JP2010257101A - User authentication system and method, scratch medium, and method for manufacturing the same - Google Patents

User authentication system and method, scratch medium, and method for manufacturing the same Download PDF

Info

Publication number
JP2010257101A
JP2010257101A JP2009104820A JP2009104820A JP2010257101A JP 2010257101 A JP2010257101 A JP 2010257101A JP 2009104820 A JP2009104820 A JP 2009104820A JP 2009104820 A JP2009104820 A JP 2009104820A JP 2010257101 A JP2010257101 A JP 2010257101A
Authority
JP
Japan
Prior art keywords
user
password
time password
scratch
user authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009104820A
Other languages
Japanese (ja)
Other versions
JP5423123B2 (en
Inventor
Takao Yasuhiro
隆夫 安広
Ayumi Haruna
亜友美 春名
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2009104820A priority Critical patent/JP5423123B2/en
Publication of JP2010257101A publication Critical patent/JP2010257101A/en
Application granted granted Critical
Publication of JP5423123B2 publication Critical patent/JP5423123B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an inexpensive medium that functions as a token for generating a one-time password to be used in two-factor authentication and the like. <P>SOLUTION: On a scratch card 2 of a user 8, one-time passwords are printed, which are generated according to predetermined password generation algorithm from each of a predetermined number of counter values obtained by incrementing an initial value of a counter by a set value from. A predetermined number of concealed areas 20, where the printed one-time password is covered with a concealing member, are arranged with the order of using the one-time passwords. A user authentication device 3 authenticates one of the one-time passwords printed on the scratch card 2 as well as a password of the user 8. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は,ユーザを認証する技術に関し、更に詳しくは,使い捨てのパスワードであるワンタイムパスワードを利用してユーザを認証する技術に関する。   The present invention relates to a technique for authenticating a user, and more particularly to a technique for authenticating a user using a one-time password which is a disposable password.

フィッシング詐欺やスパイウェア対策として,ネットバンキングなどの用途において二要素認証が注目を集めている。二要素認証とは,異なる性質を持つ二つの認証要素を組み合せてユーザを認証する方式である。   As a countermeasure against phishing and spyware, two-factor authentication is attracting attention in applications such as net banking. Two-factor authentication is a method for authenticating a user by combining two authentication factors having different properties.

オンラインバンキングなどセキュリティが高くユーザを認証することが必要なケースでは、「自分だけが知っている(know)」に係る認証要素であるPIN(Personal Identification Number)などのパスワードに加え、「自分だけが持っている(has)」に係る認証要素であるワンタイムパスワード(OTP: One Time Password)を用いた二要素認証により,ユーザを認証することが検討されている。   In cases where it is necessary to authenticate users with high security such as online banking, in addition to a password such as PIN (Personal Identification Number), which is an authentication factor related to “know”, It is considered to authenticate users by two-factor authentication using a one-time password (OTP), which is an authentication factor related to “has”.

「自分だけが持っている(has)」に係る認証要素以外にも,「自分自身(is)」に係る認証要素であるバイオメトリクス情報(例えば,指紋)を用いることも可能であるが、バイオメトリクス情報に対してユーザは強い抵抗感をもつため,「自分だけが持っている(has)」に係る認証要素であるワンタイムパスワード(OTP: One Time Password)を利用するケースが増えている。   In addition to the authentication factor related to “has only”, biometric information (for example, fingerprints) that is the authentication factor related to “self” can be used. Since users have a strong sense of resistance to metrics information, the use of one-time passwords (OTP: One Time Password), which is an authentication factor related to “has only”, is increasing.

トークンを利用してOTPを生成する方式には、時刻同期方式とカウンタ方式の2つの方式があり,例えば、特許文献1では、カウンタ同期方式でOTPを生成する技術に関する発明が開示され、特許文献2では,時刻同期方式でOTPを生成する技術に関する発明が開示されている。   There are two methods for generating an OTP using a token, a time synchronization method and a counter method. For example, Patent Document 1 discloses an invention related to a technique for generating an OTP by a counter synchronization method. 2 discloses an invention relating to a technique for generating an OTP by a time synchronization method.

特許文献1はカウンタ同期方式に利用するカウンタを乱数に基づいて進めることで、ワンタイムパスワードを生成するときに利用する生成鍵の秘匿性を高める発明である。更に、特許文献2は時刻同期方式に利用する時刻に秒,又は,ワンタイムパスワードの発生回数を示すカウンタの値を含ませることで,ワンタイムパスワードの不正利用を防止する発明である。   Patent Document 1 is an invention that increases the secrecy of a generated key used when generating a one-time password by advancing a counter used for a counter synchronization method based on a random number. Further, Patent Document 2 is an invention that prevents illegal use of a one-time password by including a second or a counter value indicating the number of times a one-time password is generated in the time used for the time synchronization method.

また,特許文献3では、二要素認証でユーザを認証するときは,「自分だけが知っている(know)」に係る認証要素であるPIN(Personal Identification Number)などのパスワードを,カウンタ同期方式のカウンタの値を加え,「自分だけが持っている(has)」に係る認証要素となるOTPを生成する発明が開示されている。   Also, in Patent Document 3, when authenticating a user by two-factor authentication, a password such as a PIN (Personal Identification Number) which is an authentication factor related to “know” is used for the counter synchronization method. An invention has been disclosed in which a counter value is added to generate an OTP that serves as an authentication factor relating to “has only”.

特開2001−352324号公報JP 2001-352324 A 特開平11−316740号公報JP 11-316740 A 特開2008−176383号公報JP 2008-176383 A

二要素認証などで利用されるワンタイムパスワードを生成するトークンは,電子部品が内蔵されたデバイス(例えば,USBキー)によって実現することが望ましいが,該デバイスのコストが高くなってしまい,該デバイスが普及していないのが現状で,安価で該トークンを実現できることが望まれている。   A token for generating a one-time password used in two-factor authentication is preferably realized by a device (for example, a USB key) with an electronic component built therein, but this increases the cost of the device. However, it is desired that the token can be realized at a low cost.

また,二要素認証などで利用されるワンタイムパスワードを生成するトークンを,電子部品が内蔵されたデバイスによって実現すると,ワンタイムパスワードを生成するアルゴリズムや生成鍵の変更が容易に行えない問題がある。   In addition, if a token that generates a one-time password used for two-factor authentication is realized by a device with built-in electronic components, there is a problem that the algorithm for generating a one-time password and the generation key cannot be changed easily. .

そこで,本発明は,二要素認証などで利用されるワンタイムパスワードを生成するトークンとして機能し安価に実現できるスクラッチ媒体を提供すると共に,該スクラッチ媒体を利用したユーザ認証システム,ユーザ認証方法及びスクラッチ媒体の製造方法を提供することを目的とする。   Accordingly, the present invention provides a scratch medium that functions as a token for generating a one-time password used in two-factor authentication and can be realized at low cost, and a user authentication system, a user authentication method, and a scratch using the scratch medium. An object is to provide a method for manufacturing a medium.

上述した課題を解決する第1の発明は,引っ掻き落とすことのできる隠蔽部材によって覆うことで,カウンタ同期方式の一つのワンタイムパスワードが目視的に隠蔽された状態で印刷された隠蔽エリアが,前記ワンタイムパスワードの利用順を示した状態で複数設けられているスクラッチ媒体である。   The first invention for solving the above-mentioned problem is that the concealment area printed with the one-time password of the counter synchronization method visually concealed by covering with a concealment member that can be scratched off is A plurality of scratch media are provided in a state in which the order of use of one-time passwords is shown.

更に,第2の発明は,第1の発明に記載のスクラッチ媒体であって,前記スクラッチ媒体に印刷されるワンタイムパスワードの生成に用いられる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報が印刷されていることを特徴とするスクラッチ媒体である。   Further, the second invention is a scratch medium according to the first invention, and serves as a seed for generating a generation key used to generate a one-time password printed on the scratch medium. The scratch medium is characterized in that different user information is printed for each.

