる。 By implementing the one-time password generating apparatus according to the present invention with an IC card viewer used in combination with an IC card and an IC card, it becomes possible to use an IC cash card, an IC credit card, etc. This makes it easier to apply to banking and other financial institution systems.
上述した本発明によれば、ユーザしか知りえないPINが、フィッシング詐欺等で第三者の手に暗証番号が渡ってしまうことがなく、更に、ユーザの入力負担を減らすことのできるワンタイムパスワード生成方法、ワンタイムパスワード認証方法、ワンタイムパスワード生成装置、ワンタイムパスワードの生成機能を備えたICカード、ワンタイムパスワード認証装置、ICカードプログラム及びコンピュータプログラムを提供できる。 According to the above-described present invention, a PIN that only a user can know does not pass a PIN to a third party due to phishing, etc., and can further reduce the user's input burden. A generation method, a one-time password authentication method, a one-time password generation apparatus, an IC card having a one-time password generation function, a one-time password authentication apparatus, an IC card program, and a computer program can be provided.
ここから、本発明について図を参照しながら詳細に説明する。図1は、ワンタイムパスワード(OTP: One Time Password)を利用してユーザ認証するシステムを説明する図で、このシステムは、ユーザ6が所持するであるICカード1と、ICカード1とデータ通信する機能を有するICカードビューア2と、ユーザ6が操作するクライアント3と、ネットワーク4を介してクライアント3と接続し、あるサービス(例えば、ネットワークバンキング)を提供しているウェブサーバ5とから少なくとも構成されている。
From here, this invention is demonstrated in detail, referring a figure. FIG. 1 is a diagram for explaining a system for user authentication using a one-time password (OTP: One Time Password). This system includes an IC card 1 possessed by a
図1で図示したシステムにおいて、本発明に係るOTP生成装置の機能はICカード1とICカードビューア2で実現され、ウェブサーバ5は、本発明に係るOTP認証装置の機能を有している。
In the system shown in FIG. 1, the function of the OTP generation device according to the present invention is realized by the IC card 1 and the IC card viewer 2, and the
OTP方式には、時刻同期方式やカウンタ同期方式などの方式があるが、本実施の形態で利用するOTP方式はカウンタ同期方式である。 The OTP method includes a time synchronization method and a counter synchronization method, but the OTP method used in this embodiment is a counter synchronization method.
カウンタ同期方式においては、ウェブサーバ5が有するカウンタの値とICカード1が有するカウンタの値は同期し、ユーザ認証に利用されるOTPは、ユーザ6のパスワードであるPIN60(Personal Identification Number)とICカード1のカウンタの値をパラメータとして、所定のアルゴリズム(例えば、暗号鍵を用いた暗号演算)に従いICカード1の内部で生成される。
In the counter synchronization method, the counter value of the
