JP2009003498A - Onetime password authentication system - Google Patents

Onetime password authentication system Download PDF

Info

Publication number
JP2009003498A
JP2009003498A JP2007160934A JP2007160934A JP2009003498A JP 2009003498 A JP2009003498 A JP 2009003498A JP 2007160934 A JP2007160934 A JP 2007160934A JP 2007160934 A JP2007160934 A JP 2007160934A JP 2009003498 A JP2009003498 A JP 2009003498A
Authority
JP
Japan
Prior art keywords
information
time password
random number
otp
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2007160934A
Other languages
Japanese (ja)
Inventor
Mizuho Abe
瑞穂 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2007160934A priority Critical patent/JP2009003498A/en
Publication of JP2009003498A publication Critical patent/JP2009003498A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a system for personal identification by using an easy to use onetime password. <P>SOLUTION: This onetime password authentication system comprises: an OTP generation unit for creating and displaying an onetime password by using random number information whose input has accepted and preliminary common key information; user terminal equipment for displaying the random number information received from an authentication server device, and for accepting and replying the user identification information and the onetime password; and an authentication server device for creating and replying the random number information by using the acceptance time of the access of the user terminal equipment, and for accepting the user identification information and the onetime password from the user terminal equipment, and for creating the onetime password for collation by using random number information for collation generated by using the acceptance time information and the preliminarily shared key information corresponding to the accepted user identification information, and for collating the onetime password for collation with the accepted onetime password to achieve OTP authentication. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、暗号鍵認証のたびに使い捨てるパスワード(以下、ワンタイムパスワード)を用いて本人認証するシステムに関するものである。
The present invention relates to a system for authenticating a person using a disposable password (hereinafter referred to as a one-time password) for each encryption key authentication.

現代のネットワークシステムの利用においては、本人認証の信頼性を高めることが益々重要となっており、ワンタイムパスワードを用いた本人認証方法が増えている。特に、オンラインバンキングにおける犯罪の増加にともない、インターネットでのログイン認証のために、ワンタイムパスワードの利用が増えている。
ワンタイムパスワードの代表的な生成方法には、たとえば、ワンタイムパスワード生成機と認証装置の両者で時刻を同期させておき、それぞれにワンタイムパスワードを生成して比較照合する時刻同期方式がある。
あるいは、認証のたびに、認証装置が利用装置に擬似乱数(チャレンジという)を与えて、事前共有秘密鍵で擬似乱数からワンタイムパスワード(レスポンスという)を生成して比較照合するチャレンジレスポンス方式がある。
ここで、擬似乱数とは、計算によって求めた乱数列のことを言う。 In the use of modern network systems, it is increasingly important to increase the reliability of personal authentication, and the number of personal authentication methods using one-time passwords is increasing. In particular, with the increase in crime in online banking, the use of one-time passwords for login authentication on the Internet is increasing.
As a typical one-time password generation method, for example, there is a time synchronization method in which the time is synchronized between both the one-time password generator and the authentication device, and one-time passwords are generated and compared for each.
Alternatively, there is a challenge response method in which an authentication device gives a pseudo-random number (referred to as a challenge) to a using device for each authentication, generates a one-time password (referred to as a response) from the pseudo-random number using a pre-shared secret key, and compares and verifies it. .
Here, the pseudo-random number means a random number sequence obtained by calculation.

たとえば、特許文献1では、個人が所有するクロックを備える個人所有装置(=標準クレジットカード形状の電源内蔵型ICカード。以下、電源内蔵型ICカード)を用いて、クロックが発生する時間情報(=現在時刻情報)から一意的な時間変化予測不能コード(=時刻同期方式のワンタイムパスワード。以下、ワンタイムパスワード)を発生させて、中央照合コンピュータ(=認証装置)に送信して、認証装置は電源内蔵型ICカードのクロックと同期させたクロックを備えて電源内蔵型ICカードと同じアルゴリズムを使用してワンタイムパスワードを発生させて、両ワンタイムパスワードを照合して認証する技術が開示されている。 For example, in Patent Document 1, using a personally owned device (= standard credit card-shaped built-in power supply IC card; hereinafter referred to as a built-in power supply IC card) equipped with a personally owned clock, time information (= A unique time change unpredictable code (= time synchronization method one-time password; hereinafter referred to as one-time password) is generated from the current time information) and sent to the central verification computer (= authentication device). A technology is disclosed in which a one-time password is generated using the same algorithm as that of a built-in IC card with a clock synchronized with the clock of the built-in IC card, and both the one-time passwords are verified. Yes.

また、特許文献2では、認証側装置が被認証側装置に乱数(チャレンジという)を与えて、共通鍵(=暗号鍵)でチャレンジを暗号化(レスポンスという)して返信して、認証側装置は返信されたレスポンスを共通鍵で復号して、チャレンジと比較照合する技術が開示されている。
特表平6−507277号公報(4−5ページ、図1、3) 特開2003−101530(段落0036−段落0041、図4) Also, in Patent Document 2, the authenticating device gives a random number (referred to as a challenge) to the authenticated device, encrypts the challenge with a common key (= encryption key) (referred to as a response), and sends it back. Discloses a technique for decrypting a returned response with a common key and comparing it with a challenge.
Japanese Patent Publication No. 6-507277 (page 4-5, FIGS. 1 and 3) JP2003-101530 (paragraph 0036-paragraph 0041, FIG. 4)

しかしながら、特許文献1の技術では、ICカードが備えるクロックが認証装置のクロックとの時刻同期がずれると双方のワンタイムパスワードが異なってしまうので、認証照合が失敗するという欠点があった。
あるいは、特許文献2の技術では、暗号化された乱数(レスポンス)の桁数が長いと、利用者の入力の手間がかかるという不具合があった。他方、レスポンスの桁数が短いと、類推される危険性が増大するという問題点があった。
However, the technique disclosed in Patent Document 1 has a drawback in that authentication verification fails because both one-time passwords differ when the clock of the IC card is out of time synchronization with the clock of the authentication device.
Alternatively, the technique disclosed in Patent Document 2 has a problem in that if the number of digits of the encrypted random number (response) is long, it takes time for the user to input. On the other hand, if the number of digits of the response is short, there is a problem that the risk of analogy increases.