更に,第3の発明は,引っ掻き落とすことのできる隠蔽部材によって覆うことで,カウンタ同期方式の一つのワンタイムパスワードが目視的に隠蔽された状態で印刷された隠蔽エリアが,前記ワンタイムパスワードの利用順を示した状態で複数設けられているスクラッチ媒体と, 前記スクラッチ媒体に隠蔽された前記ワンタイムパスワードを算出するときに利用したカウンタと同期する内部カウンタを備え,前記スクラッチ媒体の一つの前記隠蔽エリア内に隠蔽された前記ワンタイムパスワードをユーザ認証するユーザが操作するクライアントから取得すると,前記パスワード生成アルゴリズムに従い前記内部カウンタのカウンタ値から,ユーザ認証に利用する参照ワンタイムパスワードを生成した後,所定のパスワード認証アルゴリズムに従い,前記参照ワンタイムパスワードを用いて取得した前記ワンタイムパスワードを認証するワンタイムパスワード認証手段を備えたユーザ認証装置と,から少なくとも構成されることを特徴とするユーザ認証システムである。   Further, according to a third aspect of the present invention, a concealment area printed with a counter-synchronized one-time password is visually concealed by covering with a concealing member that can be scraped off. A plurality of scratch media provided in the state of use, and an internal counter synchronized with a counter used when calculating the one-time password concealed in the scratch media, After acquiring the one-time password concealed in the concealment area from the client operated by the user authenticating the user, after generating the reference one-time password used for user authentication from the counter value of the internal counter according to the password generation algorithm , Predetermined password authentication algorithm Therefore, a user authentication system characterized in that it is at least composed of a user authentication device provided with a one-time password authentication means for authenticating said one-time password acquired by using the reference one-time password.

更に,第4の発明は,第3の発明に記載のユーザ認証システムであって,前記隠蔽エリアに隠蔽される前記ワンタイムパスワードの生成に用いられる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報が印刷され,前記ユーザ認証装置の前記ワンタイムパスワード認証手段は,前記ワンタイムパスワードに加えて,前記ユーザ情報を取得し,前記ユーザ情報から所定のアルゴリズムに従い前記生成鍵を算出し,該生成鍵を用いて前記参照ワンタイムパスワードを生成すること特徴とするユーザ認証システムである。   Furthermore, a fourth invention is the user authentication system according to the third invention, which is a seed for generating a generation key used for generating the one-time password concealed in the concealment area. Different user information is printed for each user, and the one-time password authentication means of the user authentication device acquires the user information in addition to the one-time password, and generates the generated key from the user information according to a predetermined algorithm. And generating the reference one-time password using the generated key.

更に,第5の発明は,第3の発明または第4の発明に記載のユーザ認証システムであって,前記ユーザ認証装置は,前記スクラッチカードを所持するユーザのパスワードを認証するパスワード認証手段を備えていることを特徴とするユーザ認証システムである。   Furthermore, a fifth invention is the user authentication system according to the third invention or the fourth invention, wherein the user authentication device includes password authentication means for authenticating a password of a user who possesses the scratch card. This is a user authentication system.

更に,第6の発明は,引っ掻き落とすことのできる隠蔽部材によって覆うことで,カウンタ同期方式の一つのワンタイムパスワードが目視的に隠蔽された状態で印刷された隠蔽エリアが,前記ワンタイムパスワードの利用順を示した状態で複数設けられているスクラッチ媒体を所持するユーザを認証するユーザ認証装置に,前記スクラッチ媒体の一つの前記隠蔽エリア内に隠蔽された一つの前記ワンタイムパスワードをユーザ認証するユーザが操作するクライアントから取得するステップa,前記パスワード生成アルゴリズムに従い,前記スクラッチ媒体に隠蔽された前記ワンタイムパスワードを算出するときに利用した前記カウンタと同期する内部カウンタの値から,ユーザ認証に利用する参照ワンタイムパスワードを生成するステップb,所定のパスワード認証アルゴリズムに従い,前記参照ワンタイムパスワードを用いて,前記ステップaで取得した前記ワンタイムパスワードを認証するステップc,を実行させることを特徴とするユーザ認証方法である。   Further, according to a sixth aspect of the present invention, a concealment area printed with a counter-synchronized one-time password is visually concealed by covering with a concealing member that can be scraped off. A user authentication device that authenticates a user who possesses a plurality of scratch media provided in the order of use, and authenticates one of the one-time passwords concealed in one concealment area of the scratch media. Step a acquired from the client operated by the user, and used for user authentication from the value of the internal counter synchronized with the counter used when calculating the one-time password concealed in the scratch medium according to the password generation algorithm Generating a reference one-time password to be performed b In accordance with a predetermined password authentication algorithm, using the reference one-time password, a user authentication method, characterized in that to execute the steps c, authenticating the one-time password obtained in step a.

更に,第7の発明は,第6の発明に記載のユーザ認証方法であって,前記ワンタイムパスワードの生成に用いられる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報を前記スクラッチ媒体に印刷しておき,前記ユーザ認証装置は,前記ステップaにおいて,前記ワンタイムパスワードと共に前記ユーザ情報を取得し,前記ステップbにおいて,前記ユーザ情報から前記生成鍵を算出し,該生成鍵を用いて前記参照ワンタイムパスワードを生成すること特徴とするユーザ認証方法である。   Further, a seventh invention is a user authentication method according to the sixth invention, wherein the user authentication method is a seed for generating a generation key used for generating the one-time password, and user information that differs for each user. Is printed on the scratch medium, the user authentication device acquires the user information together with the one-time password in the step a, calculates the generated key from the user information in the step b, and The user authentication method is characterized in that the reference one-time password is generated using a generation key.

更に,第8の発明は,第6の発明または第7の発明に記載のユーザ認証方法であって,前記ユーザ認証装置は,前記ステップaを実行する前に,前記スクラッチカードを所持するユーザのパスワードを認証するステップを実行することを特徴とするユーザ認証方法である。   Further, an eighth invention is the user authentication method according to the sixth invention or the seventh invention, wherein the user authentication device is configured to perform a user authentication of the user who possesses the scratch card before executing the step a. A user authentication method characterized by executing a step of authenticating a password.

更に,第9の発明は,引っ掻き落とすことのできる隠蔽部材によって覆うことで,カウンタ同期方式の一つのワンタイムパスワードが目視的に隠蔽された状態で印刷された隠蔽エリアが,前記ワンタイムパスワードの利用順を示した状態で複数設けられているスクラッチ媒体の製造方法であって,前記スクラッチ媒体の発行元から得られ、前記スクラッチ媒体を所持するユーザのユーザ情報に関連付けて、前記ワンタイムパスワードを生成するときのカウンタの値が記憶されている発券情報を用い,前記発券情報に含まれる前記ユーザ情報毎に,前記ユーザ情報に関連付けられた前記カウンタの値を利用して,前記スクラッチ媒体に印刷する数の前記ワンタイムパスワードを所定のパスワード生成アルゴリズムに従い生成し,前記ワンタイムパスワードの利用順を示した状態で前記ワンタイムパスワードそれぞれを前記隠蔽エリアの領域内に印刷した後,それぞれの前記隠蔽エリアを前記隠蔽部材で覆う印刷を実行することを特徴とするスクラッチ媒体の製造方法である。   Furthermore, the ninth aspect of the present invention provides a concealment area printed with one counter-synchronized one-time password being visually concealed by covering with a concealment member that can be scraped off. A method of manufacturing a plurality of scratch media provided in the order of use, wherein the one-time password is obtained in association with user information of a user who possesses the scratch media, obtained from the scratch media issuer. Using the ticketing information in which the value of the counter at the time of generation is stored, printing on the scratch medium using the value of the counter associated with the user information for each of the user information included in the ticketing information A number of the one-time passwords generated according to a predetermined password generation algorithm, The scratch medium is manufactured by printing each one-time password in the area of the concealment area in a state in which the order of use of the password is indicated, and then performing printing for covering the respective concealment area with the concealment member. Is the method.