従来のカウンタ同期方式のOTPは、トークンが有するカウンタの値のみをパラメータとして生成され、「自分だけが持っている(has)」に係る認証要素となるのに対し、本発明で生成されるOTPは、ユーザ6のPIN60とICカード1のカウンタの値をパラメータとして生成されるため、「自分だけが持っている(has)」と「自分だけが知っている(know)」の2つに係る認証要素となり、本発明で生成されるOTPを認証さえすれば二要素認証を実施したことになる。
The conventional counter-synchronized OTP is generated using only the counter value of the token as a parameter and is an authentication factor related to “has only”, whereas the OTP generated in the present invention is used. Is generated by using the
ここから、本発明に係るOTP生成装置となるICカード1及びICカードビューア2、そして、OPT認証装置となるウェブサーバ5について、更に詳細に説明する。図2は、図1で図示したシステムのブロック図である。まず、本発明に係るOTP生成装置を構成するICカード1とICカードビューア2について説明する。
From here, the IC card 1 and the IC card viewer 2 as the OTP generation device according to the present invention and the
図2に図示したように、ICカード1は、カウンタ同期方式のOTPを生成するプログラムであるOTP生成コマンド10と、OTP生成コマンド10が利用するデータとして、カウンタ11、カード鍵12を秘匿に記憶している。
As shown in FIG. 2, the IC card 1 secretly stores the
ICカード1に記憶されるカード鍵12はICカード1ごとに異なる暗号鍵で、ウェブサーバ5が有するマスター鍵52から生成され、ユーザ6の識別情報であるユーザIDから一意に決定され、ICカード1の発行時に、カード鍵12はICカード1に秘匿に記憶される。更に、ICカード1の発行時には、ウェブサーバ5によって設定されたカウンタ11の初期値がICカード1に秘匿に記憶される。
The
ICカード1に備えられたOTP生成コマンド10は、ユーザ6のOTPを生成する前にカウンタの値をインクリメントし、OTP生成コマンド10が実行されるときのカウンタ11の値及びICカードビューア2から送信されたPIN60を平文とし、ICカード1に記憶されたカード鍵12を用いて、所定のアルゴリズムに従ってこの平文を暗号化することでユーザ6のOTPを生成して、生成したユーザ6のOTPをICカードビューア2に返信する。
The
図3は、ユーザ6が所持するICカードビューア2を説明する図である。ICカードビューア2とは、ICカード1を装着し、ICカード1にOTPを生成させるための装置で、OTPを生成するときにユーザ6が押すボタン20、ユーザ6がPIN60を入力するときに利用するテンキー21、そして、ICカード1が生成したOTPを表示するディスプレイ22などを備える。
FIG. 3 is a diagram for explaining the IC card viewer 2 possessed by the
ユーザ6がボタン20を押すと、ICカードビューア2はPIN60を入力する画面をディスプレイ22に表示し、ユーザ6にPIN60の入力を促し、ユーザ6が入力したPIN60を含むOTP生成コマンド10のコマンドAPDUをICカード1に送信し、ICカード1から返信されたOTPをディスプレイ22に表示する。
When the
図1で図示したクライアント3にはブラウザがインストールされ、ユーザ6はクライアント3を操作することで、ネットワーク4を介してクライアント3と接続されたウェブサーバ5にアクセスする。
A browser is installed in the
ウェブサーバ5は、サービスを提供するビジネスロジックの一つの機能として、クライアントから送信されるOTPを認証する機能を有し、OTPを認証する機能を実現するため、図2に図示したように、ウェブサーバ5は、OTP認証手段50と、ユーザ6に関するデータを記憶したデータベース55を備え、OTP認証手段50は、認証するユーザ6のユーザID及びOTPを取得するOTP取得部51と、データベース55に記憶されたデータからウェブサーバ5側のOTPを生成するOTP生成部53、そして、クライアント3から送信されたユーザ6のOTPを認証するOTP認証部54を有し、更に、OTP生成部がサーバ側のOTPを生成するときに利用するマスター鍵52を有している。
The
図4は、データベース55に記憶されるデータを説明する図である。データベース55には、ユーザ6ごとに割り振られた識別データであるユーザIDに関連付けて、予めウェブサーバ5に登録されたユーザ6のPIN56と、ユーザIDで特定されるユーザ6が所持するICカード1のカウンタ11と同期するカウンタ57が記憶され、OTP認証手段50が作動し、OTPを生成する前に、認証したユーザ6に対応するカウンタ57の値がインクリメントされる。なお、ユーザ6ごとに割り振られた識別データであるユーザIDは、ICカード1をユーザ6に配布するとき、ユーザ6に通知される。