本発明は以上のような点を解決するためになされたものであって、本発明の課題は、扱い易いワンタイムパスワードを用いて本人認証するシステムを提供することである。
The present invention has been made to solve the above-described points, and an object of the present invention is to provide a system for authenticating a person using an easy-to-handle one-time password.

本発明は、以下の各態様に記載の手段により、前記課題を解決する。
すなわち、本願発明の第1の態様は、OTP生成機(100)と、ネットワーク接続された利用者端末装置(300)と認証サーバ装置(500)とから構成されるシステムであって、前記OTP生成機(100)は、事前共有鍵情報(191)と、利用者識別情報(192)と、を記憶する記憶手段(109)と、乱数情報およびPIN情報の入力を受け付けるPIN受付手段(110)と、受け付けられた乱数情報およびPIN情報と、前記記憶する事前共有鍵情報(191)とを用いて、ワンタイムパスワードを作成するワンタイムパスワード作成手段(130)と、作成したワンタイムパスワードを表示部に表示するワンタイムパスワード表示手段(140)と、を備える生成機であって、利用者端末装置(300)は、認証サーバ装置(500)から乱数情報を受信して、表示する乱数提示手段(310)と、利用者識別情報とワンタイムパスワードの入力を受け付けるOTP入力受付手段(320)と、前記受け付けられた利用者識別情報とワンタイムパスワードを含むOTP認証要求を認証サーバ装置に送信して、OTP認証結果を受信するOTP認証要求手段(330)と、を備える端末装置であって、前記認証サーバ装置(500)は、利用者識別情報(592)と対応付けられた事前共有鍵情報(591)とPIN情報(594)を記憶する記憶手段(509)と、利用者端末装置(300)からのアクセスをうけて、アクセス時間を用いて乱数情報を生成して返信する乱数返信手段(510)と、利用者端末装置(300)からOTP認証要求を受け付けるOTP受付手段(530)と、前記OTP認証要求を受け付けた時刻情報を用いて照合用乱数情報を生成する照合用乱数生成手段(515)と、前記受け付けられたOTP認証要求に含まれる利用者識別情報(592)と対応付けられた事前共有鍵情報(591)およびPIN情報(594)を選択して、前記選択された事前共有鍵情報(591)およびPIN情報(594)と、前記生成された照合用乱数情報とを用いて、照合用ワンタイムパスワードを作成する照合用ワンタイムパスワード作成手段(540)と、前記受け付けられたOTP認証要求に含まれるワンタイムパスワードと、前記照合用ワンタイムパスワードとを照合してOTP認証をおこなうOTP認証手段(550)と、を備えるサーバ装置であることを特徴とするワンタイムパスワード認証システムである。 This invention solves the said subject by the means as described in each following aspect.
That is, the first aspect of the present invention is a system comprising an OTP generator (100), a user terminal device (300) connected to a network, and an authentication server device (500), wherein the OTP generator The machine (100) includes storage means (109) for storing pre-shared key information (191) and user identification information (192), and PIN acceptance means (110) for accepting input of random number information and PIN information. The one-time password creating means (130) for creating a one-time password using the received random number information and PIN information and the pre-shared key information (191) stored therein, and the created one-time password display unit A one-time password display means (140) for displaying on the user terminal device (300), an authentication server Random number presentation means (310) for receiving and displaying random number information from the device (500), OTP input acceptance means (320) for accepting input of user identification information and one-time password, and the accepted user identification An OTP authentication request means (330) for transmitting an OTP authentication request including information and a one-time password to an authentication server device and receiving an OTP authentication result, wherein the authentication server device (500) includes: The storage means (509) for storing the pre-shared key information (591) and the PIN information (594) associated with the user identification information (592) and the access from the user terminal device (300), Random number reply means (510) that generates and returns random number information using the access time and accepts an OTP authentication request from the user terminal device (300) TP accepting means (530), collating random number generating means (515) for generating collating random number information using the time information when the OTP authentication request is accepted, and user identification included in the accepted OTP authentication request The pre-shared key information (591) and PIN information (594) associated with the information (592) are selected, the selected pre-shared key information (591) and PIN information (594), and the generated A verification one-time password creating means (540) for creating a verification one-time password using the verification random number information, a one-time password included in the accepted OTP authentication request, and the verification one-time password And a OTP authentication means (550) for performing OTP authentication by comparing Im password authentication system.

このように、OTP生成機は、認証サーバ装置が備えるクロックを利用して、ワンタイムパスワードを生成し、更に認証用のワンタイムパスワードも認証サーバ側のクロックを利用してワンタイムパスワードを生成することができる。それにより、従来のようにワンタイムパスワード生成機のクロックと、認証サーバ装置のクロックがずれていた場合の認証失敗を防止することができる。さらに、ワンタイムパスワード生成機のクロックを不正に操作して、未来の時間をセットして、ワンタイムパスワードを生成する等の不正を防止することができる。 In this way, the OTP generator generates a one-time password using the clock provided in the authentication server device, and further generates a one-time password for the authentication one-time password using the clock on the authentication server side. be able to. Thereby, it is possible to prevent an authentication failure when the clock of the one-time password generator and the clock of the authentication server device are shifted as in the conventional case. Furthermore, it is possible to prevent fraud such as generating a one-time password by setting the future time by illegally operating the clock of the one-time password generator.