更に,第10の発明は,第9の発明に記載のスクラッチ媒体の製造方法であって,前記パスワード生成アルゴリズムは,前記ユーザ情報から算出される生成鍵を利用して前記ワンタイムパスワードを生成するアルゴリズムであって,前記スクラッチ媒体に印刷する前記ワンタイムパスワードを生成する際,前記ユーザ情報から前記生成鍵を算出し,前記ユーザ情報を前記スクラッチ媒体に印刷することを特徴とするスクラッチ媒体の製造方法である。   Further, a tenth invention is a method for manufacturing a scratch medium according to the ninth invention, wherein the password generation algorithm generates the one-time password by using a generation key calculated from the user information. An algorithm, wherein when the one-time password to be printed on the scratch medium is generated, the generation key is calculated from the user information, and the user information is printed on the scratch medium. Is the method.

上述した発明によれば,二要素認証などで利用されるワンタイムパスワードを生成するトークンとして機能する媒体を安価に実現でき,更に,該媒体を利用したユーザ認証システム及び方法を提供できる。   According to the above-described invention, a medium functioning as a token for generating a one-time password used in two-factor authentication can be realized at low cost, and a user authentication system and method using the medium can be provided.

ユーザ認証システムの構成を説明する図。The figure explaining the structure of a user authentication system. スクラッチカードを説明する図。The figure explaining a scratch card. スクラッチカードの製造工程を説明するフロー図。The flowchart explaining the manufacturing process of a scratch card. ユーザ認証装置のハードゥエアブロック図。The hard-block block diagram of a user authentication device. ユーザ認証装置の機能ブロック図。The functional block diagram of a user authentication apparatus. ユーザ認証装置がユーザ認証する処理の手順を示したフロー図。The flowchart which showed the procedure of the process which a user authentication apparatus performs user authentication. ユーザ認証装置が送信するウェブページの一例を説明する図。The figure explaining an example of the web page which a user authentication apparatus transmits.

ここから,本発明に係わる発明について,図を参照しながら詳細に説明する。図1は,本発明に係わるスクラッチ媒体をスクラッチカード2としたときのユーザ認証システム1の構成を説明する図で,ユーザ8が所持するスクラッチカード2と,ユーザ8が操作するクライアント4と,ウェブアプリケーション(例えば,オンラインバンキング)を利用するユーザ8を認証するユーザ認証装置3とから構成され,クライアント4とユーザ認証装置3はネットワーク5を介して接続されている。   From here, the invention according to the present invention will be described in detail with reference to the drawings. FIG. 1 is a diagram for explaining the configuration of a user authentication system 1 when the scratch medium according to the present invention is used as a scratch card 2. The scratch card 2 possessed by the user 8, the client 4 operated by the user 8, and the web A user authentication device 3 that authenticates a user 8 who uses an application (for example, online banking), and the client 4 and the user authentication device 3 are connected via a network 5.

図1で図示したユーザ認証システム1のユーザ認証装置3は,2つの認証要素を組み合わせた二要素認証によりユーザ認証する装置で,本実施形態において,ユーザ認証には,ユーザ8のパスワードとスクラッチカード2から得られるワンタイムパスワード(OTP: One Time Password)の2つの認証要素が利用される。   A user authentication device 3 of the user authentication system 1 illustrated in FIG. 1 is a device that performs user authentication by two-factor authentication combining two authentication factors. In this embodiment, the user authentication includes a password of the user 8 and a scratch card. Two authentication factors of one-time password (OTP) obtained from 2 are used.

ユーザ8のパスワード(例えば,PIN)は,「自分だけが知っている(know)」に当たり,また,OTPが隠蔽される複数の隠蔽エリア20が設けられたスクラッチカード2は,ユーザ8に郵送されるため,スクラッチカード2から得られるOTPは,「自分だけが持っている(has)」に係る認証要素に当たることになる。   The password of the user 8 (for example, PIN) corresponds to “know only”, and the scratch card 2 provided with a plurality of concealment areas 20 in which the OTP is concealed is mailed to the user 8. Therefore, the OTP obtained from the scratch card 2 corresponds to the authentication factor relating to “has only oneself”.

オンラインバンキングなどにおけるユーザ認証にOTPを利用するとき,本発明とは異なり,電子部品が内蔵されたデバイス型のトークン(例えば,USBキー)をユーザ8に所持させることが一般的である。   When using OTP for user authentication in online banking or the like, unlike the present invention, it is common for the user 8 to have a device-type token (for example, a USB key) incorporating an electronic component.

電子部品が内蔵されたデバイス型のトークンでは,時刻同期方式とカウンタ同期方式のいずれの方式にも対応を取ることができるが,スクラッチカード2をトークンとして利用する場合,スクラッチカード2自身ではOTPを生成することができないため,本発明では,カウンタ同期方式のOTPが利用される。   Device-type tokens with built-in electronic components can handle both time synchronization and counter synchronization methods, but when using the scratch card 2 as a token, the scratch card 2 itself uses OTP. Since it cannot be generated, the counter synchronous OTP is used in the present invention.

また,電子部品が内蔵されたデバイス型のトークンでは,OTPを生成するイベントは,該デバイス型のトークンのボタンが押されることになるのに対し,OTPを生成するトークンをスクラッチカード2で実現したとき,OTPを生成するイベントは,スクラッチカード2に設けられた一つの隠蔽エリア20を削る動作になり,ユーザ8は,一つの隠蔽エリア20を削ることで,一つのOTPをスクラッチカード2から得る。   In the case of device type tokens with built-in electronic components, the OTP generation event is realized by using the scratch card 2 while the device type token button is pressed. At this time, the event for generating the OTP is an operation of deleting one concealment area 20 provided in the scratch card 2, and the user 8 obtains one OTP from the scratch card 2 by deleting one concealment area 20. .

このように,スクラッチカード2は,電子部品が内蔵されたデバイス型のトークンと同様の機能を果たすことになるが,スクラッチカード2から得ることのできるOTPの数は,スクラッチカード2に設けられた隠蔽エリア20の数に限定される。例えば,図1では,10個の隠蔽エリア20がスクラッチカード2に設けられているため,スクラッチカード2から得ることのできるOTPの数は10個に限定される。   As described above, the scratch card 2 functions in the same manner as a device-type token incorporating an electronic component, but the number of OTPs that can be obtained from the scratch card 2 is provided in the scratch card 2. It is limited to the number of concealment areas 20. For example, in FIG. 1, since ten concealment areas 20 are provided in the scratch card 2, the number of OTPs that can be obtained from the scratch card 2 is limited to ten.

図1で図示したユーザ認証装置3は,オンラインバンキングなどのウェブサービスを利用するユーザ8のユーザ認証を実行するためにネットワーク5上に設けられたサーバで,ユーザ認証装置3は,ユーザ認証を実行するとき,ユーザ8に2つの認証要素の入力,ここでは,ユーザ8のパスワードと,ユーザ8が所持しているスクラッチカード2から得られる一つのOTPの入力を要求し,2つの認証要素の認証に成功したときのみ,該ユーザ8に対してウェブサービスの利用が許可される。   The user authentication device 3 illustrated in FIG. 1 is a server provided on the network 5 for performing user authentication of a user 8 who uses a web service such as online banking. The user authentication device 3 executes user authentication. The user 8 is requested to input two authentication factors, here, the password of the user 8 and one OTP obtained from the scratch card 2 possessed by the user 8, and authentication of the two authentication factors. Only when it succeeds, the user 8 is permitted to use the web service.

電子部品が内蔵されたデバイス型のトークンでOTPを生成するトークンを実現すると,デバイス型のトークンは高価になってしまい,ウェブサービスを利用するユーザ8すべてに該デバイス型のトークンを配布すると,ウェブサービス運営者側の負担額は非常に高額になってしまうが,本発明のように,紙媒体で実現できるスクラッチカード2でOTPを生成するトークンを実現すると,紙媒体で実現できるスクラッチカード2は安価で済むため,ウェブサービス運営者側の負担額を安価にすることができる。   If a token that generates an OTP is realized with a device-type token that incorporates an electronic component, the device-type token becomes expensive. If the device-type token is distributed to all users 8 who use the web service, Although the burden on the service operator side is very high, when the token for generating OTP is realized by the scratch card 2 that can be realized by the paper medium as in the present invention, the scratch card 2 that can be realized by the paper medium is obtained. Since it is cheap, the burden on the web service operator can be reduced.

