JP2009031940A - Issuing system for onetime password - Google Patents
Issuing system for onetime password Download PDFInfo
- Publication number
- JP2009031940A JP2009031940A JP2007193788A JP2007193788A JP2009031940A JP 2009031940 A JP2009031940 A JP 2009031940A JP 2007193788 A JP2007193788 A JP 2007193788A JP 2007193788 A JP2007193788 A JP 2007193788A JP 2009031940 A JP2009031940 A JP 2009031940A
- Authority
- JP
- Japan
- Prior art keywords
- mobile phone
- password
- request
- identification information
- license code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、パスワードを用いて認証を行う技術に関するものであり、特に携帯電話をトークンとして認証に必要なワンタイムパスワードを生成する技術に関する。 The present invention relates to a technique for performing authentication using a password, and particularly to a technique for generating a one-time password necessary for authentication using a mobile phone as a token.
近年、インターネット等のネットワークを利用した情報技術(IT)の進展が目覚しく、職場や家庭等の至る所でITの利用が可能になってきている。 2. Description of the Related Art In recent years, information technology (IT) using a network such as the Internet has progressed remarkably, and it has become possible to use IT throughout the workplace and at home.
例えば、インターネットを介した銀行振込みといったバンキングシステムへのアクセスや、社内システムへのリモートアクセスなどが広く利用されている。 For example, access to a banking system such as bank transfer via the Internet and remote access to an in-house system are widely used.
このようにネットワークを介してシステムへのログインを行う際には、IDとパスワードによる認証を行うのが一般的である。 In this way, when logging in to a system via a network, authentication using an ID and a password is generally performed.
しかし、パスワードの漏洩や推定、総当り攻撃によってシステムに不正アクセスされる問題もあり、高いセキュリティの確保が望まれている。 However, there are problems of unauthorized access to the system due to password leakage, estimation, and brute force attacks, and high security is desired.
このため、ハードウェアトークンやワンタイムパスワードを用いてセキュリティを向上させる技術が種々提案されている。 For this reason, various techniques for improving security using hardware tokens and one-time passwords have been proposed.
また、本願発明に関連する先行技術として、例えば、下記の特許文献1、非特許文献1に開示される技術がある。
上記特許文献1、非特許文献1に記載されているように、ハードウェアトークンによって生成されるワンタイムパスワードを用いれば、パスワードの漏洩や推定、総当り攻撃に対するセキュリティは向上する。
As described in
しかし、セキュリティは向上するものの全ての利用者にハードウェアトークンを配布しなければならず、導入コストが高くなってしまう。特にバンキングシステムの利用者全員にハードウェアトークンを配布するには膨大なコストが必要であった。 However, although security is improved, hardware tokens must be distributed to all users, which increases the introduction cost. In particular, huge costs were required to distribute hardware tokens to all users of banking systems.
また、システムを利用するためには常に、このハードウェアを携行しなければならず、煩わしいという問題点があった。更に、ユーザが、このハードウェアを携行中に紛失した場合、当該ハードウェアトークンを無効にし、新しいハードウェアを用意して再びユーザへ物理的に渡さなくてはならず、システム管理者の手間が必要になると共に、当該ユーザは新しいハードウェアトークンを物理的に受け取るまでの長い間、システムを利用出来ない。 Also, in order to use the system, this hardware must always be carried, and there is a problem that it is troublesome. In addition, if the user loses this hardware while carrying it, the hardware token must be invalidated, new hardware must be prepared and physically handed over to the user again, which saves the system administrator time. As it becomes necessary, the user cannot use the system for a long time before physically receiving a new hardware token.
一方、パーソナルコンピュータ(PC)や携帯電話にインストールしたアプリケーションソフトウェアでワンタイムパスワードを生成させる所謂ソフトウェアトークンといった方式もある。 On the other hand, there is a so-called software token that generates a one-time password using application software installed on a personal computer (PC) or a mobile phone.
この場合、もともとユーザが使用しているPCや携帯電話を利用できるので、別途トークンを携行する煩わしさや、ハードウェアの導入コストが生じない。 In this case, since the user can use a PC or a mobile phone that is originally used by the user, there is no inconvenience of carrying a separate token and no hardware installation cost.
しかし、ソフトウェアトークンをインストールする場合には、ユーザ毎に固有の情報(ライセンスコード等)を入力する必要がある。このため各ユーザにライセンスコード等を配布することになり、セキュリティ上問題がある。 However, when installing a software token, it is necessary to input unique information (such as a license code) for each user. For this reason, a license code or the like is distributed to each user, which causes a security problem.
また、複雑なコードの入力やソフトウェアの設定をユーザ自身で行う必要があると、ユーザに敬遠される問題もある。 In addition, if it is necessary for the user himself to perform complicated code input and software setting, there is a problem that the user is avoided.