なお、OTPとは、One Time Passwordの略である。PINとは、Personal Identification Numberの略である。 OTP is an abbreviation for One Time Password. PIN is an abbreviation for Personal Identification Number.

本願発明の第2の態様は、前記OTP生成機(100)は、前記記憶手段が、PIN情報(194)を記憶して、前記受け付けたPIN情報と、記憶手段のPIN情報(194)と照合して、PIN認証するPIN認証手段(120)を備えることを特徴とする請求項1に記載のワンタイムパスワード認証システムである。
According to a second aspect of the present invention, in the OTP generator (100), the storage means stores PIN information (194), and the received PIN information is compared with the PIN information (194) of the storage means. The one-time password authentication system according to claim 1, further comprising PIN authentication means (120) for PIN authentication.

本願発明によれば、
(1)時刻情報は、認証サーバ装置から取得するので、時間情報のずれを懸念せずに、ワンタイムパスワードを生成することが可能である。
(2)ワンタイムパスワード生成機には、乱数(例えば7桁)を入力する場合に比較して、乱数と同じ桁数でも、利用者が記憶しているPIN(例えば4桁)に乱数(3桁)をつなげて入力するのであれば、利用者に負担をかけずにワンタイムパスワードを入力することが可能である。
According to the present invention,
(1) Since the time information is acquired from the authentication server device, it is possible to generate a one-time password without worrying about a time information shift.
(2) Compared to the case where a random number (for example, 7 digits) is input to the one-time password generator, even if the number of digits is the same as the random number, the random number (3 for the 4 digits) stored by the user is stored. It is possible to enter a one-time password without burdening the user.

以下、図面等を参照しながら、本発明の実施の形態について、更に詳しく説明する。
図1は、ワンタイムパスワード認証システム1の概要を説明する図である。ワンタイムパスワード認証システム1は、ワンタイムパスワード生成機(以下OTP生成機)100と、ネットワーク接続された利用者端末装置300と認証サーバ装置500とから構成される。利用者端末装置300と認証サーバ装置500は通信接続される。 Hereinafter, embodiments of the present invention will be described in more detail with reference to the drawings.
FIG. 1 is a diagram for explaining the outline of the one-time password authentication system 1. The one-time password authentication system 1 includes a one-time password generator (hereinafter referred to as OTP generator) 100, a user terminal device 300 and an authentication server device 500 connected to a network. The user terminal device 300 and the authentication server device 500 are connected for communication.

OTP生成機100は、乱数情報を入力する入力手段を備えており、乱数情報を入力することのよって、ワンタイムパスワードの生成をおこない、表示部にワンタイムパスワードを表示する。
OTP生成機100は、コンピュータプログラムによって制御される電子装置である。OTP生成機100のコンピュータプログラムは、たとえば,C言語にて機能を追加することができる。 The OTP generator 100 includes an input means for inputting random number information. By inputting the random number information, the OTP generator 100 generates a one-time password and displays the one-time password on the display unit.
The OTP generator 100 is an electronic device controlled by a computer program. The computer program of the OTP generator 100 can add functions in C language, for example.

利用者が利用者端末装置300から、WEBブラウザなどで認証サーバ装置500のURLにアクセスして、ログイン画面を呼び出す。認証サーバ装置500は、利用者端末装置300がアクセスしてきた時刻をもとに、擬似乱数を発生させて乱数情報を生成し、ログイン画面に乱数情報を表示する。
利用者は、利用者のPINとログイン画面に表示された乱数情報をつなげてOTP生成機100に入力を行う。OTP生成機100は、内部メモリにPIN、利用者識別情報、事前共有鍵を記憶しており、利用者が入力したPINの照合を行う。利用者が入力したPINが内部メモリに記憶しているPINと一致すれば、OTP生成機100は、乱数情報とPINと利用者識別情報と事前共有鍵を用いてワンタイムパスワードを生成する。OTP生成機100は、生成したワンタイムパスワードを表示部に表示する。
利用者はOTP生成機100の表示部に表示されたワンタイムパスワードを目視で確認して、認証サーバ装置500のログイン画面に利用者識別情報とワンタイムパスワードを入力する。認証サーバ装置500は利用者識別情報とワンタイムパスワードを受け付けて、ワンタイムパスワード認証(以下OTP認証)を行う。 A user accesses the URL of the authentication server device 500 from the user terminal device 300 using a WEB browser or the like, and calls a login screen. The authentication server device 500 generates pseudorandom numbers based on the time when the user terminal device 300 has accessed, generates random number information, and displays the random number information on the login screen.
The user connects the user's PIN and the random number information displayed on the login screen to input to the OTP generator 100. The OTP generator 100 stores a PIN, user identification information, and a pre-shared key in an internal memory, and verifies the PIN input by the user. If the PIN input by the user matches the PIN stored in the internal memory, the OTP generator 100 generates a one-time password using the random number information, the PIN, the user identification information, and the pre-shared key. The OTP generator 100 displays the generated one-time password on the display unit.
The user visually confirms the one-time password displayed on the display unit of the OTP generator 100, and inputs the user identification information and the one-time password on the login screen of the authentication server device 500. The authentication server device 500 receives user identification information and a one-time password, and performs one-time password authentication (hereinafter referred to as OTP authentication).

図3は、OTP生成機100の詳細な構成図である。OTP生成機100は、CPU101と、表示部104と、入力部105と、メモリ(=記憶手段)109と、専用プログラムを備える。   FIG. 3 is a detailed configuration diagram of the OTP generator 100. The OTP generator 100 includes a CPU 101, a display unit 104, an input unit 105, a memory (= storage means) 109, and a dedicated program.

入力部105は、キーボタンである。表示部104は、LCDやELである。メモリ109は、半導体メモリや磁気メモリである。
メモリ109は、利用者の事前共有鍵情報191と、利用者識別情報192と、PIN194を記憶する。 The input unit 105 is a key button. The display unit 104 is an LCD or an EL. The memory 109 is a semiconductor memory or a magnetic memory.
The memory 109 stores user pre-shared key information 191, user identification information 192, and PIN 194.

専用プログラムは、入力受付手段110と、PIN認証手段120と、ワンタイムパスワード作成手段130と、ワンタイムパスワード表示手段140とから構成される。   The dedicated program includes an input receiving unit 110, a PIN authentication unit 120, a one-time password creating unit 130, and a one-time password display unit 140.

入力受付手段110は、入力部105から乱数情報とPIN情報の入力を受け付ける。利用者がPIN情報と乱数情報の入力を行うときには、PIN情報と乱数情報をつなげて入力を行う。具体的には、PINを4桁、乱数情報を3桁にして合計7桁の情報を入力する。
利用者は記憶しているPIN4桁に対して乱数3桁を追加して入力するだけなので、乱数情報を7桁入力するよりも、入力ミスが少なくてすむ。
PIN認証手段120は、入力受付手段110から受け付けたPIN情報と乱数情報からPIN情報部分について、メモリ109に記憶されているPIN情報194と照合して、PIN認証を行う。利用者が入力したPINが正しければ、認証が成功し、ワンタイムパスワードの生成が行われる。利用者が入力したPINとPIN情報194が一致しなければ、認証は失敗し、OTP生成機100はエラーを返す。 The input receiving unit 110 receives input of random number information and PIN information from the input unit 105. When a user inputs PIN information and random number information, the PIN information and random number information are connected and input. Specifically, the PIN is 4 digits, the random number information is 3 digits, and 7-digit information is input.
The user only needs to add 3 digits of random numbers to the stored 4 digits of PIN and input fewer random errors than inputting 7 digits of random number information.
The PIN authentication means 120 performs PIN authentication by comparing the PIN information part from the PIN information and random number information received from the input reception means 110 with the PIN information 194 stored in the memory 109. If the PIN entered by the user is correct, authentication is successful and a one-time password is generated. If the PIN entered by the user and the PIN information 194 do not match, the authentication fails and the OTP generator 100 returns an error.

ワンタイムパスワード作成手段130は、入力受付手段110から受け付けたPIN情報と乱数情報とメモリ109に記憶されている事前共有鍵情報191とを用いて、ワンタイムパスワードを作成する。ワンタイムパスワード表示手段140は、作成したワンタイムパスワードを表示部104に表示する。   The one-time password creating unit 130 creates a one-time password using the PIN information received from the input receiving unit 110, the random number information, and the pre-shared key information 191 stored in the memory 109. The one-time password display unit 140 displays the created one-time password on the display unit 104.

図4は、認証サーバ装置500の詳細な構成図である。認証サーバ装置500は、CPU501と、時計部503と、通信部507と、メモリ(=記憶手段)509と、専用プログラムとを備える。   FIG. 4 is a detailed configuration diagram of the authentication server device 500. The authentication server device 500 includes a CPU 501, a clock unit 503, a communication unit 507, a memory (= storage means) 509, and a dedicated program.

時計部503は、時刻情報を生成するクロック回路である。通信部507は、利用者端末装置300と通信接続する接続端子(たとえば、IP接続端子)である。メモリ509は、半導体メモリや磁気メモリである。   The clock unit 503 is a clock circuit that generates time information. The communication unit 507 is a connection terminal (for example, an IP connection terminal) for communication connection with the user terminal device 300. The memory 509 is a semiconductor memory or a magnetic memory.

メモリ(=記憶手段)509は、利用者を一意に識別する利用者識別情報192と利用者識別情報192に対応付けられた事前共有鍵情報591とPIN情報594を記憶する。   A memory (= storage means) 509 stores user identification information 192 for uniquely identifying a user, pre-shared key information 591 and PIN information 594 associated with the user identification information 192.

専用プログラムは、乱数返信手段510と、OTP受付手段530と、照合用乱数生成手段515と、照合用ワンタイムパスワード作成手段540と、OTP認証手段550から構成される。   The dedicated program includes a random number reply unit 510, an OTP reception unit 530, a verification random number generation unit 515, a verification one-time password creation unit 540, and an OTP authentication unit 550.

乱数生成手段510は、利用者端末装置300が認証サーバ装置500にアクセスしたときの時間をもちいて擬似乱数を発生して、乱数情報を生成する手段である。具体的には、利用者端末装置300から認証サーバ装置500にアクセスがあったときに、
乱数生成手段510は、認証サーバ装置500へのアクセス時間を用いて、擬似乱数を発生させて、乱数情報を作成する。引き続き、認証サーバ装置500はログイン画面を生成して、ログイン画面に乱数情報をセットして利用者端末装置300にログイン画面を送信する。
ログイン画面は、利用者識別情報とワンタイムパスワードの入力フィールドと乱数情報を表示するフィールドから構成される。乱数情報を表示するフィールドには、認証サーバ装置500が生成した乱数情報が表示される。
OTP受付手段530は、利用者端末装置300に送信したログイン画面の利用者識別情報入力フィールドとワンタイムパスワード入力フィールドに、利用者から入力された利用者識別情報192とワンタイムパスワードを受信して受け付ける手段である。
このとき、利用者識別情報192とワンタイムパスワードを受け付けた時刻情報をワンタイムパスワード生成のために、メモリ509に一時的に記憶する。 The random number generation means 510 is means for generating random number information by generating a pseudo random number using the time when the user terminal device 300 accesses the authentication server device 500. Specifically, when there is an access to the authentication server device 500 from the user terminal device 300,
The random number generation means 510 generates pseudo-random numbers using the access time to the authentication server device 500 and creates random number information. Subsequently, the authentication server device 500 generates a login screen, sets random number information on the login screen, and transmits the login screen to the user terminal device 300.
The login screen includes user identification information, a one-time password input field, and a field for displaying random number information. In the field for displaying the random number information, the random number information generated by the authentication server device 500 is displayed.
The OTP accepting unit 530 receives the user identification information 192 and the one-time password input from the user in the user identification information input field and the one-time password input field of the login screen transmitted to the user terminal device 300. It is a means to accept.
At this time, the user identification information 192 and the time information when the one-time password is received are temporarily stored in the memory 509 for the one-time password generation.

認証サーバ装置500は乱数情報とPINの組み合わせを方法についても、利用者端末装置300に送信してもよい。具体的には、認証サーバ装置500で生成したログイン画面に乱数情報と、乱数情報とPINの組み合わせ方法を表示する。例えば、「PINの前に乱数を入力せよ」、「PINの後に乱数を入力せよ」、といった表示をする。このとき、OTP生成機100は、どのパターンの入力であるかを判断するために、予め1桁目あるいは最終桁には必ず入力方法のパターンを示すフラグをつける必要がある。   The authentication server device 500 may transmit the combination of the random number information and the PIN to the user terminal device 300 as a method. Specifically, the random number information and the combination method of the random number information and the PIN are displayed on the login screen generated by the authentication server device 500. For example, a message such as “Enter random number before PIN” or “Enter random number after PIN” is displayed. At this time, in order to determine which pattern is input, the OTP generator 100 must always add a flag indicating the pattern of the input method to the first digit or the last digit in advance.

照合用乱数生成手段515は、ワンタイムパスワードを生成するための擬似乱数を発生する手段であり、メモリ509に一時的に記憶された時刻情報を用いて擬似乱数を発生して、照合用乱数情報を生成する。   The verification random number generation means 515 is a means for generating a pseudo-random number for generating a one-time password, generates a pseudo-random number using time information temporarily stored in the memory 509, and generates verification random number information. Is generated.

照合用ワンタイムパスワード作成手段540は、OTP受付手段530で受け付けた利用者識別情報192に対応付けられた事前共有鍵情報591とPIN情報594をメモリ509から選択して、選択した事前共有鍵情報591とPIN情報594と照合用乱数情報とを用いて、照合用ワンタイムパスワードを作成する。
照合用ワンタイムパスワードは、OTP受付手段530で受け付けたワンタイムパスワードを照合するためのワンタイムパスワードである。 The verification one-time password creating means 540 selects pre-shared key information 591 and PIN information 594 associated with the user identification information 192 received by the OTP receiving means 530 from the memory 509, and selects the pre-shared key information thus selected. A verification one-time password is created using 591, PIN information 594, and verification random number information.
The verification one-time password is a one-time password for verifying the one-time password received by the OTP reception unit 530.

OTP認証手段550は、OTP受付手段530で受け付けたンタイムパスワードと、照合用ワンタイムパスワードの照合を行い、一致すれば認証を行う。
OTP受付手段530で受け付けたワンタイムパスワードと照合用ワンタイムパスワードとが一致しない場合には、照合用乱数を生成するときに使用した時刻情報を少し早めて、照合用のワンタイムパスワードを再生成する。照合用乱数生成手段515は、時刻情報を少し早めて、擬似乱数を発生し、照合用乱数情報を生成する。
照合用ワンタイムパスワード作成手段540は、新たに作成した照合用乱数情報と、事前共有鍵情報591と、PIN情報594と、利用者識別情報を用いて照合用ワンタイムパスワードを作成する。
OTP認証手段550は、再生成した照合用ワンタイムパスワードと、OTP受付手段530で受け付けたワンタイムパスワードの照合を行う。このようにOTP受付手段530でワンタイムパスワードと利用者識別情報を受付けた時間情報を少しずつずらして、照合用ワンタイムパスワードを再生成し、再度照合をおこなっていく。
ある規定の時間までさかのぼらせても、照合用ワンタイムパスワードが、利用者が入力したワンタイムパスワードに一致しない場合には、認証失敗になり、OTP認証手段550は、エラーを返す。照合用ワンタイムパスワードと利用者が入力したパスワードが一致する場合には認証が成功する。 The OTP authentication unit 550 collates the one-time password received by the OTP reception unit 530 with the collation one-time password, and performs authentication if they match.
If the one-time password received by the OTP receiving unit 530 and the one-time password for verification do not match, the time information used when generating the random number for verification is slightly advanced, and the one-time password for verification is regenerated. To do. The verification random number generation means 515 generates pseudorandom numbers by advancing the time information a little, and generates verification random number information.
The verification one-time password creation means 540 creates a verification one-time password using the newly created verification random number information, pre-shared key information 591, PIN information 594, and user identification information.
The OTP authentication unit 550 compares the regenerated one-time password for verification with the one-time password received by the OTP reception unit 530. In this manner, the OTP accepting unit 530 gradually shifts the time information received from the one-time password and the user identification information, regenerates the collation one-time password, and collates again.
If the one-time password for verification does not match the one-time password entered by the user even after going back to a predetermined time, the authentication fails and the OTP authentication unit 550 returns an error. If the one-time password for verification matches the password entered by the user, authentication succeeds.

図5は、利用者端末装置300の詳細な構成図である。
利用者端末装置300は、CPU301と、通信部302と、表示部304と、入力部305と、メモリ(=記憶手段)309と、専用プログラムとを備える。
表示部304は、LCDやELである。入力部305は、キーボードである。通信部302は、利用者端末装置500と通信接続する接続端子(たとえば、IP接続端子)である。メモリ309は、半導体メモリや磁気メモリである。
専用プログラムは、認証サーバアクセス手段310と、OTP入力受付手段320と、OTP認証要求手段330とから構成される。 FIG. 5 is a detailed configuration diagram of the user terminal device 300.
The user terminal device 300 includes a CPU 301, a communication unit 302, a display unit 304, an input unit 305, a memory (= storage means) 309, and a dedicated program.
The display unit 304 is an LCD or an EL. The input unit 305 is a keyboard. The communication unit 302 is a connection terminal (for example, an IP connection terminal) for communication connection with the user terminal device 500. The memory 309 is a semiconductor memory or a magnetic memory.
The dedicated program includes authentication server access means 310, OTP input reception means 320, and OTP authentication request means 330.

認証サーバアクセス手段310は、具体的にはWEB等のソフトウエアであり、利用者端末装置300から通信部302を通じて、同じネットワークに接続せれている認証サーバ装置500アクセスする手段である。認証サーバ装置500に利用者端末装置300の認証サーバアクセス手段110によりアクセスがあると、認証サーバ装置500はログイン画面を生成して、利用者端末装置300に乱数情報をセットして送信する。乱数情報は、利用者端末装置300が認証サーバ装置500アクセスしたときの時刻を元に発生した擬似乱数である。   The authentication server access unit 310 is specifically software such as WEB, and is a unit for accessing the authentication server device 500 connected to the same network from the user terminal device 300 through the communication unit 302. When the authentication server device 500 is accessed by the authentication server access unit 110 of the user terminal device 300, the authentication server device 500 generates a login screen and sets and transmits random number information to the user terminal device 300. The random number information is a pseudo-random number generated based on the time when the user terminal device 300 accesses the authentication server device 500.

OTP入力受付手段320は、認証サーバ装置500から送信されたログイン画面に、利用者が入力した利用者識別情報とワンタイムパスワードを受け付ける手段である。
OTP認証要求手段330は、ログイン画面で入力を受付けた利用者識別情報とワンタイムパスワードを認証サーバ装置500に送信して、認証サーバ装置500に認証作業を要求する。
認証サーバ装置500は、利用者端末装置300から送信された利用識別情報とワンタームパスワードを受け付けて、受付時刻と利用者識別情報から認証用のワンタイムパスワードの生成を行い、利用者端末装置300から送信されてきたワンタイムパスワードと一致するか照合を行う。一致すれば認証が成功する。 The OTP input accepting unit 320 is a unit that accepts the user identification information and the one-time password entered by the user on the login screen transmitted from the authentication server device 500.
The OTP authentication request unit 330 sends the user identification information and the one-time password received on the login screen to the authentication server device 500, and requests the authentication server device 500 for an authentication operation.
The authentication server device 500 receives the usage identification information and the one-term password transmitted from the user terminal device 300, generates a one-time password for authentication from the reception time and the user identification information, and the user terminal device 300. Verify whether it matches the one-time password sent from. If they match, authentication succeeds.

図2は、ワンタイムパスワード認証システム1の処理を示す。OTP生成機100でワンタイムパスワードの生成を行い、認証サーバ装置500で認証を行うまでの処理手順を説明する。   FIG. 2 shows the processing of the one-time password authentication system 1. A processing procedure from generation of a one-time password by the OTP generator 100 to authentication by the authentication server device 500 will be described.

最初に擬似乱数(チャレンジ)受取処理の手順を説明する。
利用者が、利用者端末装置300から同じネットワークに接続されている認証サーバ装置500にアクセスを行う(図2(1))。
認証サーバ装置500は、利用者端末装置300からアクセスを受付けると、そのアクセスの受付時刻情報を用いて擬似乱数を発生して、乱数情報の生成を行い、利用者端末装置300に返信する(図2(2))。
利用者端末装置300には、認証サーバ装置500から返信された乱数情報が表示される(図2(3))。 First, the procedure of pseudo random number (challenge) reception processing will be described.
The user accesses the authentication server device 500 connected to the same network from the user terminal device 300 (FIG. 2 (1)).
When the authentication server device 500 receives an access from the user terminal device 300, the authentication server device 500 generates a pseudo-random number using the access reception time information, generates the random number information, and returns it to the user terminal device 300 (see FIG. 2 (2)).
Random number information returned from the authentication server device 500 is displayed on the user terminal device 300 (FIG. 2 (3)).

次に、ワンタイムパスワード生成処理の手順を説明する。
利用者が、利用者端末装置300に表示された乱数情報を目視で読み取って、PIN情報および乱数情報をつなげてOTP生成機100の入力部105に入力を行うと、OTP生成機の入力受付手段110は、利用者が入力したPIN情報および乱数情報を受け付ける(図2(4))。
PIN認証手段120は、入力されたPIN情報とメモリ109に記憶されているPIN194を照合して本人認証を行う(図2(5))。
OTP生成機100は、入力受付手段110により受付けられた乱数情報およびPIN情報と、メモリ109に記憶する事前共有鍵情報191とを用いて、ワンタイムパスワードを作成する。作成したワンタイムパスワードは表示部105に表示される(図2(6))。 Next, the procedure of the one-time password generation process will be described.
When the user visually reads the random number information displayed on the user terminal device 300, connects the PIN information and the random number information, and inputs the input to the input unit 105 of the OTP generator 100, the input receiving means of the OTP generator 110 accepts PIN information and random number information input by the user (FIG. 2 (4)).
The PIN authenticating means 120 performs the personal authentication by comparing the input PIN information with the PIN 194 stored in the memory 109 (FIG. 2 (5)).
The OTP generator 100 creates a one-time password by using the random number information and PIN information received by the input receiving unit 110 and the pre-shared key information 191 stored in the memory 109. The created one-time password is displayed on the display unit 105 (FIG. 2 (6)).

次に、ワンタイムパスワード認証(以下OTP認証)処理の手順を説明する。
利用者が、OTP生成機100に表示されたワンタイムパスワードを目視で読み取って、利用者端末装置300に表示された認証サーバ装置500から送信されたログイン画面の利用者識別情報とワンタイムパスワードの入力フィールドに入力すると、利用者端末装置300のOTP入力受付手段320は、ワンタイムパスワードおよび利用者識別情報の入力を受け付ける(図2(7))。
OTP認証要求手段330は、ワンタイムパスワードと利用者識別情報を認証サーバ装置500に送信する(図2(8))。
認証サーバ装置500は、OTP受付手段530によりワンタイムパスワードおよび利用者識別情報を受け付ける。認証サーバ装置500は、利用者識別情報にかれんづけられた共有鍵情報591とPIN情報と、認証サーバ装置500へのアクセス時間を元に生成した乱数情報を元に、ワンタイムパスワードの生成を行い、利用者端末装置300から送信されてきたワンタイムパスワードと照合を行い、OTP認証を行う(図2(9))。
Next, a procedure for one-time password authentication (hereinafter referred to as OTP authentication) processing will be described.
The user visually reads the one-time password displayed on the OTP generator 100, and the user identification information and the one-time password on the login screen transmitted from the authentication server device 500 displayed on the user terminal device 300 are displayed. When input is made in the input field, the OTP input accepting means 320 of the user terminal device 300 accepts input of a one-time password and user identification information (FIG. 2 (7)).
The OTP authentication request unit 330 transmits the one-time password and user identification information to the authentication server device 500 (FIG. 2 (8)).
The authentication server device 500 receives the one-time password and user identification information by the OTP receiving unit 530. The authentication server device 500 generates a one-time password based on the shared key information 591 and the PIN information linked to the user identification information and the random number information generated based on the access time to the authentication server device 500. The OTP authentication is performed by comparing with the one-time password transmitted from the user terminal device 300 (FIG. 2 (9)).

ワンタイムパスワード認証システム1の概要を説明する図The figure explaining the outline of the one-time password authentication system 1 ワンタイムパスワード認証システム1の処理の流れProcess flow of one-time password authentication system 1 OTP生成機100の詳細な構成図Detailed configuration diagram of the OTP generator 100 認証サーバ装置500の詳細な構成図Detailed configuration diagram of authentication server device 500 利用者端末装置300の詳細な構成図Detailed configuration diagram of user terminal device 300

符号の説明Explanation of symbols

1 ワンタイムパスワード認証システム
100 ワンタイムパスワード生成機、以下OTP生成機
110 入力受付手段
120 PIN認証手段
130 ワンタイムパスワード作成手段
140 ワンタイムパスワード表示手段
191 事前共有鍵情報
192 利用者識別情報
300 利用者端末装置
310 認証サーバアクセス手段
320 OTP入力受付手段
330 OTP認証要求手段
500 認証サーバ装置
510 乱数生成手段
530 OTP受付手段
515 照合用乱数生成手段
540 照合用ワンタイムパスワード作成手段
550 OTP認証手段
591 事前共有鍵情報
594 PIN情報
1 One-time password authentication system 100 One-time password generator, hereinafter referred to as OTP generator 110 Input receiving means 120 PIN authentication means 130 One-time password creation means 140 One-time password display means 191 Pre-shared key information 192 User identification information 300 User Terminal device 310 Authentication server access means 320 OTP input reception means 330 OTP authentication request means 500 Authentication server apparatus 510 Random number generation means 530 OTP reception means 515 Verification random number generation means 540 Verification one-time password generation means 550 OTP authentication means 591 Pre-sharing Key information 594 PIN information

Claims (2)

OTP生成機と、ネットワーク接続された利用者端末装置と認証サーバ装置とから構成されるシステムであって、
前記OTP生成機は、
事前共有鍵情報と、利用者識別情報と、を記憶する記憶手段と、
乱数情報およびPIN情報の入力を受け付けるPIN受付手段と、
受け付けられた乱数情報およびPIN情報と、前記記憶する事前共有鍵情報とを用いて、ワンタイムパスワードを作成するワンタイムパスワード作成手段と、
作成したワンタイムパスワードを表示部に表示するワンタイムパスワード表示手段と、
を備える生成機であって、
利用者端末装置は、
認証サーバ装置から乱数情報を受信して、表示する乱数提示手段と、
利用者識別情報とワンタイムパスワードの入力を受け付けるOTP入力受付手段と、
前記受け付けられた利用者識別情報とワンタイムパスワードを含むOTP認証要求を認証サーバ装置に送信して、OTP認証結果を受信するOTP認証要求手段と、
を備える端末装置であって、
前記認証サーバ装置は、
利用者識別情報と対応付けられた事前共有鍵情報とPIN情報を記憶する記憶手段と、
利用者端末装置からのアクセスをうけて、アクセス時間を用いて乱数情報を生成して返信する乱数返信手段と、
利用者端末装置からOTP認証要求を受け付けるOTP受付手段と、
前記OTP認証要求を受け付けた時刻情報を用いて照合用乱数情報を生成する照合用乱数生成手段と、
前記受け付けられたOTP認証要求に含まれる利用者識別情報と対応付けられた事前共有鍵情報およびPIN情報を選択して、前記選択された事前共有鍵情報およびPIN情報(594)と、前記生成された照合用乱数情報とを用いて、照合用ワンタイムパスワードを作成する照合用ワンタイムパスワード作成手段と、
前記受け付けられたOTP認証要求に含まれるワンタイムパスワードと、前記照合用ワンタイムパスワードとを照合してOTP認証をおこなうOTP認証手段と、
を備えるサーバ装置である
ことを特徴とするワンタイムパスワード認証システム。 A system comprising an OTP generator, a user terminal device connected to a network, and an authentication server device,
The OTP generator is
Storage means for storing pre-shared key information and user identification information;
PIN accepting means for accepting input of random number information and PIN information;
One-time password creation means for creating a one-time password using the received random number information and PIN information and the pre-shared key information stored therein;
One-time password display means for displaying the created one-time password on the display unit;
A generator comprising:
The user terminal device
Random number presentation means for receiving and displaying random number information from the authentication server device;
OTP input receiving means for receiving user identification information and one-time password input;
An OTP authentication request means for transmitting an OTP authentication request including the received user identification information and a one-time password to an authentication server device and receiving an OTP authentication result;
A terminal device comprising:
The authentication server device
Storage means for storing pre-shared key information and PIN information associated with user identification information;
Random number reply means for receiving random access from the user terminal device and generating random number information using the access time;
OTP accepting means for accepting an OTP authentication request from the user terminal device;
A verification random number generating means for generating verification random number information using the time information at which the OTP authentication request is received;
The pre-shared key information and PIN information (594) selected by selecting the pre-shared key information and PIN information associated with the user identification information included in the accepted OTP authentication request, and the generated A verification one-time password creating means for creating a verification one-time password using the verification random number information;
OTP authentication means for performing OTP authentication by comparing the one-time password included in the accepted OTP authentication request with the one-time password for verification;
A one-time password authentication system, comprising: a server device comprising: 前記OTP生成機は、
前記記憶手段が、PIN情報を記憶して、
前記受け付けたPIN情報と、記憶手段のPIN情報と照合して、PIN認証するPIN認証手段
を備える
ことを特徴とする請求項1に記載のワンタイムパスワード認証システム。

The OTP generator is
The storage means stores PIN information,
2. The one-time password authentication system according to claim 1, further comprising a PIN authentication unit that performs PIN authentication by comparing the received PIN information with the PIN information stored in the storage unit.

JP2007160934A 2007-06-19 2007-06-19 Onetime password authentication system Withdrawn JP2009003498A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007160934A JP2009003498A (en) 2007-06-19 2007-06-19 Onetime password authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007160934A JP2009003498A (en) 2007-06-19 2007-06-19 Onetime password authentication system

Publications (1)

Publication Number Publication Date
JP2009003498A true JP2009003498A (en) 2009-01-08

Family

ID=40319855

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007160934A Withdrawn JP2009003498A (en) 2007-06-19 2007-06-19 Onetime password authentication system

Country Status (1)

Country Link
JP (1) JP2009003498A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012027530A (en) * 2010-07-20 2012-02-09 Dainippon Printing Co Ltd One-time password generator, server apparatus, authentication system, method, program, and recording medium
JP2018530235A (en) * 2015-10-02 2018-10-11 コリア フレーミング インスティテュートKorea Framing Institute Integrated authentication system that authenticates using disposable random numbers
CN110084026A (en) * 2012-03-06 2019-08-02 温科尼克斯多夫国际有限公司 Pass through the PC protection of BIOS/ (U) EFI extension

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012027530A (en) * 2010-07-20 2012-02-09 Dainippon Printing Co Ltd One-time password generator, server apparatus, authentication system, method, program, and recording medium
CN110084026A (en) * 2012-03-06 2019-08-02 温科尼克斯多夫国际有限公司 Pass through the PC protection of BIOS/ (U) EFI extension
JP2018530235A (en) * 2015-10-02 2018-10-11 コリア フレーミング インスティテュートKorea Framing Institute Integrated authentication system that authenticates using disposable random numbers

Similar Documents

Publication Publication Date Title
CN100459488C (en) Portable one-time dynamic password generator and security authentication system using the same
CA2786271C (en) Anytime validation for verification tokens
US9641521B2 (en) Systems and methods for network connected authentication
US10848304B2 (en) Public-private key pair protected password manager
JP2008524727A (en) Authentication device and / or method
US9124571B1 (en) Network authentication method for secure user identity verification
JP2012027530A (en) One-time password generator, server apparatus, authentication system, method, program, and recording medium
JP2009003501A (en) Onetime password authentication system
JP2006155547A (en) Individual authentication system, terminal device and server
KR101856530B1 (en) Encryption system providing user cognition-based encryption protocol and method for processing on-line settlement, security apparatus and transaction approval server using thereof
JP2009003498A (en) Onetime password authentication system
JP2008299386A (en) One-time password authentication system
EP2916509B1 (en) Network authentication method for secure user identity verification
CN112150151B (en) Secure payment method, apparatus, electronic device and storage medium
KR101566011B1 (en) Method for Operating OTP using Biometric
AU2015200701B2 (en) Anytime validation for verification tokens
KR20120088236A (en) User authentification system for contents service and method thereof
KR20110005611A (en) System and method for managing otp using user&#39;s media, otp device and recording medium
JP2007293538A (en) User authentication method, user authentication device, and user authentication program
KR101636068B1 (en) Method for Operating OTP using Biometric
KR101576038B1 (en) Network authentication method for secure user identity verification
KR20170087072A (en) Method for Operating OTP using Certification of Media
JP2017139563A (en) Code number inquiry system
JP2015220526A (en) Information processing system, information processing method, and program
KR20150091601A (en) Method and system for copying certificate

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20100907