加えて,OTPを生成するアルゴリズムやOTPを生成するときの暗号鍵を変更する必要性があるとき,電子部品が内蔵されたデバイス型のトークンのときは,デバイス型のトークンに記憶されたコンピュータプログラムや暗号鍵をセキュアに更新する仕組みが必要になるが,スクラッチカード2のときは,更新後のアルゴリズムや暗号鍵を適用して生成されたOTPが印刷されたスクラッチカード2をユーザ8に送信するだけで済むようになる。   In addition, when there is a need to change the algorithm for generating OTP or the encryption key used to generate OTP, and in the case of a device-type token with built-in electronic components, the computer program stored in the device-type token However, when the scratch card 2 is used, the scratch card 2 on which the OTP generated by applying the updated algorithm or encryption key is printed is transmitted to the user 8. You just need to.

ここから,図1で図示したスクラッチカード2及びユーザ認証装置3について,それぞれ詳細に説明する。   From here, each of the scratch card 2 and the user authentication device 3 shown in FIG. 1 will be described in detail.

まず,本発明のスクラッチ媒体となるスクラッチカード2について詳細に説明する。図2は,スクラッチカード2を説明する図で,図2(a)はOTPが隠蔽されていない状態のスクラッチカード2を説明する図で,図2(b)はOTPが隠蔽されている状態のスクラッチカード2を説明する図である。   First, the scratch card 2 serving as the scratch medium of the present invention will be described in detail. FIG. 2 is a diagram for explaining the scratch card 2, FIG. 2 (a) is a diagram for explaining the scratch card 2 in a state where the OTP is not concealed, and FIG. 2 (b) is a diagram in which the OTP is concealed. It is a figure explaining the scratch card.

図2に図示したように,スクラッチカード2とは小さなトークンで,スクラッチカード2の素材及び形状は任意であるが,スクラッチカード2の素材は紙が一般的で,ユーザ8がスクラッチカード2を持ち運びできるように,スクラッチカード2の形状はキャッシュカードの同じ形状にするとよい。   As shown in FIG. 2, the scratch card 2 is a small token, and the material and shape of the scratch card 2 are arbitrary, but the material of the scratch card 2 is generally paper, and the user 8 carries the scratch card 2. As possible, the scratch card 2 may have the same shape as the cash card.

図2(a)に図示したように,スクラッチカード2上には,カウンタの初期値を設定値ずつインクリメントして得られる所定数のカウンタ値それぞれから,ユーザ8を識別するためのユーザIDから導出される生成鍵を用いたアルゴリズムで生成され算出され,それぞれの隠蔽エリア20内には異なるOTPが印刷されている。   As shown in FIG. 2A, the scratch card 2 is derived from a user ID for identifying the user 8 from each of a predetermined number of counter values obtained by incrementing the initial value of the counter by a set value. A different OTP is printed in each concealment area 20 by being generated and calculated by an algorithm using the generated key.

更に,スクラッチカード2には,複数の隠蔽エリア20に加え,OTPを生成するときに利用する生成鍵を生成するためのシード(種)となり,ユーザ8毎に異なるユーザ情報としてユーザID(例えば,ユーザ8の会員番号)が印刷されると共に,隠蔽されたOTPを利用する順番を示す番号が隠蔽エリア20の左側に印刷されている。   Further, the scratch card 2 serves as a seed for generating a generation key used when generating an OTP in addition to the plurality of concealment areas 20, and a user ID (for example, different user information) The membership number of the user 8 is printed, and a number indicating the order in which the concealed OTP is used is printed on the left side of the concealment area 20.

例えば,左側の番号が「1」の隠蔽エリア20内に印刷されているOTP(ここでは,「A0A1A2A3A4A5」)は最初に利用するOTPで,左側の番号が「3」の隠蔽エリア20内に印刷されているOTP8(ここでは,「C0C1C2C3C4C5」)は3番目に利用するOTPである。   For example, the OTP printed in the concealment area 20 with the left number “1” (here, “A0A1A2A3A4A5”) is the OTP to be used first, and is printed in the concealment area 20 with the left number “3”. OTP 8 (here, “C0C1C2C3C4C5”) is the third OTP to be used.

図2(b)で図示したように,ユーザ8に送信されるスクラッチカード2では,隠蔽エリア20内に印刷されたOTPは,ラテックスなどの隠蔽部材(latex)によって覆われ,隠蔽エリア20内に印刷されたOTPが透けて見えないように隠蔽されている。ユーザ8が,スクラッチカード2からOTPを得るときは,番号順に,隠蔽部材を削り落とすことで,隠蔽部材によって隠蔽されたOTPを露出させる。   As shown in FIG. 2B, in the scratch card 2 transmitted to the user 8, the OTP printed in the concealment area 20 is covered with a concealment member (latex) such as latex, and the concealment area 20 contains the OTP. The printed OTP is hidden so that it cannot be seen through. When the user 8 obtains an OTP from the scratch card 2, the OTP concealed by the concealing member is exposed by scraping off the concealing member in numerical order.

スクラッチカード2の製造工程を説明する。図1において,スクラッチカード2の製造に利用される装置は,図1で図示したスクラッチカード印刷機6で,スクラッチカード印刷機6は印刷会社に設置され,スクラッチカード印刷機6で印刷されたスクラッチカード2がユーザ8に郵送される。   The manufacturing process of the scratch card 2 will be described. In FIG. 1, the apparatus used for manufacturing the scratch card 2 is the scratch card printer 6 shown in FIG. 1. The scratch card printer 6 is installed in the printing company, and the scratch printed by the scratch card printer 6 is used. The card 2 is mailed to the user 8.

スクラッチカード印刷機6には,カード媒体に文字や数字などを印刷した後,該カードの一部或いは全面を隠蔽部材で隠蔽するカード印刷部60と,暗号鍵を内部に記憶し,該暗号鍵を用いた暗号演算を行うHSM61(Host Security Module)と,ウェブサービス運営者から受領した発券情報を利用し,ユーザ8毎にユーザ8に郵送するスクラッチカード2の印刷を印刷部に指示する発行コンピュータ62が備えられている。なお,スクラッチカード印刷機6のHSM61に記憶される暗号鍵及び発行コンピュータ62に記憶される発券情報は,所定の規則に従いウェブサービス運営者から印刷会社へ送信され,それぞれの装置に記憶される。   The scratch card printer 6 stores characters and numbers on a card medium, and then conceals a part or the entire surface of the card with a concealing member, and stores an encryption key therein. An HSM 61 (Host Security Module) that performs cryptographic operations using an ID and an issuing computer that uses the ticketing information received from the web service operator to instruct the printing unit to print the scratch card 2 that is mailed to each user 8 62 is provided. The encryption key stored in the HSM 61 of the scratch card printer 6 and the ticket issuing information stored in the issuing computer 62 are transmitted from the web service operator to the printing company according to a predetermined rule, and stored in each device.

発行コンピュータ62に記憶される発券情報には,ユーザIDに関連付けて,ユーザIDで特定されるユーザ8に郵送するスクラッチカード2に印刷するOTPを生成するときのカウンタの初期値が記憶されている。なお,カウンタの初期値はユーザ8毎に同一でもよく,また,ユーザ8毎に異なっていても良い。加えて,ユーザ毎に複数枚のスクラッチカード2を印刷するときは,ユーザ毎に印刷する枚数に応じた発券情報が発行コンピュータ62に記憶される。   The ticket issuing information stored in the issuing computer 62 stores an initial value of a counter when generating an OTP to be printed on the scratch card 2 to be mailed to the user 8 specified by the user ID in association with the user ID. . The initial value of the counter may be the same for each user 8, or may be different for each user 8. In addition, when printing a plurality of scratch cards 2 for each user, ticket issuing information corresponding to the number of sheets printed for each user is stored in the issuing computer 62.