FIG. 4 is a diagram for explaining data stored in the
ウェブサーバ5に備えられたOTP認証手段50のOTP取得部51は、ウェブサーバ5にアクセスするユーザ6からユーザIDとOTPを受け付ける機能を有し、OTP取得部51は一つのウェブページで実現され、このウェブページは、少なくとも、ユーザ6がユーザIDを入力するフォームと、ユーザ6がOTPを入力するフォームを有し、ウェブサーバ5にアクセスするユーザ6は、このウェブページに、ユーザ6側で生成したユーザ6のOTPと、ユーザIDとを入力する。
The
OTP認証手段50のOTP生成部53は、ユーザ6のOTPを認証するときに利用するウェブサーバ5のOTPを生成する機能を有し、OTP取得部51に入力されたユーザIDと、ウェブサーバ5が記憶しているマスター鍵52とからサーバ鍵を生成すると共に、データベース55を参照し、OTP取得部51に入力されたユーザIDに関連付けられて記憶されたPIN56とカウンタ57の値を取得し、取得したPIN56とカウンタ57の値を平文とし、サーバ鍵を用いて所定のアルゴリズムでこの平文を暗号化することで、ウェブサーバ5のOTPを生成する。
The
OTP認証手段50のOTP認証部54は、OTP取得部51に入力されたユーザ6のOTPと、OTP生成部53が生成したウェブサーバ5のOTPとを照合することで、OTP取得部51に入力されたユーザ6のOTPの正当性を検証する。
The
ここから、ユーザ6のOTPを生成及び認証する手順について、図1のシステムを例に取りながらそれぞれ説明する。図5は、ユーザ6のOTPを生成及び認証する手順を示しダイアグラムである。なお、クライアント3は、ユーザ6とウェブサーバ5とを仲介する役割しか果たさないため、図5のダイアグラムではクライアント3を省略している
From here, the procedure for generating and authenticating the OTP of the
ユーザ6がウェブサーバ5のサービスを利用するとき、ユーザ6はクライアント3を操作してウェブサーバ5にアクセスし(ステップS1)、ウェブサーバ5は、ユーザ6からアクセスがあると、OPT認証手段50を作動させ、OTP認証手段50はOTP取得部51を実行し、ユーザIDとユーザ6のOTPを入力するためのウェブページをクライアント3に送信し、ユーザ6に対し、ユーザIDとユーザ6のOTPの入力を要求する(ステップS2)。
When the
ユーザIDとユーザ6のOTPを入力するためのウェブページがクライアント3に表示されると、ユーザ6はICカードビューア2のボタン20を押すことで、ユーザ6はICカードビューア2にOTP生成の指示を出す(ステップS3)。
When the web page for inputting the user ID and the OTP of the
ICカードビューア2はOTP生成の指示を受けると、ユーザ6のPIN60の入力を促す画面をディスプレイ22に表示することで、ユーザ6にPIN60の入力を要求する(ステップS4)。
When the IC card viewer 2 receives the OTP generation instruction, the IC card viewer 2 requests the
PIN60の入力を促す画面がICカードビューア2のディスプレイ22に表示されると、ユーザ6は、ICカードビューア2のテンキー21を操作することで、PIN60をICカードビューア2に入力し(ステップS5)、PIN60が入力されるとICカードビューア2は、入力されたPIN60を含むOTP生成コマンド10のコマンドAPDUを装着されたICカード1に送信する(ステップS6)。
When the screen prompting the input of the
ICカードビューア2からOTP生成コマンド10のコマンドAPDUが送信されると、ICカード1のOTP生成コマンド10が作動し、OTP生成コマンド10は、ICカード1のカウンタ11の値をインクリメントした後(ステップS7)、ICカードビューア2から送信されたPIN60とそのときのカウンタ11の値とを平文とし、カード鍵12を用いて、所定のアルゴリズムに従いこの平文を暗号化することでユーザ6のOTPを生成する(ステップS8)。
When the command APDU of the
ICカード1は、ユーザ6のOPTを生成すると、生成したユーザ6のOTPを含むレスポンスAPDUを生成し、生成したレスポンスAPDUをICカードビューア2に返信し(ステップS9)、ICカードビューア2はレスポンスAPDUに含まれるユーザ6のOTPをディスプレイ22に表示する(ステップS10)。
When generating the OPT of the
ユーザ6は、ICカードビューア2のディスプレイ22にユーザ6のOTPが表示されると、表示されたユーザ6のOTPとユーザIDを入力画面に入力することで、ユーザ6のOTPとユーザIDをウェブサーバ5に送信する(ステップS11)。
When the OTP of the
ウェブサーバ5のOTP認証手段50は、OTP取得部51がユーザ6のOTPとユーザIDを取得すると、OTP生成部53を作動させ、OTP生成部53は、まず、取得したユーザIDとウェブサーバ5が記憶しているマスター鍵52とから、ユーザ6が所持するICカード1に記憶されているカード鍵12に対応するサーバ鍵を生成する(ステップS12)。
When the
OTP認証手段50のOTP生成部53は、サーバ鍵を生成すると、データベース55を検索し、取得したユーザIDに関連付けられて記憶されているPIN56とカウンタ57の値をデータベース55から取得し、取得したPIN56とカウンタ57の値を平文とし、生成したサーバ鍵を用いて、ICカード1と同じアルゴリズムでこの平文を暗号化することでウェブサーバ5のOTPを生成する(ステップS13)。
When generating the server key, the
OTP認証手段50のOTP認証部54は、OTP生成部53がサーバのOTPを生成すると、取得したユーザ6のOTPと生成したウェブサーバ5のOTPとを照合することで、クライアント3を操作しているユーザ6を認証する(ステップS14)。
When the
そして、ウェブサーバ5のOTP認証手段50は、ユーザ6のOTPの認証結果をクライアント3に送信すると共に、ユーザ6のOTPの認証に成功した場合は、ウェブサーバ5で提供しているサービスをユーザ6が利用するためのウェブページをクライアント3に送信し、ユーザ6にサービスの利用を許可する(ステップS15)。
Then, the OTP authentication means 50 of the
なお、本発明は、これまで説明した実施の形態に限定されることなく、種々の変形や変更が可能であって、それらも本発明の均等の範囲である。例えば、上述した形態では、OTP方式はカウンタ同期方式としているが、OTP方式は時刻同期方式であってもよい。 The present invention is not limited to the embodiments described so far, and various modifications and changes can be made, and these are also within the equivalent scope of the present invention. For example, in the above-described form, the OTP method is a counter synchronization method, but the OTP method may be a time synchronization method.
OTP方式が時刻同期方式である場合、ユーザ6のOTPを生成するとき、これまで説明したICカード1の機能とICカードビューア2の機能を兼ね備えたトークンは、ユーザ6のPIN60とOTPを生成するときの時刻をパラメータとして、所定のアルゴリズムに従いOTPを生成する。
When the OTP method is the time synchronization method, when generating the OTP of the
1 ICカード
10 OTP生成コマンド、11 ICカードのカウンタ、12 カード鍵
2 ICカードビューア
20 ボタン、21 テンキー、22 ディスプレイ
3 クライアント
4 ネットワーク
5 ウェブサーバ
50 OTP認証手段、51 OTP取得部、52 マスター鍵
53 OTP生成部、54 OTP認証部
55 データベース、56 PIN、57 カウンタ
6 ユーザ
60 ユーザが記憶しているPIN
1
Claims (8)
ステップa1):認証されるユーザの前記ワンタイムパスワードを生成するときに、前記ユーザが記憶しているパスワードを前記ユーザから取得するステップ、
ステップb2):前記ステップa1)で前記ユーザから取得した前記パスワード、及び、前記ワンタイムパスワードを生成する度に異なる可変データとをパラメータとし、所定のアルゴリズムに従い演算することで、前記ユーザの前記ワンタイムパスワードを生成するステップ、
を順に実行することを特徴とするワンタイムパスワード生成方法。 A method for generating a one-time password used for user authentication,
Step a1): obtaining a password stored by the user from the user when generating the one-time password of the user to be authenticated;
Step b2): Using the password acquired from the user in step a1) and variable data that is different each time the one-time password is generated as a parameter, and calculating according to a predetermined algorithm, the one of the user Generating a time password,
One-time password generation method characterized by sequentially executing.
ステップa2):認証する前記ユーザの前記識別データ及び前記ワンタイムパスワードを前記ユーザから取得するステップ、
ステップb2):前記ユーザの識別データに関連付けて前記パスワードを記憶したデータベースから、前記ステップa2)で取得した前記識別データに対応する前記パスワードを割出すステップ、
ステップc2):前記ステップb2)で割出した前記パスワード及び前記ワンタイムパスワードを認証する度に異なる可変データをパラメータとし、所定のアルゴリズムに従い演算することで、認証側の前記ワンタイムパスワードを生成するステップ、
ステップd2):ステップa2)で取得した前記ユーザの前記ワンタイムパスワードと、前記ステップc2)で生成した認証側の前記ワンタイムパスワードを照合することで、ステップa2)で取得した前記ユーザの前記ワンタイムパスワードを認証するステップ、
を順に実行することを特徴とするワンタイムパスワード認証方法。 A method for authenticating a one-time password generated by a user,
Step a2): obtaining the identification data and the one-time password of the user to be authenticated from the user;
Step b2): Determining the password corresponding to the identification data acquired in step a2) from the database storing the password in association with the user identification data;
Step c2): The authentication-side one-time password is generated by calculating according to a predetermined algorithm using different variable data as a parameter each time the password and the one-time password determined in step b2) are authenticated. Step,
Step d2): By comparing the one-time password of the user acquired in step a2) with the one-time password on the authentication side generated in step c2), the one-time password of the user acquired in step a2) Authenticating the time password,
One-time password authentication method characterized by sequentially executing.
A computer program implemented in a server for authenticating a one-time password generated by a user, wherein the server includes password acquisition means for acquiring the identification data of the user and the one-time password from the user, and the user's From the database that stores the password in association with identification data, the password corresponding to the acquired identification data is determined, variable data and the password that are different each time the one-time password is authenticated, and according to a predetermined algorithm By calculating, the means for generating the one-time password of the one-time password authentication device, the one-time password of the one-time password authentication device and the one-time password of the user are collated, As a one-time password authentication means for authenticating the one-time password of The, computer program for operating the server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007006963A JP2008176383A (en) | 2007-01-16 | 2007-01-16 | Method for creating one-time password, method for authenticating one-time password, one-time password creation apparatus, ic card with function to create one-time password, one-time password authentication apparatus, ic card program, and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007006963A JP2008176383A (en) | 2007-01-16 | 2007-01-16 | Method for creating one-time password, method for authenticating one-time password, one-time password creation apparatus, ic card with function to create one-time password, one-time password authentication apparatus, ic card program, and computer program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008176383A true JP2008176383A (en) | 2008-07-31 |
Family
ID=39703382
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007006963A Withdrawn JP2008176383A (en) | 2007-01-16 | 2007-01-16 | Method for creating one-time password, method for authenticating one-time password, one-time password creation apparatus, ic card with function to create one-time password, one-time password authentication apparatus, ic card program, and computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008176383A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012027530A (en) * | 2010-07-20 | 2012-02-09 | Dainippon Printing Co Ltd | One-time password generator, server apparatus, authentication system, method, program, and recording medium |
JP5260788B1 (en) * | 2012-12-31 | 2013-08-14 | 利仁 曽根 | Time-synchronized one-time password authentication method |
KR101321174B1 (en) | 2013-01-28 | 2013-10-23 | (주)에이티솔루션즈 | Method and Device for Creating One Time Password |
KR101367498B1 (en) * | 2011-08-19 | 2014-02-25 | (주)에이티솔루션즈 | Card for One Time Password, Method for Creating One Time Password |
KR101508320B1 (en) | 2014-06-30 | 2015-04-07 | 주식회사 인포바인 | Apparatus for issuing and generating one time password using nfc card, and method using the same |
KR101634266B1 (en) * | 2014-12-31 | 2016-06-30 | 하진식 | Method and device for perporming certificate validity of ic card |
KR20180116868A (en) * | 2017-04-18 | 2018-10-26 | 사단법인 금융결제원 | Otp generator and application for providing otp service using bluetooth communication |
JP2022541601A (en) * | 2019-07-23 | 2022-09-26 | キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー | First factor contactless card authentication system and method |
-
2007
- 2007-01-16 JP JP2007006963A patent/JP2008176383A/en not_active Withdrawn
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012027530A (en) * | 2010-07-20 | 2012-02-09 | Dainippon Printing Co Ltd | One-time password generator, server apparatus, authentication system, method, program, and recording medium |
KR101367498B1 (en) * | 2011-08-19 | 2014-02-25 | (주)에이티솔루션즈 | Card for One Time Password, Method for Creating One Time Password |
JP5260788B1 (en) * | 2012-12-31 | 2013-08-14 | 利仁 曽根 | Time-synchronized one-time password authentication method |
KR101321174B1 (en) | 2013-01-28 | 2013-10-23 | (주)에이티솔루션즈 | Method and Device for Creating One Time Password |
KR101508320B1 (en) | 2014-06-30 | 2015-04-07 | 주식회사 인포바인 | Apparatus for issuing and generating one time password using nfc card, and method using the same |
KR101634266B1 (en) * | 2014-12-31 | 2016-06-30 | 하진식 | Method and device for perporming certificate validity of ic card |
KR20180116868A (en) * | 2017-04-18 | 2018-10-26 | 사단법인 금융결제원 | Otp generator and application for providing otp service using bluetooth communication |
KR102005883B1 (en) * | 2017-04-18 | 2019-07-31 | 사단법인 금융결제원 | Otp generator and application for providing otp service using bluetooth communication |
JP2022541601A (en) * | 2019-07-23 | 2022-09-26 | キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー | First factor contactless card authentication system and method |
JP7352008B2 (en) | 2019-07-23 | 2023-09-27 | キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー | First element contactless card authentication system and method |
US11956230B2 (en) | 2019-07-23 | 2024-04-09 | Capital One Services, Llc | First factor contactless card authentication system and method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200106768A1 (en) | Single sign on with multiple authentication factors | |
US9641521B2 (en) | Systems and methods for network connected authentication | |
US9191375B2 (en) | System and method for accessing integrated applications in a single sign-on enabled enterprise solution | |
EP2839603B1 (en) | Abstracted and randomized one-time passwords for transactional authentication | |
JP2012212211A (en) | Authentication cooperation system and authentication cooperation method | |
US8195951B2 (en) | Data processing system for providing authorization keys | |
JP2008176383A (en) | Method for creating one-time password, method for authenticating one-time password, one-time password creation apparatus, ic card with function to create one-time password, one-time password authentication apparatus, ic card program, and computer program | |
WO2011079872A1 (en) | Method and system for user authentication | |
JP2009009293A (en) | Biometric identification system | |
JP2006301992A (en) | Authentication management method and system | |
CN112035870A (en) | Method and computer readable medium for hiding user specific age in decentralized identity system | |
WO2022107591A1 (en) | Password authentication system | |
JP6712707B2 (en) | Server system and method for controlling a plurality of service systems | |
US20120005169A1 (en) | Method and system for securing data | |
EP2953312A1 (en) | System to handle passwords for service authentication | |
JP2010257101A (en) | User authentication system and method, scratch medium, and method for manufacturing the same | |
JP2006277471A (en) | Pseudo-biometrics authentication system, pseudo-biometrics authentication method and pseudo-biometrics authentication program | |
JP2007065789A (en) | Authentication system and method | |
US8850518B2 (en) | Method and device for user authentication | |
KR20100040369A (en) | Otp authentication processing system | |
WO2015137404A1 (en) | Authentication device, authentication system, and program | |
Corella et al. | Techniques for implementing derived credentials | |
Corella et al. | A Proposed Architecture for the NSTIC Ecosystem | |
JP2017139563A (en) | Code number inquiry system | |
KR20140083937A (en) | Method for Operating Multipurpose One Time Code |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20100406 |