そこで本発明は、導入に必要な情報を一括して管理し、高いセキュリティを確保しながら、導入が容易なワンタイムパスワードの発行技術を提供する。 Therefore, the present invention provides a technique for issuing a one-time password that can be easily introduced while collectively managing information necessary for introduction and ensuring high security.
上記課題を解決するため、本発明は、以下の構成を採用した。
即ち、本発明のパスワード発行システムは、
携帯電話と、携帯網を介して該携帯電話と通信するキャリア側装置とを有し、
キャリア側装置が、
携帯電話からの接続要求を受信する接続手段と、
前記接続要求から前記携帯電話の識別情報を検出するID検出手段と、
前記携帯電話からライセンスコードの要求を受信する受信手段と、
前記識別情報と対応するライセンスコードをデータベースから読み出して当該携帯電話に送信する送信手段と、を備え、
前記携帯電話が、
受信した前記ライセンスコードを記憶する記憶手段と、
ユーザの操作によるパスワード要求を受信する受信手段と、
前記パスワード要求を契機に前記ライセンスコードと所定変数とに基づいてワンタイムパスワードを生成するパスワード生成手段と、を備える。
In order to solve the above problems, the present invention employs the following configuration.
That is, the password issuing system of the present invention is
A mobile phone and a carrier side device that communicates with the mobile phone via a mobile network;
Carrier side device
A connection means for receiving a connection request from a mobile phone;
ID detecting means for detecting identification information of the mobile phone from the connection request;
Receiving means for receiving a request for a license code from the mobile phone;
Transmitting means for reading out the license code corresponding to the identification information from the database and transmitting it to the mobile phone;
The mobile phone
Storage means for storing the received license code;
Receiving means for receiving a password request by a user operation;
Password generation means for generating a one-time password based on the license code and a predetermined variable in response to the password request.
前記パスワードの発行システムは、前記パスワード要求を受信した時間を前記変数としても良い。 The password issuing system may use the time when the password request is received as the variable.
前記携帯電話は、耐タンパ手段を備えたROMに識別情報を記憶し、
該ROMから読み出した識別情報を前記接続要求に加えてキャリア側装置に送信しても良い。
The mobile phone stores identification information in a ROM provided with tamper-resistant means,
The identification information read from the ROM may be transmitted to the carrier side device in addition to the connection request.
また、本発明のワンタイムパスワードの発行方法は、
携帯電話のキャリア側装置が、
携帯電話からの接続要求を受信するステップと、
前記接続要求から前記携帯電話の識別情報を検出するステップと、
前記携帯電話からライセンスコードの要求を受信するステップと、
前記識別情報と対応するライセンスコードをデータベースから読み出して当該携帯電話に送信するステップと、を実行し、
前記携帯電話が、
受信した前記ライセンスコードを記憶手段に記憶するステップと、
ユーザの操作によるパスワード要求を受信するステップと、
前記パスワード要求を契機に前記ライセンスコードと所定変数とに基づいてワンタイムパスワードを生成するステップと、
The one-time password issuance method of the present invention is as follows:
The mobile phone carrier side device
Receiving a connection request from a mobile phone;
Detecting identification information of the mobile phone from the connection request;
Receiving a request for a license code from the mobile phone;
Reading the license code corresponding to the identification information from the database and transmitting it to the mobile phone; and
The mobile phone
Storing the received license code in a storage means;
Receiving a password request by a user operation;
Generating a one-time password based on the license code and a predetermined variable triggered by the password request;
前記パスワード要求を受信した時間を前記変数としても良い。 The time when the password request is received may be used as the variable.
前記携帯電話は、前記識別情報を記憶した耐タンパ手段を備えたROMを有し、
該ROMから読み出した識別情報を前記接続要求に加えてキャリア側装置に送信しても良い。
The mobile phone has a ROM having tamper-resistant means for storing the identification information,
The identification information read from the ROM may be transmitted to the carrier side device in addition to the connection request.
また、本発明は、上記パスワードの発行方法をコンピュータに実行させるプログラムであっても良い。更に、本発明は、このプログラムをコンピュータが読み取り可能な記録媒体に記録したものであっても良い。コンピュータに、この記録媒体のプログラムを読み込ませて実行させることにより、その機能を提供させることができる。 Further, the present invention may be a program for causing a computer to execute the password issuing method. Furthermore, the present invention may be a program in which this program is recorded on a computer-readable recording medium. The function can be provided by causing the computer to read and execute the program of the recording medium.
ここで、コンピュータが読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータから読み取ることができる記録媒体をいう。このような記録媒体の内コンピュータから取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD-ROM、CD-R/W、DVD、DAT、8mmテープ、メモリカード等がある。 Here, the computer-readable recording medium refers to a recording medium that accumulates information such as data and programs by electrical, magnetic, optical, mechanical, or chemical action and can be read from the computer. . Examples of such a recording medium that can be removed from the computer include a flexible disk, a magneto-optical disk, a CD-ROM, a CD-R / W, a DVD, a DAT, an 8 mm tape, and a memory card.
また、コンピュータに固定された記録媒体としてハードディスクやROM(リードオンリーメモリ)等がある。 Further, there are a hard disk, a ROM (read only memory), and the like as a recording medium fixed to the computer.
本発明によれば、導入に必要な情報を一括して管理し、高いセキュリティを確保しながら、導入が容易な認証技術を提供できる。 ADVANTAGE OF THE INVENTION According to this invention, the information required for introduction can be managed collectively, and the authentication technique with easy introduction can be provided, ensuring high security.
以下、図面を参照して本発明を実施するための最良の形態について説明する。以下の実施の形態の構成は例示であり、本発明は実施の形態の構成に限定されない。
§1.全体構成
図1は、本発明に係るシステムの全体構成を示す図である。本例のシステム10は、認証サーバ1や、移動通信網(キャリヤ側装置)2、携帯電話3等を有し、携帯電話3でワンタイムパスワードを生成し、該パスワードで認証サーバ1の認証を受けるシステムである。
The best mode for carrying out the present invention will be described below with reference to the drawings. The configuration of the following embodiment is an exemplification, and the present invention is not limited to the configuration of the embodiment.
§1. Overall Configuration FIG. 1 is a diagram showing an overall configuration of a system according to the present invention. The
移動通信網2には、携帯電話3からの電波を受信すると共に、携帯電話3へ電波を出力して、無線通信を行う無線通信機21や、該無線通信機21で受信した通話信号を通話先へ中継する中継機22、無線通信機21を介して携帯電話3とのデータ(パケット)通信を行う為のデータ通信網で受信したデータ信号に応じてメールやコンテンツを該携帯電話へ提供する為のパケット網23、携帯電話のUIDと対応付けた携帯電話番号等の情報(加入者情報)を記憶している加入者情報記憶部(HLR:Home Location Register)を有している。
The
無線通信機21は、携帯電話3からの電波を受信する受信部211と、受信した電波を電気信号に復調する復調部212と、該電気信号が通話信号であれば中継機22へ送信し、データ信号であればデータ通信網23へ送信するように制御する制御部213を備えている。
The
無線通信機21から送出された通話信号は、加入者系移動通信制御局(MCC)や中継系移動通信制御局(MGC)の中継機22を介して通話先へ伝送される。
The call signal transmitted from the
一方、無線通信機21から送出されたデータ信号は、ルータ221によって、メールサーバ222や、コンテンツサーバ223、インターネット等の他のネットワークに転送さ
れる。
On the other hand, the data signal transmitted from the
コンテンツサーバ223は、交通情報や、天気、ニュース、着メロ、アプリケーションソフトウェア(以下単にアプリとも称す)等、携帯電話向けのコンテンツを提供する。特に、本実施形態では、ワンタイムパスワード生成用のアプリのダウンロードや、該アプリに設定するライセンスコードの発行を行っている。
The
§2.コンテンツサーバ
図2は、コンテンツサーバ223の概略図である。同図に示すように、コンテンツサーバ223は、CPU(central processing unit)やメインメモリ等よりなる演算処理部
32、演算処理の為のデータやソフトウェアを記憶した記憶部(ハードディスク)33、入出力ポート34、通信制御部(CCU:Communication Control Unit)35等を備えたコンピュータである。
§2. Content Server FIG. 2 is a schematic diagram of the
該入出力ポート34には、キーボードやマウス、CD−ROMドライブ等の入力デバイス、そして表示装置やプリンター等の出力デバイスを備えたコンソールが適宜接続される。
CCU15は、ネットワークを介した他のコンピュータとの通信を制御するものである。
The input /
The
記憶部33には、オペレーティングシステム(OS)やアプリケーションソフトがインストールされている。また、各携帯電話の電話番号とライセンスコードとを対応付けて記憶したデータベース241を有している。
An operating system (OS) and application software are installed in the
演算処理部32は、前記OSやアプリケーションプログラムを記憶部33から適宜読み出して実行し、入出力ポート34やCCU35から入力された情報、及び記憶部33から読み出した情報を演算処理することにより、接続制御手段、ライセンス送信手段や、アプリ提供手段、識別情報検出手段としても機能する。
アプリ提供手段としては、携帯電話からアプリケーションソフトウェアのダウンロード要求(信号)を受信した場合に、当該アプリケーションソフトウェアの
The
As an application providing means, when an application software download request (signal) is received from a mobile phone, the application software
この接続制御手段(接続手段)としては、無線通信機21やルータ221を介して携帯電話3からのデータ信号を受信し、このデータ信号が接続要求であれば、これに応じて携帯電話3との接続を確立する。
As the connection control means (connection means), a data signal is received from the
なお、無線通信機21は、携帯電話3から各携帯電話固有の識別情報(例えばUID)を受信し、復調したデータ信号をパケット網へ送出する際に前記UID或はUIDを特定できる情報を送信元情報として当該データ信号に加えて送出する。
The
識別情報検出手段としては、この受信したデータ信号から識別情報(UID)或はUIDを特定できる情報を検出し、UID或はUIDを特定できる情報と対応する電話番号を前記HLRから索出する。 As the identification information detecting means, identification information (UID) or information that can identify the UID is detected from the received data signal, and a telephone number corresponding to the information that can identify the UID or UID is retrieved from the HLR.
ライセンス送信手段としては、前記電話番号と対応するライセンスコードをデータベースから読み出して当該携帯電話に送信する。 As the license transmission means, the license code corresponding to the telephone number is read from the database and transmitted to the mobile phone.
キャリア側サーバ240は、認証用のライセンス等を販売する販売サイトとしてのウエブサーバとして機能するコンピュータである。キャリア側サーバ240は、ライセンスキーとユーザの携帯電話番号とを対応付けて記憶する記憶部(データベース)241を備えている。
The
§3.携帯電話
図3は、本発明に係る携帯電話3のブロック図である。
同図に示すように本形態の携帯電話3は、アンテナ301、無線回路部302、通信制御部303、記憶部304、キー操作部306、音声コーデック307、音声出力部(受話部)308、音声入力部(送話部)309、メール制御部311、表示部312、演算処理部313、ROM314等を備えている。
§3. Mobile Phone FIG. 3 is a block diagram of a
As shown in the figure, the
アンテナ301は、無線基地局BSと通信を行う際の電波の送受信に使用される。無線回路部302は、アンテナ301で受信した電波の復調を行って受信信号を生成すると共に、送信信号を所定の周波数へ変調してアンテナ301を介して変調信号を出力する。
The
通信制御部303は、無線回路部302で生成された復調信号を復号化するとともに、符号化した送信信号を無線回路部302へ出力して通信を行わせる等の制御を行う。
The
記憶部304は、フラッシュメモリやSRAM(Static Random Access Memory)、N
VRAM(Nonvolatile Random Access Memory)等から構成され、電話帳データ(通話先リスト)や、送受信したメールのデータ、伝言のデータ、アプリケーションプログラム等を記憶する。
The
It is composed of a VRAM (Nonvolatile Random Access Memory) or the like, and stores telephone directory data (call destination list), sent / received mail data, message data, application programs, and the like.
キー操作部306は、電話番号や文字を入力する操作キー361や、選択メニューを選択するための操作キー362等よりなっている。キー操作部306としては、この他、入力用のダイヤル(ジョグダイヤル)やタッチパネル等を利用しても良い。
The
音声コーデック307は、通信制御部303により復号化された音声データを受け付けて音声符号化方式の仕様で復号化した後にアナログ変換し、音声信号として音声出力部308に出力する。また、音声コーデック307は、音声入力部309から入力された音声信号をデジタル変換した後に音声符号化方式の仕様で符号化して音声データとして通信制御部303へ出力する。
The
音声出力部308は、スピーカおよびアンプからなり、前記音声信号を音声として出力する。音声入力部309は、マイクおよびアンプからなり、話者の音声を前記音声信号として入力する。
The
メール制御部311は、通信制御部303により復号化されたメールデータを受信して所定の仕様で復号化し、記憶部304に記憶する。また、メール制御部41は、キー操作部306からの入力に基づいてメールデータを生成し、通信制御部303に出力する。これにより該メールデータを通信制御部が符号化し、無線回路部302によって送信し、無線基地局を介して通信相手に電子メールを送信する。また、メール制御部311は、受信したメールデータを記憶部304から読み出して該メールの内容を表示部312に表示させる。
The
表示部312は、LCD(Liquid Crystal Display)やELディスプレイなどからなり、電話番号やメールの内容、待ち受け画像等の表示を行う。
The
演算処理部313は、CPU(central processing unit)やメインメモリ等からなっ
ている。該演算処理部313は、上記各部からの情報やアプリケーションソフトに基づいて演算処理を行うことにより、前記要求受付手段や、パスワード生成手段、表示制御手段等の機能を実現している。
The
要求受付手段(受信手段)の機能としては、ユーザの操作によって、パスワードやライセンスコードの要求を受信する。例えば、ユーザによってキー操作部306のメニューキー360が押されると、表示部312に選択メニューを表示し、該選択メニューから「パスワード取得」や「ライセンスコード取得」等の選択を受付ける。
As a function of the request receiving means (receiving means), a request for a password or a license code is received by a user operation. For example, when the menu key 360 of the
また、パスワード生成手段は、前記パスワード要求を契機に前記ライセンスコードと所定変数とに基づいてワンタイムパスワードを生成する。 The password generation means generates a one-time password based on the license code and a predetermined variable in response to the password request.
表示制御手段としては、パスワード生成手段で生成したワンタイムパスワードを表示部312に表示させる。
As a display control unit, the one-time password generated by the password generation unit is displayed on the
ROM314は、耐タンパ手段を有した読み出し専用のメモリであり、携帯電話の識別情報(UID等)を記憶している。このROM314の耐タンパ手段とは、パッケージを開封した場合に内部の回路も壊れて解析できなくする保護構造や、通信制御部303による特定アルゴリズム以外の読み出しには応じない回路等である。
The
§4.認証装置
図4は、本実施形態における認証サーバ1の概略構成図である。認証装置1は、同図に示すように、認証装置1は、CPU(central processing unit)やメインメモリ等より
なる演算処理部12、演算処理の為のデータやソフトウェアを記憶した記憶部(ハードディスク)13、入出力ポート14、通信制御部(CCU:Communication Control Unit)15等を備えた所謂コンピュータである。
§4. Authentication Device FIG. 4 is a schematic configuration diagram of the
該入出力ポート14には、操作部(入力釦)やメモリリーダ等の入力デバイス、そして表示装置やプリンター等の出力デバイスが適宜接続される。
An input device such as an operation unit (input button) and a memory reader and an output device such as a display device and a printer are appropriately connected to the input /
CCU15は、ネットワークを介した他のコンピュータとの通信を制御するものである。
記憶部13には、オペレーティングシステム(OS)やアプリケーションソフト(セキュリティ情報通知プログラム)がインストールされている。
The
An operating system (OS) and application software (security information notification program) are installed in the
演算処理部12は、前記OSやアプリケーションプログラムを記憶部13から適宜読み出して実行し、入出力ポート14やCCU15から入力された情報、及び記憶部13から読み出した情報を演算処理することにより、認証受付手段や、認証処理手段、結果通知手段、中継手段としても機能する。
The
認証受付手段の機能としては、ゲートウェイ(エッジルータ)を介してユーザ端末から社内システムへのアクセス要求信号(パケット)を受信した場合に、送信元の端末が認証前であれば、認証用のメッセージを表示させ、ユーザの識別情報(PIN)とワンタイムパスワードの入力を促す。 As a function of the authentication accepting means, when an access request signal (packet) from a user terminal to an in-house system is received via a gateway (edge router), if the source terminal is before authentication, an authentication message Is displayed and prompts the user to enter identification information (PIN) and a one-time password.
認証処理手段の機能としては、該認証受付手段で受信したPINと対応する登録情報をデータベースから読出し、所定の登録情報を参照して、ユーザ端末から受信したユーザIDとワンタイムパスワードが正当であるか否かを判定する。このとき認証処理手段は、PINと対応する登録情報と所定変数とから正当なパスワードを算出し、受信したパスワードとの一致を判定する。該所定関数は、算出する毎にパスワードを変化させる、即ちワンタイムパスワードを生成するため、万一、通信経路で盗聴されたとしても、このパスワードで第三者が次回に利用することはできない。また、毎回違うパスワードとなるので、推定されることもない。 As the function of the authentication processing means, the registration information corresponding to the PIN received by the authentication accepting means is read from the database, and the user ID and the one-time password received from the user terminal with reference to the predetermined registration information are valid. It is determined whether or not. At this time, the authentication processing means calculates a valid password from the registration information corresponding to the PIN and a predetermined variable, and determines a match with the received password. Since the predetermined function changes the password every time it is calculated, that is, generates a one-time password, even if the password is eavesdropped on the communication path, a third party cannot use this password next time. Moreover, since it becomes a different password every time, it is not estimated.
本実施形態では、この所定変数として時刻を採用しており、認証サーバ1と携帯電話3とが独立にパスワードを算出しても、算出時刻が同じであれば同一の結果が得られる。なお、携帯電話3と認証サーバ1の算出時刻は、厳密に同一とせずに、通信にかかる時間やユーザ端末への入力にかかる時間等を補正して同期させても良い。
In this embodiment, time is adopted as the predetermined variable, and even if the
結果通知手段としては、認証受付手段や中継手段へ認証結果、例えばパスワードが一致して正当なアクセスと認証した端末のアドレスを通知する。 As the result notification means, the authentication reception means and the relay means are notified of the authentication result, for example, the address of the terminal that has been authenticated as a legitimate access with matching passwords.
中継手段としては、ユーザ端末から受信したアクセス要求信号のヘッダ等を参照し、該結果通知手段から通知された正当な端末からのアクセスであれば社内システムへ中継し、正当な端末からのアクセスでなければ当該アクセス要求信号を遮断する。 The relay means refers to the header of the access request signal received from the user terminal and relays it to the in-house system if the access is from a valid terminal notified from the result notification means. If not, the access request signal is blocked.
なお、本実施形態では、認証装置1がアクセス要求信号の認証および中継を行ったが、これに限らず、認証装置1が認証を行い、結果通知手段によって他の装置へ認証結果を通知し、該結果に基づきルータや、プロキシサーバ、ファイヤウォール等の他の装置がアクセス要求信号の中継或いは遮断を行っても良い。
In this embodiment, the
§5.パスワード発行方法および認証方法
これら構成のシステム10におけるパスワードの発行方法および認証方法について図5を用いて説明する。
§5. Password Issuing Method and Authentication Method A password issuing method and an authentication method in the
5−1.事前登録
法人A社のシステム管理者は、管理者端末からキャリア側販売サイトのサーバ240に対し、ユーザ数分のパスワードのシードコードを注文する(S1)。
5-1. Pre-registration The system administrator of corporation A orders an seed code for the number of passwords from the administrator terminal to the
該サーバは、注文に応じ、パスワードの生成に用いるシードコードをリスト化したシードコードファイルを管理者端末へ返信する(S2)。 In response to the order, the server returns a seed code file listing the seed codes used for generating the password to the administrator terminal (S2).
システム管理者は、社内システムの認証装置1にネットワークを介してシードコードファイルを入力すると共に、各ユーザの携帯電話番号を入力する(S3)。
The system administrator inputs the seed code file to the
認証装置1は、入力されたシードコードを展開して各ユーザの登録情報を記憶部に記憶すると共に、該登録情報と各ユーザの携帯電話番号を対応付けて記憶する。更に、認証装置1は、該登録情報をリスト化したファイル(stdidファイル)及び該登録情報を特定する
コードと携帯電話番号とを対応つけたcsv形式のファイル(マッピングファイル)を出力す
る(S4)。該出力されたstdidファイル及びマッピングファイルは、ネットワークを介
して管理者端末で受信される。
The
これらファイルを受信したシステム管理者は、これらファイルをキャリア側サーバ240へ送信する(S5)。なお、システム管理者を介さず認証装置1が、キャリア側サーバへ送信しても良い。
The system administrator who has received these files transmits these files to the carrier-side server 240 (S5). Note that the
キャリア側サーバ240は、stdidファイル及びマッピングファイルに基づき登録情報
(ライセンスキー)とユーザの携帯電話番号とを対応付けてデータベース241に記憶する(S6)。
The carrier-
5−2.ライセンスキーの取得
ユーザ(法人Aの社員)の操作に応じ、携帯電話3は、アプリのダウンロードサーバ(コンテンツサーバ)223に接続し、パスワード発行用アプリのダウンロードを要求する。これに応じダウンロードサーバ223が該アプリを記憶部から読み出して携帯電話3へ
送信する(S7)。
5-2. Acquiring a license key In response to an operation of a user (an employee of corporation A), the
携帯電話3は、ダウンロードしたアプリを起動し、自動でライセンスアクティベーションサーバ(コンテンツサーバ)223へアクセス(ライセンスコードを要求する特定のhttpリクエスト)を行う(S8)。このとき携帯電話3は、ROMから読み出した識別情報(UID)をhttpリクエストと共にアクティベーションサーバ223へ送信する。なお、ダウンロードサーバとアクティベーションサーバとは一体であっても別体であっても良い。
The
該ライセンスコードの要求を受けたアクティベーションサーバ223は、HLRを参照して当該携帯電話のUIDと対応する携帯電話番号を取得し、該携帯電話番号と対応するライセンスキーを読み出して携帯電話3へ送信する(S9)。
Upon receiving the request for the license code, the
そして、携帯電話3は、アクティベーションサーバ223から受信したライセンスキーを記憶部のアプリケーション領域(アプリがアクセス可能な領域)に記憶させる。
Then, the
5−3.パスワードの発行方法及び認証方法
ユーザが社内システムへアクセスする際、アプリの起動操作(パスワード要求)をすると、携帯電話3は、記憶部からアプリを読み出して実行する(S10)。
5-3. Password Issuing Method and Authentication Method When the user accesses the in-house system, when the user performs an activation operation (password request), the
該アプリを実行した携帯電話3のパスワード生成手段は、により、前記パスワード要求を契機に記憶部に記憶した前記ライセンスコードと該パスワード要求の時刻(所定変数)を一方向性ハッシュ関数により変換し、ワンタイムパスワードを生成(算出)する。また、携帯電話3は、生成したワンタイムパスワードを図6のように表示部312に表示させる。
The password generation means of the
そして、ユーザが社内システムへのアクセスをユーザ端末に指示し、ユーザ端末が認証装置1へアクセス要求を送信すると、認証装置1の認証受付手段は、ユーザのPINとワンタイムパスワードの入力を求める。
Then, when the user instructs the user terminal to access the in-house system and the user terminal transmits an access request to the
ユーザが携帯電話3に表示された前記ワンタイムパスワードを読み、ユーザ端末3にPINとワンタイムパスワードを入力すると、ユーザ端末3はこれらを認証装置1へ送信する。
When the user reads the one-time password displayed on the
認証装置1は、記憶部13を参照し、受信したPINと対応するライセンスキーを読み出し、アクセス要求の時刻(現在時刻或いは現在時刻を通信の遅延時間等で補正した時刻)と該ライセンスキーとを一方向性ハッシュ関数により変換し、ワンタイムパスワードを算出する。そして、認証装置1は、算出したワンタイムパスワードと、受信したワンタイムパスワードが一致するか否かを判定し、一致すれば正当な端末として認証する(S11)。
The
認証装置1が認証した端末から社内システムへのアクセス要求及び社内システムから当該端末への返信を中継することにより、ユーザ端末は、ネットワークを介して社内システムへリモートアクセス可能となる。
このように、本実施形態によれば、各ユーザにライセンスコードを配布して、各ユーザが入力(設定)する必要がないなので、高いセキュリティを維持しつつ、容易にワンタイムパスワードを利用できる。
By relaying the access request from the terminal authenticated by the
As described above, according to the present embodiment, since it is not necessary for each user to distribute a license code and input (set), it is possible to easily use a one-time password while maintaining high security.
また、キャリア側のコンテンツサーバ223が、ユーザや法人A社のシステム管理者が知ることのない、UIDに基づいてライセンスキーを払い出すので、漏洩の危険を更に抑
えることができる。
Further, since the
〈その他〉
本発明は、上述の図示例にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加え得ることは勿論である。
たとえば、携帯電話3及び認証装置1がNTP(Network Time Protocol)により、ネ
ットワーク上のタイムサーバから正しい時刻を取得するようにしても良い。
<Others>
The present invention is not limited to the illustrated examples described above, and various modifications can be made without departing from the scope of the present invention.
For example, the
これにより、携帯電話3及び認証装置1が常に正しい時刻に更正されるので、補正処理の簡略化や、ワンタイムパスワードの有効期間の短縮化が図れる。
Thereby, since the
また、本実施形態では、所定変数として時刻を用いたが、算出の度に異なる値を算出でき、携帯電話3及び認証装置1が独立して一致した値を算出できれば、これに限らず、アクセス要求回数と揺らぎ関数、擬似乱数等であっても良い。
In the present embodiment, the time is used as the predetermined variable. However, a different value can be calculated for each calculation, and the
10 システム(パスワード発行システム)
1 認証サーバ
2 移動通信網(キャリヤ側装置)
3 携帯電話
10 system (password issuing system)
1
3 Mobile phone
Claims (6)
キャリア側装置が、
携帯電話からの接続要求を受信する接続手段と、
前記接続要求から前記携帯電話の識別情報を検出するID検出手段と、
前記携帯電話からライセンスコードの要求を受信する受信手段と、
前記識別情報と対応するライセンスコードをデータベースから読み出して当該携帯電話に送信する送信手段と、を備え、
前記携帯電話が、
受信した前記ライセンスコードを記憶する記憶手段と、
ユーザの操作によるパスワード要求を受信する受信手段と、
前記パスワード要求を契機に前記ライセンスコードと所定変数とに基づいてワンタイムパスワードを生成するパスワード生成手段と、
を備えるワンタイムパスワードの発行システム。 A password issuing system having a mobile phone and a carrier-side device that communicates with the mobile phone via a mobile network,
Carrier side device
A connection means for receiving a connection request from a mobile phone;
ID detecting means for detecting identification information of the mobile phone from the connection request;
Receiving means for receiving a request for a license code from the mobile phone;
Transmitting means for reading out the license code corresponding to the identification information from the database and transmitting it to the mobile phone;
The mobile phone
Storage means for storing the received license code;
Receiving means for receiving a password request by a user operation;
Password generating means for generating a one-time password based on the license code and a predetermined variable triggered by the password request;
One-time password issuing system with
耐タンパ手段を備えたROMに識別情報を記憶しており、
該ROMから読み出した識別情報を前記接続要求に加えてキャリア側装置に送信する請求項1に記載のワンタイムパスワードの発行システム。 The mobile phone
Identification information is stored in a ROM equipped with tamper resistant means,
2. The one-time password issuing system according to claim 1, wherein the identification information read from the ROM is transmitted to a carrier side device in addition to the connection request.
携帯電話からの接続要求を受信するステップと、
前記接続要求から前記携帯電話の識別情報を検出するステップと、
前記携帯電話からライセンスコードの要求を受信するステップと、
前記識別情報と対応するライセンスコードをデータベースから読み出して当該携帯電話に送信するステップと、を実行し、
前記携帯電話が、
受信した前記ライセンスコードを記憶手段に記憶するステップと、
ユーザの操作によるパスワード要求を受信するステップと、
前記パスワード要求を契機に前記ライセンスコードと所定変数とに基づいてワンタイムパスワードを生成するステップと、
を実行するワンタイムパスワードの発行方法。 The mobile phone carrier side device
Receiving a connection request from a mobile phone;
Detecting identification information of the mobile phone from the connection request;
Receiving a request for a license code from the mobile phone;
Reading the license code corresponding to the identification information from the database and transmitting it to the mobile phone; and
The mobile phone
Storing the received license code in a storage means;
Receiving a password request by a user operation;
Generating a one-time password based on the license code and a predetermined variable triggered by the password request;
To issue a one-time password.
前記識別情報を記憶した耐タンパ手段を備えたROMと、
該ROMから読み出した識別情報を前記接続要求に加えてキャリア側装置に送信する送信手段とを有する請求項4に記載のワンタイムパスワードの発行方法。 The mobile phone
ROM provided with tamper-resistant means for storing the identification information;
5. The one-time password issuing method according to claim 4, further comprising: a transmitting unit that transmits the identification information read from the ROM to the carrier side device in addition to the connection request.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007193788A JP2009031940A (en) | 2007-07-25 | 2007-07-25 | Issuing system for onetime password |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007193788A JP2009031940A (en) | 2007-07-25 | 2007-07-25 | Issuing system for onetime password |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009031940A true JP2009031940A (en) | 2009-02-12 |
Family
ID=40402394
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007193788A Pending JP2009031940A (en) | 2007-07-25 | 2007-07-25 | Issuing system for onetime password |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009031940A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021533504A (en) * | 2018-08-09 | 2021-12-02 | 株式会社センストーンSsenstone Inc. | Smart cards that generate and provide virtual code and their methods and programs |
JP7455731B2 (en) | 2020-01-06 | 2024-03-26 | InsuRTAP株式会社 | Processing equipment, processing method and program |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002132728A (en) * | 2000-10-30 | 2002-05-10 | K Laboratory Co Ltd | One-time password authentication system |
JP2002259344A (en) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | One-time password authentication system, portable telephone and user identification server |
JP2003259009A (en) * | 2002-02-28 | 2003-09-12 | Kddi Corp | Speech inputting device |
JP2005011239A (en) * | 2003-06-20 | 2005-01-13 | Ntt Docomo Inc | Ticket transfer system, ticket confirmation device and ticket transfer method |
-
2007
- 2007-07-25 JP JP2007193788A patent/JP2009031940A/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002132728A (en) * | 2000-10-30 | 2002-05-10 | K Laboratory Co Ltd | One-time password authentication system |
JP2002259344A (en) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | One-time password authentication system, portable telephone and user identification server |
JP2003259009A (en) * | 2002-02-28 | 2003-09-12 | Kddi Corp | Speech inputting device |
JP2005011239A (en) * | 2003-06-20 | 2005-01-13 | Ntt Docomo Inc | Ticket transfer system, ticket confirmation device and ticket transfer method |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021533504A (en) * | 2018-08-09 | 2021-12-02 | 株式会社センストーンSsenstone Inc. | Smart cards that generate and provide virtual code and their methods and programs |
JP7192089B2 (en) | 2018-08-09 | 2022-12-19 | 株式会社センストーン | Smart card, method and program for generating and providing virtual code |
US11922411B2 (en) | 2018-08-09 | 2024-03-05 | SSenStone Inc. | Smart card for generating and providing virtual code, and method and program therefor |
JP7455731B2 (en) | 2020-01-06 | 2024-03-26 | InsuRTAP株式会社 | Processing equipment, processing method and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1969880B1 (en) | System and method for dynamic multifactor authentication | |
KR101482564B1 (en) | Method and apparatus for trusted authentication and logon | |
US8213583B2 (en) | Secure access to restricted resource | |
JP5844471B2 (en) | How to control access to Internet-based applications | |
EP3454504B1 (en) | Service provider certificate management | |
JP2007102778A (en) | User authentication system and method therefor | |
KR20070077569A (en) | One time password service system using portable phone and certificating method using the same | |
JP5764501B2 (en) | Authentication device, authentication method, and program | |
US20100082982A1 (en) | Service control system and service control method | |
US11910194B2 (en) | Secondary device authentication proxied from authenticated primary device | |
CN101507233A (en) | Method and apparatus for providing trusted single sign-on access to applications and internet-based services | |
JP2007267120A (en) | Radio terminal, authentication apparatus and program | |
JP7404907B2 (en) | Systems and methods, computer-implemented methods, programs, and systems for location-aware two-factor authentication | |
JP5453785B2 (en) | Authentication system, authentication server, authentication method, and program | |
JP2008048135A (en) | Two-dimensional code-using system | |
CN104767740A (en) | User platform credible authentication and access method | |
JP2004015077A (en) | Security system for portable communication terminal and its method | |
JP2010079795A (en) | Client authentication system | |
KR102171377B1 (en) | Method of login control | |
JP2009031940A (en) | Issuing system for onetime password | |
KR20180050910A (en) | Apparatus and method for authenticating caller in communication system | |
JP5584102B2 (en) | Authentication system, client terminal, server, authenticated method, authentication method, authentication client program, and authentication server program | |
JP6115884B1 (en) | Service providing system, authentication device, and program | |
JP5775589B2 (en) | Mobile communication terminal, subscriber authentication module, communication system, and communication method | |
JP7051930B2 (en) | Information processing system, information processing device, and information processing method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100810 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101005 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101206 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110405 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110726 |