スクラッチカード印刷機6のHSM62には,発券情報に含まれる一つのユーザID及びカウンタ値が送信されると,内部に記憶している暗号鍵を利用した所定のアルゴリズムに従い,該ユーザIDからユーザ8毎に個別の生成鍵を生成し,該生成鍵を用い,所定のワンタイムパスワード生成アルゴリズムに従いOTPを生成するコンピュータプログラムが記憶されている。   When one user ID and counter value included in the ticket issuing information is transmitted to the HSM 62 of the scratch card printer 6, the user ID is obtained from the user ID according to a predetermined algorithm using an encryption key stored therein. A computer program for generating an individual generation key for each and generating an OTP according to a predetermined one-time password generation algorithm using the generated key is stored.

図3は,スクラッチカード2の製造工程を説明するフロー図である。スクラッチカード印刷機6では,発行コンピュータ62に記憶された発券情報に含まれるユーザID毎に,スクラッチカード2が印刷され,一つのユーザIDに対応するスクラッチカード2は,図3の手順に従い製造される。   FIG. 3 is a flowchart for explaining the manufacturing process of the scratch card 2. In the scratch card printer 6, the scratch card 2 is printed for each user ID included in the ticket issuing information stored in the issuing computer 62, and the scratch card 2 corresponding to one user ID is manufactured according to the procedure of FIG. The

発行コンピュータ62は,一枚のスクラッチカード2を印刷するとき,スクラッチカード2を製造するユーザIDに関連付けられたカウンタの初期値をカウンタ値とし,該ユーザID及び該カウンタ値をHSM61に送信し(S1),HSM61は,該ユーザIDからユーザ8の個別鍵を生成した後,該生成鍵を用いて該カウンタ値に基づくOTPを生成し,該OTPを発行コンピュータ62に送信する(S2)。   When the printing computer 62 prints one scratch card 2, the initial value of the counter associated with the user ID that manufactures the scratch card 2 is used as the counter value, and the user ID and the counter value are transmitted to the HSM 61 ( S1), the HSM 61 generates an individual key of the user 8 from the user ID, generates an OTP based on the counter value using the generated key, and transmits the OTP to the issuing computer 62 (S2).

発行コンピュータ62は,HSM61からOTPを受信すると,該OTPをHSM61から受信した順に記憶した後(S3),所定の数(ここでは,10個)だけOTPを生成したか確認する(S4)。   When the issuing computer 62 receives the OTP from the HSM 61, the issuing computer 62 stores the OTP in the order received from the HSM 61 (S3), and then confirms whether a predetermined number (here, 10) of OTPs has been generated (S4).

発行コンピュータ62は,所定数(ここでは,10個)だけOTPを生成していないときは,スクラッチカード2を製造するユーザIDに関連付けられたカウンタ値を設定値(例えば,+2)だけインクリメントし(S5),スクラッチカード2を製造するユーザID及びインクリメント後のカウンタ値をHSM61に送信し(S6),図3のS2に戻る。   When the issuing computer 62 has not generated a predetermined number (here, 10) of OTPs, the issuing computer 62 increments a counter value associated with the user ID for manufacturing the scratch card 2 by a set value (for example, +2) ( S5), the user ID for manufacturing the scratch card 2 and the incremented counter value are transmitted to the HSM 61 (S6), and the process returns to S2 in FIG.

また,図3のS3において,所定数(ここでは,10個)だけOTPを生成したとき,発行コンピュータ62は,HSM61から受信した順にそれぞれのOTPを所定の順番で並べて印刷した後,OTPを隠蔽部材で覆う印刷を実行することで,スクラッチカード2に所定数の隠蔽エリア20を生成し(S7),この手順を終了する。   Further, when a predetermined number (here, 10) of OTPs is generated in S3 of FIG. 3, the issuing computer 62 arranges and prints the OTPs in the predetermined order in the order received from the HSM 61, and then conceals the OTPs. By executing the printing covered with the member, a predetermined number of concealment areas 20 are generated in the scratch card 2 (S7), and this procedure is terminated.

図3で図示したフローは,一枚のスクラッチカード2を印刷するときのフローで,ユーザ毎に複数枚のスクラッチカード2を印刷する場合,図3で図示したフローが繰り返し実行される。   The flow illustrated in FIG. 3 is a flow for printing one scratch card 2. When printing a plurality of scratch cards 2 for each user, the flow illustrated in FIG. 3 is repeatedly executed.

ここから,図1で図示したユーザ認証装置3について説明する。図4は,ユーザ認証装置3のハードゥエアブロック図で,図5は,ユーザ認証装置3の機能ブロック図である。   From here, the user authentication apparatus 3 illustrated in FIG. 1 will be described. FIG. 4 is a hard block diagram of the user authentication device 3, and FIG. 5 is a functional block diagram of the user authentication device 3.

図4に図示したように,ユーザ認証装置3は、ハードウェアとして、CPU3a、RAM3b,ROM3c,大容量のデータ記憶装置であるハードディスク3e,及び,ネットワークインターフェース3d,ディスプレイ3f,キーボード3g及びマウス3hなどを備え,更に,ユーザ認証装置3には,スクラッチカード印刷機6と同じ機能を備えたHSM30が接続され,ユーザ認証装置3のハードディスク3eには,二要素認証によりユーザ認証を実行するコンピュータプログラムに加え,ユーザ認証するために必要な様々な情報が記憶されている。   As shown in FIG. 4, the user authentication device 3 includes, as hardware, a CPU 3a, a RAM 3b, a ROM 3c, a hard disk 3e that is a large-capacity data storage device, a network interface 3d, a display 3f, a keyboard 3g, a mouse 3h, and the like. The HSM 30 having the same function as the scratch card printer 6 is connected to the user authentication device 3, and the hard disk 3e of the user authentication device 3 is a computer program that performs user authentication by two-factor authentication. In addition, various information necessary for user authentication is stored.

図5に図示したように,ユーザ認証装置3のハードディスク3eにはユーザ認証に必要な情報が記憶されるユーザデータベース302と,印刷会社に送信した発券情報が記憶される発券情報データベース304が設けられ,図4で図示したハードウェア資源を利用したコンピュータプログラムで実現される機能として,ウェブサービスを利用するユーザ8から得られるOTPを認証するOTP認証手段300と,該ユーザ8のパスワードを認証するパスワード認証手段301と,スクラッチカード印刷機6においてスクラッチカード2が製造されるときに必要となる発券情報を生成する発券情報生成手段303が備えられ,本実施形態において,ユーザデータベース302には,ユーザIDに関連付けて,ユーザ8のカウンタ値及びユーザ8の参照パスワードが記憶されている。   As shown in FIG. 5, the hard disk 3e of the user authentication device 3 is provided with a user database 302 for storing information necessary for user authentication and a ticket issuing information database 304 for storing ticket issuing information transmitted to the printing company. As functions realized by the computer program using the hardware resources shown in FIG. 4, an OTP authentication means 300 for authenticating the OTP obtained from the user 8 using the web service, and a password for authenticating the password of the user 8 An authentication unit 301 and a ticket issuing information generating unit 303 that generates ticket issuing information required when the scratch card 2 is manufactured in the scratch card printer 6 are provided. In this embodiment, the user database 302 includes a user ID. , The counter value of user 8 and user 8 Reference password is stored.

まず,ユーザ認証する手順を示しながら,ユーザ認証装置3に備えられたOTP認証手段300及びパスワード認証手段301について説明する。   First, the OTP authentication unit 300 and the password authentication unit 301 provided in the user authentication device 3 will be described with reference to a user authentication procedure.

図6は,ユーザ認証装置3がユーザ認証する処理の手順を示したフロー図である。まず,ユーザ8からウェブサービスにアクセスがあると,ユーザ認証装置3は,ユーザ8にパスワードとOTPを入力させるウェブページをクライアント4に送信し,ユーザ8にパスワードとOTPの入力を要求する(S10)。   FIG. 6 is a flowchart showing a procedure of processing for user authentication by the user authentication device 3. First, when the user 8 accesses the web service, the user authentication device 3 transmits a web page that allows the user 8 to input a password and OTP to the client 4 and requests the user 8 to input the password and OTP (S10). ).

図7は,ユーザ認証装置3からクライアント4に送信するウェブページ7の一例を説明する図である。ウェブページ7には,ユーザIDを入力するフォーム70,ユーザ8のパスワードを入力するフォーム71,スクラッチカード2から得られるOTPを入力するフォーム72,ユーザID等を送信するときにクリックされるボタンオブジェクト73,ユーザID等の送信をキャンセルするときクリックされるボタンオブジェクト74が含まれる。   FIG. 7 is a diagram for explaining an example of the web page 7 transmitted from the user authentication device 3 to the client 4. The web page 7 includes a form 70 for inputting the user ID, a form 71 for inputting the password of the user 8, a form 72 for inputting the OTP obtained from the scratch card 2, and a button object that is clicked when transmitting the user ID and the like. 73, a button object 74 that is clicked when transmission of a user ID or the like is canceled is included.

ユーザ8が,ユーザ8のユーザIDをフォーム70に入力し,ユーザ8のパスワードをフォーム71に入力し,更に,隠蔽エリア20の隠蔽部材が削られておらず,左側の番号は最も小さい隠蔽エリア20の隠蔽部材を削ることで露出するOTPをフォーム72に入力した後,ボタンオブジェクト73をクリックすると,ユーザ8のパスワード及びOTPがクライアント4からユーザ認証装置3へ送信される。   The user 8 inputs the user ID of the user 8 into the form 70, inputs the password of the user 8 into the form 71, and the concealment member of the concealment area 20 is not cut, and the left concealment area has the smallest number. When an OTP exposed by scraping the 20 concealing members is input to the form 72 and then the button object 73 is clicked, the password of the user 8 and the OTP are transmitted from the client 4 to the user authentication device 3.

図6の説明に戻る。ユーザ認証装置3は,ユーザ8のユーザID,ユーザ8のパスワード及びOTPをクライアント4から受信すると(S11),まず,ユーザ認証手段301を作動させて,ユーザ8のパスワードを認証する(S12)。   Returning to the description of FIG. When the user authentication device 3 receives the user ID of the user 8, the password of the user 8, and the OTP from the client 4 (S11), first, the user authentication unit 301 is activated to authenticate the password of the user 8 (S12).

ユーザ認証手段301は,ユーザデータベース302を参照し,クライアント4から受信したユーザIDに関連付けられている参照パスワードと,クライアント4から受信したパスワードを照合することで,「自分だけが知っている(know)」に係る認証要素であるユーザ8のパスワードを認証する。   The user authentication unit 301 refers to the user database 302 and collates the reference password associated with the user ID received from the client 4 with the password received from the client 4, so that “only you know (know The password of the user 8 that is the authentication factor related to “)” is authenticated.

ユーザ認証装置3は,ユーザ8のパスワードの認証結果によって処理を分岐させ(S13),ユーザ認証に失敗すると,ウェブアプリケーションの利用をユーザ8に許可することなく,図6の手順を終了し,パスワードの認証に成功すると,ユーザ認証装置3は,OTP認証手段300を作動させて,クライアントから取得したOTPの認証を開始する(S14)。   The user authentication device 3 branches the process according to the authentication result of the password of the user 8 (S13). If the user authentication fails, the user authentication device 3 terminates the procedure of FIG. 6 without permitting the user 8 to use the web application. If the authentication is successful, the user authentication device 3 activates the OTP authentication unit 300 to start authentication of the OTP acquired from the client (S14).

ユーザ認証装置3のOTP認証手段300は,ユーザデータベース302を参照し,クライアント4から受信したユーザIDに関連付けられているカウンタ値を取得し,該ユーザID及び該カウンタ値をHSM30に送信すると共に,該カウンタ値を所定の数(例えば,+2)だけインクリメントする(S15)。   The OTP authentication unit 300 of the user authentication device 3 refers to the user database 302, acquires a counter value associated with the user ID received from the client 4, transmits the user ID and the counter value to the HSM 30, The counter value is incremented by a predetermined number (for example, +2) (S15).

ユーザ認証装置3に接続されたHSM30は,ユーザ認証装置3からユーザID及びカウンタ値を受信すると,該ユーザIDからユーザ8の個別鍵を生成した後,該生成鍵と該カウンタ値からOTPを生成し,該OTPをユーザ認証装置3に送信する(S16)。   When the HSM 30 connected to the user authentication device 3 receives the user ID and the counter value from the user authentication device 3, it generates an individual key of the user 8 from the user ID and then generates an OTP from the generated key and the counter value. Then, the OTP is transmitted to the user authentication device 3 (S16).

ユーザ認証装置3は,HSM30からOTPを受信すると,クライアント4から受信したOTPとHSM30から受信したOTPを照合することで,「自分だけが持っている(has)」に係る認証要素に当たるOTPを認証する(S17)。   When receiving the OTP from the HSM 30, the user authentication device 3 verifies the OTP received from the client 4 and the OTP received from the HSM 30, thereby authenticating the OTP corresponding to the authentication factor “has only oneself”. (S17).

ユーザ認証装置3は,OTPの認証結果によって処理を分岐させ(S18),クライアント4から受信したOTPの認証に成功すると,ウェブサービスの利用をユーザ8に許可する処理を実行し(S19),クライアントから受信したOTPの認証に失敗すると,ウェブサービスの利用をユーザ8に許可することなく,図6で図示した手順を終了する。   The user authentication device 3 branches the process according to the OTP authentication result (S18). When the OTP received from the client 4 is successfully authenticated, the user authentication apparatus 3 executes a process for allowing the user 8 to use the web service (S19). If the authentication of the OTP received from the server fails, the procedure illustrated in FIG. 6 is terminated without allowing the user 8 to use the web service.

次に,ユーザ認証する手順を示しながら,ユーザ認証装置3に備えられた発券情報生成手段303について説明する。ユーザ認証装置3に備えられた発券情報生成手段303は,ユーザ認証装置3の発券情報データベース304に記憶されている発券情報に基づき,スクラッチカード印刷機6の発行コンピュータ62に記憶される新たな発券情報を生成する手段である。   Next, the ticket issuing information generation unit 303 provided in the user authentication device 3 will be described while showing the procedure for user authentication. The ticket issuing information generating means 303 provided in the user authentication device 3 is a new ticket issuing stored in the issuing computer 62 of the scratch card printer 6 based on the ticket issuing information stored in the ticket issuing information database 304 of the user authentication device 3. It is a means for generating information.

ユーザ認証装置3の発券情報データベース304には,スクラッチカード印刷機6を所持する印刷会社に送信した発券情報が,発券情報の生成日時に関連付けて記憶され,ユーザ認証装置3は,キーボード3g及びマウス3hが操作されるなどして発券情報の生成が指示されると,発券情報生成手段303を作動させ,発券情報生成手段303は,発券情報データベース304に記憶されている最新の発券情報を利用して,印刷会社に送信する発券情報を新規に生成する処理を実行する。   The ticket issue information database 304 of the user authentication device 3 stores the ticket issue information transmitted to the printing company possessing the scratch card printer 6 in association with the generation date and time of the ticket issue information. The user authentication device 3 includes a keyboard 3g and a mouse. When generation of ticketing information is instructed by operating 3h or the like, the ticketing information generating unit 303 is activated, and the ticketing information generating unit 303 uses the latest ticketing information stored in the ticketing information database 304. Then, a process for newly generating ticket issuing information to be transmitted to the printing company is executed.

ユーザ認証装置3の発券情報生成手段303は,発券情報データベース304に記憶されている最新の発券情報に含まれるユーザID毎に,ユーザIDに関連付けられているカウンタの初期値に,1枚のスクラッチカード2上の隠蔽エリア20内に印刷されるOTPの数(ここでは,10個)を加算処理することで,印刷会社に送信する発券情報を新規に生成し,生成した発券情報を生成日時に関連付けて発券情報データベース304に記憶する。   The ticket issuing information generating unit 303 of the user authentication device 3 sets one scratch to the initial value of the counter associated with the user ID for each user ID included in the latest ticket issuing information stored in the ticket issuing information database 304. By adding the number of OTPs to be printed in the concealment area 20 on the card 2 (here, 10), ticket issue information to be transmitted to the printing company is newly generated, and the generated ticket issue information is set to the generation date and time. The information is stored in the ticketing information database 304 in association with each other.

なお,ユーザ毎に複数枚のスクラッチカード2を印刷する場合,上述した内容が繰り返し実行される。   In addition, when printing a plurality of scratch cards 2 for each user, the above-described contents are repeatedly executed.

なお,本発明は,これまで説明した実施の形態に限定されることなく,種々の変形や変更が可能である。   The present invention is not limited to the embodiments described so far, and various modifications and changes can be made.

例えば,スクラッチ媒体の形態はスクラッチカード2でなくとも良く,例えば,ダイレクトメール(Direct Mail)のような圧着されたハガキの形態で実現することもできる。   For example, the form of the scratch medium is not limited to the scratch card 2, and can be realized in the form of a post-bonded postcard such as direct mail.

1 ユーザ認証システム
2 スクラッチカード
20 隠蔽エリア
3 ユーザ認証装置
30 HSM
300 OTP認証手段
301 パスワード認証手段
4 クライアント
5 ネットワーク
6 スクラッチカード印刷機
60 カード印刷部
61 HSM
62 発行コンピュータ
1 User authentication system 2 Scratch card 20 Concealment area 3 User authentication device 30 HSM
300 OTP Authentication Unit 301 Password Authentication Unit 4 Client 5 Network 6 Scratch Card Printer 60 Card Printing Unit 61 HSM
62 Issuing computer

Claims (10)

引っ掻き落とすことのできる隠蔽部材によって覆うことで,カウンタ同期方式の一つのワンタイムパスワードが目視的に隠蔽された状態で印刷された隠蔽エリアが,前記ワンタイムパスワードの利用順を示した状態で複数設けられているスクラッチ媒体。   By covering with a concealing member that can be scraped off, a plurality of concealment areas printed in a state in which one one-time password of the counter synchronization method is visually concealed are displayed in the state in which the one-time passwords are used. A provided scratch medium. 請求項1に記載のスクラッチ媒体であって,前記隠蔽エリアに隠蔽される前記ワンタイムパスワードの生成に用いられる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報が印刷されていることを特徴とするスクラッチ媒体。   The scratch medium according to claim 1, wherein the scratch medium is a seed for generating a generation key used for generating the one-time password concealed in the concealment area, and different user information is printed for each user. A scratch medium characterized by the above. 引っ掻き落とすことのできる隠蔽部材によって覆うことで,カウンタ同期方式の一つのワンタイムパスワードが目視的に隠蔽された状態で印刷された隠蔽エリアが,前記ワンタイムパスワードの利用順を示した状態で複数設けられているスクラッチ媒体と, 前記スクラッチ媒体に隠蔽された前記ワンタイムパスワードを算出するときに利用したカウンタと同期する内部カウンタを備え,前記スクラッチ媒体の一つの前記隠蔽エリア内に隠蔽された前記ワンタイムパスワードをユーザ認証するユーザが操作するクライアントから取得すると,前記パスワード生成アルゴリズムに従い前記内部カウンタのカウンタ値から,ユーザ認証に利用する参照ワンタイムパスワードを生成した後,所定のパスワード認証アルゴリズムに従い,前記参照ワンタイムパスワードを用いて取得した前記ワンタイムパスワードを認証するワンタイムパスワード認証手段を備えたユーザ認証装置とから少なくとも構成されることを特徴とするユーザ認証システム。   By covering with a concealing member that can be scraped off, a plurality of concealment areas printed in a state in which one one-time password of the counter synchronization method is visually concealed are displayed in the state in which the one-time passwords are used. A scratch medium provided, and an internal counter synchronized with a counter used when calculating the one-time password concealed in the scratch medium, and concealed in one concealment area of the scratch medium When a one-time password is obtained from a client operated by a user authenticating a user, a reference one-time password used for user authentication is generated from a counter value of the internal counter according to the password generation algorithm, and then according to a predetermined password authentication algorithm. Reference one User authentication system characterized in that it is at least composed of a user authentication device which includes a one-time password authentication means for authenticating said one-time password acquired using im password. 請求項3に記載のユーザ認証システムであって,前記隠蔽エリアに隠蔽される前記ワンタイムパスワードの生成に用いられる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報が印刷され,前記ユーザ認証装置の前記ワンタイムパスワード認証手段は,前記ワンタイムパスワードに加えて,前記ユーザ情報を取得し,前記ユーザ情報から所定のアルゴリズムに従い前記生成鍵を算出し,該生成鍵を用いて前記参照ワンタイムパスワードを生成すること特徴とするユーザ認証システム。   4. The user authentication system according to claim 3, wherein the user authentication system is a seed for generating a generation key used for generating the one-time password concealed in the concealment area, and different user information is printed for each user. The one-time password authentication means of the user authentication device acquires the user information in addition to the one-time password, calculates the generated key from the user information according to a predetermined algorithm, and uses the generated key And generating the reference one-time password. 請求項3または請求項4に記載のユーザ認証システムであって,前記ユーザ認証装置は,前記スクラッチカードを所持するユーザのパスワードを認証するパスワード認証手段を備えていることを特徴とするユーザ認証システム。   5. The user authentication system according to claim 3 or 4, wherein the user authentication device includes password authentication means for authenticating a password of a user who possesses the scratch card. . 引っ掻き落とすことのできる隠蔽部材によって覆うことで,カウンタ同期方式の一つのワンタイムパスワードが目視的に隠蔽された状態で印刷された隠蔽エリアが,前記ワンタイムパスワードの利用順を示した状態で複数設けられているスクラッチ媒体を所持するユーザを認証するユーザ認証装置に,前記スクラッチ媒体の一つの前記隠蔽エリア内に隠蔽された一つの前記ワンタイムパスワードをユーザ認証するユーザが操作するクライアントから取得するステップa,前記パスワード生成アルゴリズムに従い,前記スクラッチ媒体に隠蔽された前記ワンタイムパスワードを算出するときに利用した前記カウンタと同期する内部カウンタの値から,ユーザ認証に利用する参照ワンタイムパスワードを生成するステップb,所定のパスワード認証アルゴリズムに従い,前記参照ワンタイムパスワードを用いて,前記ステップaで取得した前記ワンタイムパスワードを認証するステップc,を実行させることを特徴とするユーザ認証方法。   By covering with a concealing member that can be scraped off, a plurality of concealment areas printed in a state in which one one-time password of the counter synchronization method is visually concealed are displayed in the state in which the one-time passwords are used. A user authentication device for authenticating a user possessing a scratch medium provided obtains the one-time password concealed in one concealment area of the scratch medium from a client operated by the user authenticating the user. In step a, in accordance with the password generation algorithm, a reference one-time password used for user authentication is generated from the value of an internal counter synchronized with the counter used when calculating the one-time password hidden in the scratch medium. Step b, predetermined password authentication According algorithm, using the reference one-time password, the user authentication method, characterized in that to execute the steps c, authenticating the one-time password obtained in step a. 請求項6に記載のユーザ認証方法であって,前記ワンタイムパスワードの生成に用いられる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報を前記スクラッチ媒体に印刷しておき,前記ユーザ認証装置は,前記ステップaにおいて,前記ワンタイムパスワードと共に前記ユーザ情報を取得し,前記ステップbにおいて,前記ユーザ情報から前記生成鍵を算出し,該生成鍵を用いて前記参照ワンタイムパスワードを生成すること特徴とするユーザ認証方法。   The user authentication method according to claim 6, wherein the user authentication method is a seed for generating a generation key used to generate the one-time password, and different user information for each user is printed on the scratch medium. The user authentication device acquires the user information together with the one-time password in the step a, calculates the generated key from the user information in the step b, and uses the generated key to generate the reference one-time A user authentication method characterized by generating a password. 請求項6または請求項7に記載のユーザ認証方法であって,前記ユーザ認証装置は,前記ステップaを実行する前に,前記スクラッチカードを所持するユーザのパスワードを認証するステップを実行することを特徴とするユーザ認証方法。   8. The user authentication method according to claim 6 or 7, wherein the user authentication device executes a step of authenticating a password of a user possessing the scratch card before executing the step a. A featured user authentication method. 引っ掻き落とすことのできる隠蔽部材によって覆うことで,カウンタ同期方式の一つのワンタイムパスワードが目視的に隠蔽された状態で印刷された隠蔽エリアが,前記ワンタイムパスワードの利用順を示した状態で複数設けられているスクラッチ媒体の製造方法であって,
前記スクラッチ媒体の発行元から得られ,前記スクラッチ媒体を所持するユーザのユーザ情報に関連付けて,前記ワンタイムパスワードを生成するときのカウンタの値が記憶されている発券情報を用い,前記発券情報に含まれる前記ユーザ情報毎に,前記ユーザ情報に関連付けられた前記カウンタの値を利用して,前記スクラッチ媒体に印刷する数の前記ワンタイムパスワードを所定のパスワード生成アルゴリズムに従い生成し,前記ワンタイムパスワードの利用順を示した状態で前記ワンタイムパスワードそれぞれを前記隠蔽エリアの領域内に印刷した後,それぞれの前記隠蔽エリアを前記隠蔽部材で覆う印刷を実行することを特徴とするスクラッチ媒体の製造方法。 By covering with a concealing member that can be scraped off, a plurality of concealment areas printed in a state in which one one-time password of the counter-synchronization method is visually concealed are displayed in the state in which the one-time passwords are used. A scratch medium manufacturing method provided, comprising:
The ticket issuing information is obtained from the scratch medium issuer, and is associated with the user information of the user who owns the scratch medium and stores the value of the counter when generating the one-time password. For each of the user information included, the number of the one-time passwords to be printed on the scratch medium is generated according to a predetermined password generation algorithm using the value of the counter associated with the user information, and the one-time password A method of manufacturing a scratch medium, wherein after each one-time password is printed in the area of the concealment area in a state in which the order of use is indicated, printing is performed to cover each concealment area with the concealment member. . 請求項9に記載のスクラッチ媒体の製造方法であって,前記パスワード生成アルゴリズムは,前記ユーザ情報から算出される生成鍵を利用して前記ワンタイムパスワードを生成するアルゴリズムであって,前記スクラッチ媒体に印刷する前記ワンタイムパスワードを生成する際,前記ユーザ情報から前記生成鍵を算出し,前記ユーザ情報を前記スクラッチ媒体に印刷することを特徴とするスクラッチ媒体の製造方法。
10. The method for manufacturing a scratch medium according to claim 9, wherein the password generation algorithm is an algorithm for generating the one-time password using a generation key calculated from the user information, and the scratch medium is stored in the scratch medium. A method of manufacturing a scratch medium, wherein when the one-time password to be printed is generated, the generation key is calculated from the user information and the user information is printed on the scratch medium.
JP2009104820A 2009-04-23 2009-04-23 User authentication system, method, scratch medium, and method of manufacturing scratch medium Expired - Fee Related JP5423123B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009104820A JP5423123B2 (en) 2009-04-23 2009-04-23 User authentication system, method, scratch medium, and method of manufacturing scratch medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009104820A JP5423123B2 (en) 2009-04-23 2009-04-23 User authentication system, method, scratch medium, and method of manufacturing scratch medium

Publications (2)

Publication Number Publication Date
JP2010257101A true JP2010257101A (en) 2010-11-11
JP5423123B2 JP5423123B2 (en) 2014-02-19

Family

ID=43317955

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009104820A Expired - Fee Related JP5423123B2 (en) 2009-04-23 2009-04-23 User authentication system, method, scratch medium, and method of manufacturing scratch medium

Country Status (1)

Country Link
JP (1) JP5423123B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL2010107C2 (en) * 2013-01-10 2014-07-15 Medisecurecards Nederland B V METHOD AND SYSTEM FOR ANY MEDICAL DATA QUICKLY ANYWHERE IN THE WORLD.
JP2014164578A (en) * 2013-02-26 2014-09-08 Oki Electric Ind Co Ltd Information processing device and program
JP2016534459A (en) * 2013-08-30 2016-11-04 ジエマルト・エス・アー How to authenticate a transaction

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014216014A1 (en) 2014-08-13 2016-02-18 Siemens Aktiengesellschaft Power plant with emergency fuel system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001154921A (en) * 1999-11-30 2001-06-08 Toppan Forms Co Ltd System and method for providing data
JP2002163583A (en) * 2000-11-22 2002-06-07 Ntt Data Corp E-commerce method, center, and prepaid card
JP2006301684A (en) * 2005-04-15 2006-11-02 Hitachi Advanced Digital Inc Individual identification system
JP2007503646A (en) * 2003-08-27 2007-02-22 アラジン ノゥリッジ システムズ リミテッド Security token

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001154921A (en) * 1999-11-30 2001-06-08 Toppan Forms Co Ltd System and method for providing data
JP2002163583A (en) * 2000-11-22 2002-06-07 Ntt Data Corp E-commerce method, center, and prepaid card
JP2007503646A (en) * 2003-08-27 2007-02-22 アラジン ノゥリッジ システムズ リミテッド Security token
JP2006301684A (en) * 2005-04-15 2006-11-02 Hitachi Advanced Digital Inc Individual identification system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL2010107C2 (en) * 2013-01-10 2014-07-15 Medisecurecards Nederland B V METHOD AND SYSTEM FOR ANY MEDICAL DATA QUICKLY ANYWHERE IN THE WORLD.
JP2014164578A (en) * 2013-02-26 2014-09-08 Oki Electric Ind Co Ltd Information processing device and program
JP2016534459A (en) * 2013-08-30 2016-11-04 ジエマルト・エス・アー How to authenticate a transaction
US10579987B2 (en) 2013-08-30 2020-03-03 Thales Dis France Sa Method for authenticating transactions

Also Published As

Publication number Publication date
JP5423123B2 (en) 2014-02-19

Similar Documents

Publication Publication Date Title
EP3743838B1 (en) Generating and managing decentralized identifiers
US20220239499A1 (en) System and method for high trust cloud digital signing
Garfinkel et al. Usable security: History, themes, and challenges
TWI526037B (en) Method and system for abstrcted and randomized one-time use passwords for transactional authentication
Idrus et al. A review on authentication methods
US10848304B2 (en) Public-private key pair protected password manager
TWI510954B (en) A method and a device for generating a secret value
WO2015153892A1 (en) Method and system for secure authentication
JP2009009293A (en) Biometric identification system
AU2004282865B2 (en) Authentication system
EP3213185A1 (en) Computer security system and method to protect against keystroke logging
JP2010086435A (en) Information processing method and computer
JP2008176383A (en) Method for creating one-time password, method for authenticating one-time password, one-time password creation apparatus, ic card with function to create one-time password, one-time password authentication apparatus, ic card program, and computer program
CN115485682A (en) Derived child verifiable certificates with selective claims
JP5423123B2 (en) User authentication system, method, scratch medium, and method of manufacturing scratch medium
Szydlowski et al. Secure input for web applications
CN117397205A (en) Booting trust for a decentralised identifier
JP2007272600A (en) Personal authentication method, system and program associated with environment authentication
Nath et al. Issues and challenges in two factor authentication algorithms
AU2011100338A4 (en) Method and /or device for managing authentication data
JP2011154538A (en) Authentication device and authentication method
CN115461746A (en) Verifiable credentials with dynamic claims
JP2007065789A (en) Authentication system and method
JP2007280039A (en) User authentication system and method
JP7359917B2 (en) Information processing server, information processing system, determination device, and method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120216

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130306

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130312

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130508

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20130823

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131029

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131111

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5423123

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees