JP2010257101A - User authentication system and method, scratch medium, and method for manufacturing the same - Google Patents
User authentication system and method, scratch medium, and method for manufacturing the same Download PDFInfo
- Publication number
- JP2010257101A JP2010257101A JP2009104820A JP2009104820A JP2010257101A JP 2010257101 A JP2010257101 A JP 2010257101A JP 2009104820 A JP2009104820 A JP 2009104820A JP 2009104820 A JP2009104820 A JP 2009104820A JP 2010257101 A JP2010257101 A JP 2010257101A
- Authority
- JP
- Japan
- Prior art keywords
- user
- password
- time password
- scratch
- user authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は,ユーザを認証する技術に関し、更に詳しくは,使い捨てのパスワードであるワンタイムパスワードを利用してユーザを認証する技術に関する。 The present invention relates to a technique for authenticating a user, and more particularly to a technique for authenticating a user using a one-time password which is a disposable password.
フィッシング詐欺やスパイウェア対策として,ネットバンキングなどの用途において二要素認証が注目を集めている。二要素認証とは,異なる性質を持つ二つの認証要素を組み合せてユーザを認証する方式である。 As a countermeasure against phishing and spyware, two-factor authentication is attracting attention in applications such as net banking. Two-factor authentication is a method for authenticating a user by combining two authentication factors having different properties.
オンラインバンキングなどセキュリティが高くユーザを認証することが必要なケースでは、「自分だけが知っている(know)」に係る認証要素であるPIN(Personal Identification Number)などのパスワードに加え、「自分だけが持っている(has)」に係る認証要素であるワンタイムパスワード(OTP: One Time Password)を用いた二要素認証により,ユーザを認証することが検討されている。 In cases where it is necessary to authenticate users with high security such as online banking, in addition to a password such as PIN (Personal Identification Number), which is an authentication factor related to “know”, It is considered to authenticate users by two-factor authentication using a one-time password (OTP), which is an authentication factor related to “has”.
「自分だけが持っている(has)」に係る認証要素以外にも,「自分自身(is)」に係る認証要素であるバイオメトリクス情報(例えば,指紋)を用いることも可能であるが、バイオメトリクス情報に対してユーザは強い抵抗感をもつため,「自分だけが持っている(has)」に係る認証要素であるワンタイムパスワード(OTP: One Time Password)を利用するケースが増えている。 In addition to the authentication factor related to “has only”, biometric information (for example, fingerprints) that is the authentication factor related to “self” can be used. Since users have a strong sense of resistance to metrics information, the use of one-time passwords (OTP: One Time Password), which is an authentication factor related to “has only”, is increasing.
トークンを利用してOTPを生成する方式には、時刻同期方式とカウンタ方式の2つの方式があり,例えば、特許文献1では、カウンタ同期方式でOTPを生成する技術に関する発明が開示され、特許文献2では,時刻同期方式でOTPを生成する技術に関する発明が開示されている。
There are two methods for generating an OTP using a token, a time synchronization method and a counter method. For example,
特許文献1はカウンタ同期方式に利用するカウンタを乱数に基づいて進めることで、ワンタイムパスワードを生成するときに利用する生成鍵の秘匿性を高める発明である。更に、特許文献2は時刻同期方式に利用する時刻に秒,又は,ワンタイムパスワードの発生回数を示すカウンタの値を含ませることで,ワンタイムパスワードの不正利用を防止する発明である。
また,特許文献3では、二要素認証でユーザを認証するときは,「自分だけが知っている(know)」に係る認証要素であるPIN(Personal Identification Number)などのパスワードを,カウンタ同期方式のカウンタの値を加え,「自分だけが持っている(has)」に係る認証要素となるOTPを生成する発明が開示されている。
Also, in
二要素認証などで利用されるワンタイムパスワードを生成するトークンは,電子部品が内蔵されたデバイス(例えば,USBキー)によって実現することが望ましいが,該デバイスのコストが高くなってしまい,該デバイスが普及していないのが現状で,安価で該トークンを実現できることが望まれている。 A token for generating a one-time password used in two-factor authentication is preferably realized by a device (for example, a USB key) with an electronic component built therein, but this increases the cost of the device. However, it is desired that the token can be realized at a low cost.
また,二要素認証などで利用されるワンタイムパスワードを生成するトークンを,電子部品が内蔵されたデバイスによって実現すると,ワンタイムパスワードを生成するアルゴリズムや生成鍵の変更が容易に行えない問題がある。 In addition, if a token that generates a one-time password used for two-factor authentication is realized by a device with built-in electronic components, there is a problem that the algorithm for generating a one-time password and the generation key cannot be changed easily. .
そこで,本発明は,二要素認証などで利用されるワンタイムパスワードを生成するトークンとして機能し安価に実現できるスクラッチ媒体を提供すると共に,該スクラッチ媒体を利用したユーザ認証システム,ユーザ認証方法及びスクラッチ媒体の製造方法を提供することを目的とする。 Accordingly, the present invention provides a scratch medium that functions as a token for generating a one-time password used in two-factor authentication and can be realized at low cost, and a user authentication system, a user authentication method, and a scratch using the scratch medium. An object is to provide a method for manufacturing a medium.
上述した課題を解決する第1の発明は,引っ掻き落とすことのできる隠蔽部材によって覆うことで,カウンタ同期方式の一つのワンタイムパスワードが目視的に隠蔽された状態で印刷された隠蔽エリアが,前記ワンタイムパスワードの利用順を示した状態で複数設けられているスクラッチ媒体である。 The first invention for solving the above-mentioned problem is that the concealment area printed with the one-time password of the counter synchronization method visually concealed by covering with a concealment member that can be scratched off is A plurality of scratch media are provided in a state in which the order of use of one-time passwords is shown.
更に,第2の発明は,第1の発明に記載のスクラッチ媒体であって,前記スクラッチ媒体に印刷されるワンタイムパスワードの生成に用いられる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報が印刷されていることを特徴とするスクラッチ媒体である。 Further, the second invention is a scratch medium according to the first invention, and serves as a seed for generating a generation key used to generate a one-time password printed on the scratch medium. The scratch medium is characterized in that different user information is printed for each.
更に,第3の発明は,引っ掻き落とすことのできる隠蔽部材によって覆うことで,カウンタ同期方式の一つのワンタイムパスワードが目視的に隠蔽された状態で印刷された隠蔽エリアが,前記ワンタイムパスワードの利用順を示した状態で複数設けられているスクラッチ媒体と, 前記スクラッチ媒体に隠蔽された前記ワンタイムパスワードを算出するときに利用したカウンタと同期する内部カウンタを備え,前記スクラッチ媒体の一つの前記隠蔽エリア内に隠蔽された前記ワンタイムパスワードをユーザ認証するユーザが操作するクライアントから取得すると,前記パスワード生成アルゴリズムに従い前記内部カウンタのカウンタ値から,ユーザ認証に利用する参照ワンタイムパスワードを生成した後,所定のパスワード認証アルゴリズムに従い,前記参照ワンタイムパスワードを用いて取得した前記ワンタイムパスワードを認証するワンタイムパスワード認証手段を備えたユーザ認証装置と,から少なくとも構成されることを特徴とするユーザ認証システムである。 Further, according to a third aspect of the present invention, a concealment area printed with a counter-synchronized one-time password is visually concealed by covering with a concealing member that can be scraped off. A plurality of scratch media provided in the state of use, and an internal counter synchronized with a counter used when calculating the one-time password concealed in the scratch media, After acquiring the one-time password concealed in the concealment area from the client operated by the user authenticating the user, after generating the reference one-time password used for user authentication from the counter value of the internal counter according to the password generation algorithm , Predetermined password authentication algorithm Therefore, a user authentication system characterized in that it is at least composed of a user authentication device provided with a one-time password authentication means for authenticating said one-time password acquired by using the reference one-time password.
更に,第4の発明は,第3の発明に記載のユーザ認証システムであって,前記隠蔽エリアに隠蔽される前記ワンタイムパスワードの生成に用いられる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報が印刷され,前記ユーザ認証装置の前記ワンタイムパスワード認証手段は,前記ワンタイムパスワードに加えて,前記ユーザ情報を取得し,前記ユーザ情報から所定のアルゴリズムに従い前記生成鍵を算出し,該生成鍵を用いて前記参照ワンタイムパスワードを生成すること特徴とするユーザ認証システムである。 Furthermore, a fourth invention is the user authentication system according to the third invention, which is a seed for generating a generation key used for generating the one-time password concealed in the concealment area. Different user information is printed for each user, and the one-time password authentication means of the user authentication device acquires the user information in addition to the one-time password, and generates the generated key from the user information according to a predetermined algorithm. And generating the reference one-time password using the generated key.
更に,第5の発明は,第3の発明または第4の発明に記載のユーザ認証システムであって,前記ユーザ認証装置は,前記スクラッチカードを所持するユーザのパスワードを認証するパスワード認証手段を備えていることを特徴とするユーザ認証システムである。 Furthermore, a fifth invention is the user authentication system according to the third invention or the fourth invention, wherein the user authentication device includes password authentication means for authenticating a password of a user who possesses the scratch card. This is a user authentication system.
更に,第6の発明は,引っ掻き落とすことのできる隠蔽部材によって覆うことで,カウンタ同期方式の一つのワンタイムパスワードが目視的に隠蔽された状態で印刷された隠蔽エリアが,前記ワンタイムパスワードの利用順を示した状態で複数設けられているスクラッチ媒体を所持するユーザを認証するユーザ認証装置に,前記スクラッチ媒体の一つの前記隠蔽エリア内に隠蔽された一つの前記ワンタイムパスワードをユーザ認証するユーザが操作するクライアントから取得するステップa,前記パスワード生成アルゴリズムに従い,前記スクラッチ媒体に隠蔽された前記ワンタイムパスワードを算出するときに利用した前記カウンタと同期する内部カウンタの値から,ユーザ認証に利用する参照ワンタイムパスワードを生成するステップb,所定のパスワード認証アルゴリズムに従い,前記参照ワンタイムパスワードを用いて,前記ステップaで取得した前記ワンタイムパスワードを認証するステップc,を実行させることを特徴とするユーザ認証方法である。 Further, according to a sixth aspect of the present invention, a concealment area printed with a counter-synchronized one-time password is visually concealed by covering with a concealing member that can be scraped off. A user authentication device that authenticates a user who possesses a plurality of scratch media provided in the order of use, and authenticates one of the one-time passwords concealed in one concealment area of the scratch media. Step a acquired from the client operated by the user, and used for user authentication from the value of the internal counter synchronized with the counter used when calculating the one-time password concealed in the scratch medium according to the password generation algorithm Generating a reference one-time password to be performed b In accordance with a predetermined password authentication algorithm, using the reference one-time password, a user authentication method, characterized in that to execute the steps c, authenticating the one-time password obtained in step a.
更に,第7の発明は,第6の発明に記載のユーザ認証方法であって,前記ワンタイムパスワードの生成に用いられる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報を前記スクラッチ媒体に印刷しておき,前記ユーザ認証装置は,前記ステップaにおいて,前記ワンタイムパスワードと共に前記ユーザ情報を取得し,前記ステップbにおいて,前記ユーザ情報から前記生成鍵を算出し,該生成鍵を用いて前記参照ワンタイムパスワードを生成すること特徴とするユーザ認証方法である。 Further, a seventh invention is a user authentication method according to the sixth invention, wherein the user authentication method is a seed for generating a generation key used for generating the one-time password, and user information that differs for each user. Is printed on the scratch medium, the user authentication device acquires the user information together with the one-time password in the step a, calculates the generated key from the user information in the step b, and The user authentication method is characterized in that the reference one-time password is generated using a generation key.
更に,第8の発明は,第6の発明または第7の発明に記載のユーザ認証方法であって,前記ユーザ認証装置は,前記ステップaを実行する前に,前記スクラッチカードを所持するユーザのパスワードを認証するステップを実行することを特徴とするユーザ認証方法である。 Further, an eighth invention is the user authentication method according to the sixth invention or the seventh invention, wherein the user authentication device is configured to perform a user authentication of the user who possesses the scratch card before executing the step a. A user authentication method characterized by executing a step of authenticating a password.
更に,第9の発明は,引っ掻き落とすことのできる隠蔽部材によって覆うことで,カウンタ同期方式の一つのワンタイムパスワードが目視的に隠蔽された状態で印刷された隠蔽エリアが,前記ワンタイムパスワードの利用順を示した状態で複数設けられているスクラッチ媒体の製造方法であって,前記スクラッチ媒体の発行元から得られ、前記スクラッチ媒体を所持するユーザのユーザ情報に関連付けて、前記ワンタイムパスワードを生成するときのカウンタの値が記憶されている発券情報を用い,前記発券情報に含まれる前記ユーザ情報毎に,前記ユーザ情報に関連付けられた前記カウンタの値を利用して,前記スクラッチ媒体に印刷する数の前記ワンタイムパスワードを所定のパスワード生成アルゴリズムに従い生成し,前記ワンタイムパスワードの利用順を示した状態で前記ワンタイムパスワードそれぞれを前記隠蔽エリアの領域内に印刷した後,それぞれの前記隠蔽エリアを前記隠蔽部材で覆う印刷を実行することを特徴とするスクラッチ媒体の製造方法である。 Furthermore, the ninth aspect of the present invention provides a concealment area printed with one counter-synchronized one-time password being visually concealed by covering with a concealment member that can be scraped off. A method of manufacturing a plurality of scratch media provided in the order of use, wherein the one-time password is obtained in association with user information of a user who possesses the scratch media, obtained from the scratch media issuer. Using the ticketing information in which the value of the counter at the time of generation is stored, printing on the scratch medium using the value of the counter associated with the user information for each of the user information included in the ticketing information A number of the one-time passwords generated according to a predetermined password generation algorithm, The scratch medium is manufactured by printing each one-time password in the area of the concealment area in a state in which the order of use of the password is indicated, and then performing printing for covering the respective concealment area with the concealment member. Is the method.
更に,第10の発明は,第9の発明に記載のスクラッチ媒体の製造方法であって,前記パスワード生成アルゴリズムは,前記ユーザ情報から算出される生成鍵を利用して前記ワンタイムパスワードを生成するアルゴリズムであって,前記スクラッチ媒体に印刷する前記ワンタイムパスワードを生成する際,前記ユーザ情報から前記生成鍵を算出し,前記ユーザ情報を前記スクラッチ媒体に印刷することを特徴とするスクラッチ媒体の製造方法である。 Further, a tenth invention is a method for manufacturing a scratch medium according to the ninth invention, wherein the password generation algorithm generates the one-time password by using a generation key calculated from the user information. An algorithm, wherein when the one-time password to be printed on the scratch medium is generated, the generation key is calculated from the user information, and the user information is printed on the scratch medium. Is the method.
上述した発明によれば,二要素認証などで利用されるワンタイムパスワードを生成するトークンとして機能する媒体を安価に実現でき,更に,該媒体を利用したユーザ認証システム及び方法を提供できる。 According to the above-described invention, a medium functioning as a token for generating a one-time password used in two-factor authentication can be realized at low cost, and a user authentication system and method using the medium can be provided.
ここから,本発明に係わる発明について,図を参照しながら詳細に説明する。図1は,本発明に係わるスクラッチ媒体をスクラッチカード2としたときのユーザ認証システム1の構成を説明する図で,ユーザ8が所持するスクラッチカード2と,ユーザ8が操作するクライアント4と,ウェブアプリケーション(例えば,オンラインバンキング)を利用するユーザ8を認証するユーザ認証装置3とから構成され,クライアント4とユーザ認証装置3はネットワーク5を介して接続されている。
From here, the invention according to the present invention will be described in detail with reference to the drawings. FIG. 1 is a diagram for explaining the configuration of a
図1で図示したユーザ認証システム1のユーザ認証装置3は,2つの認証要素を組み合わせた二要素認証によりユーザ認証する装置で,本実施形態において,ユーザ認証には,ユーザ8のパスワードとスクラッチカード2から得られるワンタイムパスワード(OTP: One Time Password)の2つの認証要素が利用される。
A
ユーザ8のパスワード(例えば,PIN)は,「自分だけが知っている(know)」に当たり,また,OTPが隠蔽される複数の隠蔽エリア20が設けられたスクラッチカード2は,ユーザ8に郵送されるため,スクラッチカード2から得られるOTPは,「自分だけが持っている(has)」に係る認証要素に当たることになる。
The password of the user 8 (for example, PIN) corresponds to “know only”, and the
オンラインバンキングなどにおけるユーザ認証にOTPを利用するとき,本発明とは異なり,電子部品が内蔵されたデバイス型のトークン(例えば,USBキー)をユーザ8に所持させることが一般的である。
When using OTP for user authentication in online banking or the like, unlike the present invention, it is common for the
電子部品が内蔵されたデバイス型のトークンでは,時刻同期方式とカウンタ同期方式のいずれの方式にも対応を取ることができるが,スクラッチカード2をトークンとして利用する場合,スクラッチカード2自身ではOTPを生成することができないため,本発明では,カウンタ同期方式のOTPが利用される。
Device-type tokens with built-in electronic components can handle both time synchronization and counter synchronization methods, but when using the
また,電子部品が内蔵されたデバイス型のトークンでは,OTPを生成するイベントは,該デバイス型のトークンのボタンが押されることになるのに対し,OTPを生成するトークンをスクラッチカード2で実現したとき,OTPを生成するイベントは,スクラッチカード2に設けられた一つの隠蔽エリア20を削る動作になり,ユーザ8は,一つの隠蔽エリア20を削ることで,一つのOTPをスクラッチカード2から得る。
In the case of device type tokens with built-in electronic components, the OTP generation event is realized by using the
このように,スクラッチカード2は,電子部品が内蔵されたデバイス型のトークンと同様の機能を果たすことになるが,スクラッチカード2から得ることのできるOTPの数は,スクラッチカード2に設けられた隠蔽エリア20の数に限定される。例えば,図1では,10個の隠蔽エリア20がスクラッチカード2に設けられているため,スクラッチカード2から得ることのできるOTPの数は10個に限定される。
As described above, the
図1で図示したユーザ認証装置3は,オンラインバンキングなどのウェブサービスを利用するユーザ8のユーザ認証を実行するためにネットワーク5上に設けられたサーバで,ユーザ認証装置3は,ユーザ認証を実行するとき,ユーザ8に2つの認証要素の入力,ここでは,ユーザ8のパスワードと,ユーザ8が所持しているスクラッチカード2から得られる一つのOTPの入力を要求し,2つの認証要素の認証に成功したときのみ,該ユーザ8に対してウェブサービスの利用が許可される。
The
電子部品が内蔵されたデバイス型のトークンでOTPを生成するトークンを実現すると,デバイス型のトークンは高価になってしまい,ウェブサービスを利用するユーザ8すべてに該デバイス型のトークンを配布すると,ウェブサービス運営者側の負担額は非常に高額になってしまうが,本発明のように,紙媒体で実現できるスクラッチカード2でOTPを生成するトークンを実現すると,紙媒体で実現できるスクラッチカード2は安価で済むため,ウェブサービス運営者側の負担額を安価にすることができる。
If a token that generates an OTP is realized with a device-type token that incorporates an electronic component, the device-type token becomes expensive. If the device-type token is distributed to all
加えて,OTPを生成するアルゴリズムやOTPを生成するときの暗号鍵を変更する必要性があるとき,電子部品が内蔵されたデバイス型のトークンのときは,デバイス型のトークンに記憶されたコンピュータプログラムや暗号鍵をセキュアに更新する仕組みが必要になるが,スクラッチカード2のときは,更新後のアルゴリズムや暗号鍵を適用して生成されたOTPが印刷されたスクラッチカード2をユーザ8に送信するだけで済むようになる。
In addition, when there is a need to change the algorithm for generating OTP or the encryption key used to generate OTP, and in the case of a device-type token with built-in electronic components, the computer program stored in the device-type token However, when the
ここから,図1で図示したスクラッチカード2及びユーザ認証装置3について,それぞれ詳細に説明する。
From here, each of the
まず,本発明のスクラッチ媒体となるスクラッチカード2について詳細に説明する。図2は,スクラッチカード2を説明する図で,図2(a)はOTPが隠蔽されていない状態のスクラッチカード2を説明する図で,図2(b)はOTPが隠蔽されている状態のスクラッチカード2を説明する図である。
First, the
図2に図示したように,スクラッチカード2とは小さなトークンで,スクラッチカード2の素材及び形状は任意であるが,スクラッチカード2の素材は紙が一般的で,ユーザ8がスクラッチカード2を持ち運びできるように,スクラッチカード2の形状はキャッシュカードの同じ形状にするとよい。
As shown in FIG. 2, the
図2(a)に図示したように,スクラッチカード2上には,カウンタの初期値を設定値ずつインクリメントして得られる所定数のカウンタ値それぞれから,ユーザ8を識別するためのユーザIDから導出される生成鍵を用いたアルゴリズムで生成され算出され,それぞれの隠蔽エリア20内には異なるOTPが印刷されている。
As shown in FIG. 2A, the
更に,スクラッチカード2には,複数の隠蔽エリア20に加え,OTPを生成するときに利用する生成鍵を生成するためのシード(種)となり,ユーザ8毎に異なるユーザ情報としてユーザID(例えば,ユーザ8の会員番号)が印刷されると共に,隠蔽されたOTPを利用する順番を示す番号が隠蔽エリア20の左側に印刷されている。
Further, the
例えば,左側の番号が「1」の隠蔽エリア20内に印刷されているOTP(ここでは,「A0A1A2A3A4A5」)は最初に利用するOTPで,左側の番号が「3」の隠蔽エリア20内に印刷されているOTP8(ここでは,「C0C1C2C3C4C5」)は3番目に利用するOTPである。
For example, the OTP printed in the
図2(b)で図示したように,ユーザ8に送信されるスクラッチカード2では,隠蔽エリア20内に印刷されたOTPは,ラテックスなどの隠蔽部材(latex)によって覆われ,隠蔽エリア20内に印刷されたOTPが透けて見えないように隠蔽されている。ユーザ8が,スクラッチカード2からOTPを得るときは,番号順に,隠蔽部材を削り落とすことで,隠蔽部材によって隠蔽されたOTPを露出させる。
As shown in FIG. 2B, in the
スクラッチカード2の製造工程を説明する。図1において,スクラッチカード2の製造に利用される装置は,図1で図示したスクラッチカード印刷機6で,スクラッチカード印刷機6は印刷会社に設置され,スクラッチカード印刷機6で印刷されたスクラッチカード2がユーザ8に郵送される。
The manufacturing process of the
スクラッチカード印刷機6には,カード媒体に文字や数字などを印刷した後,該カードの一部或いは全面を隠蔽部材で隠蔽するカード印刷部60と,暗号鍵を内部に記憶し,該暗号鍵を用いた暗号演算を行うHSM61(Host Security Module)と,ウェブサービス運営者から受領した発券情報を利用し,ユーザ8毎にユーザ8に郵送するスクラッチカード2の印刷を印刷部に指示する発行コンピュータ62が備えられている。なお,スクラッチカード印刷機6のHSM61に記憶される暗号鍵及び発行コンピュータ62に記憶される発券情報は,所定の規則に従いウェブサービス運営者から印刷会社へ送信され,それぞれの装置に記憶される。
The
発行コンピュータ62に記憶される発券情報には,ユーザIDに関連付けて,ユーザIDで特定されるユーザ8に郵送するスクラッチカード2に印刷するOTPを生成するときのカウンタの初期値が記憶されている。なお,カウンタの初期値はユーザ8毎に同一でもよく,また,ユーザ8毎に異なっていても良い。加えて,ユーザ毎に複数枚のスクラッチカード2を印刷するときは,ユーザ毎に印刷する枚数に応じた発券情報が発行コンピュータ62に記憶される。
The ticket issuing information stored in the issuing
スクラッチカード印刷機6のHSM62には,発券情報に含まれる一つのユーザID及びカウンタ値が送信されると,内部に記憶している暗号鍵を利用した所定のアルゴリズムに従い,該ユーザIDからユーザ8毎に個別の生成鍵を生成し,該生成鍵を用い,所定のワンタイムパスワード生成アルゴリズムに従いOTPを生成するコンピュータプログラムが記憶されている。
When one user ID and counter value included in the ticket issuing information is transmitted to the
図3は,スクラッチカード2の製造工程を説明するフロー図である。スクラッチカード印刷機6では,発行コンピュータ62に記憶された発券情報に含まれるユーザID毎に,スクラッチカード2が印刷され,一つのユーザIDに対応するスクラッチカード2は,図3の手順に従い製造される。
FIG. 3 is a flowchart for explaining the manufacturing process of the
発行コンピュータ62は,一枚のスクラッチカード2を印刷するとき,スクラッチカード2を製造するユーザIDに関連付けられたカウンタの初期値をカウンタ値とし,該ユーザID及び該カウンタ値をHSM61に送信し(S1),HSM61は,該ユーザIDからユーザ8の個別鍵を生成した後,該生成鍵を用いて該カウンタ値に基づくOTPを生成し,該OTPを発行コンピュータ62に送信する(S2)。
When the
発行コンピュータ62は,HSM61からOTPを受信すると,該OTPをHSM61から受信した順に記憶した後(S3),所定の数(ここでは,10個)だけOTPを生成したか確認する(S4)。
When the issuing
発行コンピュータ62は,所定数(ここでは,10個)だけOTPを生成していないときは,スクラッチカード2を製造するユーザIDに関連付けられたカウンタ値を設定値(例えば,+2)だけインクリメントし(S5),スクラッチカード2を製造するユーザID及びインクリメント後のカウンタ値をHSM61に送信し(S6),図3のS2に戻る。
When the issuing
また,図3のS3において,所定数(ここでは,10個)だけOTPを生成したとき,発行コンピュータ62は,HSM61から受信した順にそれぞれのOTPを所定の順番で並べて印刷した後,OTPを隠蔽部材で覆う印刷を実行することで,スクラッチカード2に所定数の隠蔽エリア20を生成し(S7),この手順を終了する。
Further, when a predetermined number (here, 10) of OTPs is generated in S3 of FIG. 3, the issuing
図3で図示したフローは,一枚のスクラッチカード2を印刷するときのフローで,ユーザ毎に複数枚のスクラッチカード2を印刷する場合,図3で図示したフローが繰り返し実行される。
The flow illustrated in FIG. 3 is a flow for printing one
ここから,図1で図示したユーザ認証装置3について説明する。図4は,ユーザ認証装置3のハードゥエアブロック図で,図5は,ユーザ認証装置3の機能ブロック図である。
From here, the
図4に図示したように,ユーザ認証装置3は、ハードウェアとして、CPU3a、RAM3b,ROM3c,大容量のデータ記憶装置であるハードディスク3e,及び,ネットワークインターフェース3d,ディスプレイ3f,キーボード3g及びマウス3hなどを備え,更に,ユーザ認証装置3には,スクラッチカード印刷機6と同じ機能を備えたHSM30が接続され,ユーザ認証装置3のハードディスク3eには,二要素認証によりユーザ認証を実行するコンピュータプログラムに加え,ユーザ認証するために必要な様々な情報が記憶されている。
As shown in FIG. 4, the
図5に図示したように,ユーザ認証装置3のハードディスク3eにはユーザ認証に必要な情報が記憶されるユーザデータベース302と,印刷会社に送信した発券情報が記憶される発券情報データベース304が設けられ,図4で図示したハードウェア資源を利用したコンピュータプログラムで実現される機能として,ウェブサービスを利用するユーザ8から得られるOTPを認証するOTP認証手段300と,該ユーザ8のパスワードを認証するパスワード認証手段301と,スクラッチカード印刷機6においてスクラッチカード2が製造されるときに必要となる発券情報を生成する発券情報生成手段303が備えられ,本実施形態において,ユーザデータベース302には,ユーザIDに関連付けて,ユーザ8のカウンタ値及びユーザ8の参照パスワードが記憶されている。
As shown in FIG. 5, the hard disk 3e of the
まず,ユーザ認証する手順を示しながら,ユーザ認証装置3に備えられたOTP認証手段300及びパスワード認証手段301について説明する。
First, the
図6は,ユーザ認証装置3がユーザ認証する処理の手順を示したフロー図である。まず,ユーザ8からウェブサービスにアクセスがあると,ユーザ認証装置3は,ユーザ8にパスワードとOTPを入力させるウェブページをクライアント4に送信し,ユーザ8にパスワードとOTPの入力を要求する(S10)。
FIG. 6 is a flowchart showing a procedure of processing for user authentication by the
図7は,ユーザ認証装置3からクライアント4に送信するウェブページ7の一例を説明する図である。ウェブページ7には,ユーザIDを入力するフォーム70,ユーザ8のパスワードを入力するフォーム71,スクラッチカード2から得られるOTPを入力するフォーム72,ユーザID等を送信するときにクリックされるボタンオブジェクト73,ユーザID等の送信をキャンセルするときクリックされるボタンオブジェクト74が含まれる。
FIG. 7 is a diagram for explaining an example of the
ユーザ8が,ユーザ8のユーザIDをフォーム70に入力し,ユーザ8のパスワードをフォーム71に入力し,更に,隠蔽エリア20の隠蔽部材が削られておらず,左側の番号は最も小さい隠蔽エリア20の隠蔽部材を削ることで露出するOTPをフォーム72に入力した後,ボタンオブジェクト73をクリックすると,ユーザ8のパスワード及びOTPがクライアント4からユーザ認証装置3へ送信される。
The
図6の説明に戻る。ユーザ認証装置3は,ユーザ8のユーザID,ユーザ8のパスワード及びOTPをクライアント4から受信すると(S11),まず,ユーザ認証手段301を作動させて,ユーザ8のパスワードを認証する(S12)。
Returning to the description of FIG. When the
ユーザ認証手段301は,ユーザデータベース302を参照し,クライアント4から受信したユーザIDに関連付けられている参照パスワードと,クライアント4から受信したパスワードを照合することで,「自分だけが知っている(know)」に係る認証要素であるユーザ8のパスワードを認証する。
The
ユーザ認証装置3は,ユーザ8のパスワードの認証結果によって処理を分岐させ(S13),ユーザ認証に失敗すると,ウェブアプリケーションの利用をユーザ8に許可することなく,図6の手順を終了し,パスワードの認証に成功すると,ユーザ認証装置3は,OTP認証手段300を作動させて,クライアントから取得したOTPの認証を開始する(S14)。
The
ユーザ認証装置3のOTP認証手段300は,ユーザデータベース302を参照し,クライアント4から受信したユーザIDに関連付けられているカウンタ値を取得し,該ユーザID及び該カウンタ値をHSM30に送信すると共に,該カウンタ値を所定の数(例えば,+2)だけインクリメントする(S15)。
The
ユーザ認証装置3に接続されたHSM30は,ユーザ認証装置3からユーザID及びカウンタ値を受信すると,該ユーザIDからユーザ8の個別鍵を生成した後,該生成鍵と該カウンタ値からOTPを生成し,該OTPをユーザ認証装置3に送信する(S16)。
When the
ユーザ認証装置3は,HSM30からOTPを受信すると,クライアント4から受信したOTPとHSM30から受信したOTPを照合することで,「自分だけが持っている(has)」に係る認証要素に当たるOTPを認証する(S17)。
When receiving the OTP from the
ユーザ認証装置3は,OTPの認証結果によって処理を分岐させ(S18),クライアント4から受信したOTPの認証に成功すると,ウェブサービスの利用をユーザ8に許可する処理を実行し(S19),クライアントから受信したOTPの認証に失敗すると,ウェブサービスの利用をユーザ8に許可することなく,図6で図示した手順を終了する。
The
次に,ユーザ認証する手順を示しながら,ユーザ認証装置3に備えられた発券情報生成手段303について説明する。ユーザ認証装置3に備えられた発券情報生成手段303は,ユーザ認証装置3の発券情報データベース304に記憶されている発券情報に基づき,スクラッチカード印刷機6の発行コンピュータ62に記憶される新たな発券情報を生成する手段である。
Next, the ticket issuing
ユーザ認証装置3の発券情報データベース304には,スクラッチカード印刷機6を所持する印刷会社に送信した発券情報が,発券情報の生成日時に関連付けて記憶され,ユーザ認証装置3は,キーボード3g及びマウス3hが操作されるなどして発券情報の生成が指示されると,発券情報生成手段303を作動させ,発券情報生成手段303は,発券情報データベース304に記憶されている最新の発券情報を利用して,印刷会社に送信する発券情報を新規に生成する処理を実行する。
The ticket issue information database 304 of the
ユーザ認証装置3の発券情報生成手段303は,発券情報データベース304に記憶されている最新の発券情報に含まれるユーザID毎に,ユーザIDに関連付けられているカウンタの初期値に,1枚のスクラッチカード2上の隠蔽エリア20内に印刷されるOTPの数(ここでは,10個)を加算処理することで,印刷会社に送信する発券情報を新規に生成し,生成した発券情報を生成日時に関連付けて発券情報データベース304に記憶する。
The ticket issuing
なお,ユーザ毎に複数枚のスクラッチカード2を印刷する場合,上述した内容が繰り返し実行される。
In addition, when printing a plurality of
なお,本発明は,これまで説明した実施の形態に限定されることなく,種々の変形や変更が可能である。 The present invention is not limited to the embodiments described so far, and various modifications and changes can be made.
例えば,スクラッチ媒体の形態はスクラッチカード2でなくとも良く,例えば,ダイレクトメール(Direct Mail)のような圧着されたハガキの形態で実現することもできる。
For example, the form of the scratch medium is not limited to the
1 ユーザ認証システム
2 スクラッチカード
20 隠蔽エリア
3 ユーザ認証装置
30 HSM
300 OTP認証手段
301 パスワード認証手段
4 クライアント
5 ネットワーク
6 スクラッチカード印刷機
60 カード印刷部
61 HSM
62 発行コンピュータ
1
300
62 Issuing computer
Claims (10)
前記スクラッチ媒体の発行元から得られ,前記スクラッチ媒体を所持するユーザのユーザ情報に関連付けて,前記ワンタイムパスワードを生成するときのカウンタの値が記憶されている発券情報を用い,前記発券情報に含まれる前記ユーザ情報毎に,前記ユーザ情報に関連付けられた前記カウンタの値を利用して,前記スクラッチ媒体に印刷する数の前記ワンタイムパスワードを所定のパスワード生成アルゴリズムに従い生成し,前記ワンタイムパスワードの利用順を示した状態で前記ワンタイムパスワードそれぞれを前記隠蔽エリアの領域内に印刷した後,それぞれの前記隠蔽エリアを前記隠蔽部材で覆う印刷を実行することを特徴とするスクラッチ媒体の製造方法。 By covering with a concealing member that can be scraped off, a plurality of concealment areas printed in a state in which one one-time password of the counter-synchronization method is visually concealed are displayed in the state in which the one-time passwords are used. A scratch medium manufacturing method provided, comprising:
The ticket issuing information is obtained from the scratch medium issuer, and is associated with the user information of the user who owns the scratch medium and stores the value of the counter when generating the one-time password. For each of the user information included, the number of the one-time passwords to be printed on the scratch medium is generated according to a predetermined password generation algorithm using the value of the counter associated with the user information, and the one-time password A method of manufacturing a scratch medium, wherein after each one-time password is printed in the area of the concealment area in a state in which the order of use is indicated, printing is performed to cover each concealment area with the concealment member. .
10. The method for manufacturing a scratch medium according to claim 9, wherein the password generation algorithm is an algorithm for generating the one-time password using a generation key calculated from the user information, and the scratch medium is stored in the scratch medium. A method of manufacturing a scratch medium, wherein when the one-time password to be printed is generated, the generation key is calculated from the user information and the user information is printed on the scratch medium.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009104820A JP5423123B2 (en) | 2009-04-23 | 2009-04-23 | User authentication system, method, scratch medium, and method of manufacturing scratch medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009104820A JP5423123B2 (en) | 2009-04-23 | 2009-04-23 | User authentication system, method, scratch medium, and method of manufacturing scratch medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010257101A true JP2010257101A (en) | 2010-11-11 |
JP5423123B2 JP5423123B2 (en) | 2014-02-19 |
Family
ID=43317955
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009104820A Expired - Fee Related JP5423123B2 (en) | 2009-04-23 | 2009-04-23 | User authentication system, method, scratch medium, and method of manufacturing scratch medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5423123B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
NL2010107C2 (en) * | 2013-01-10 | 2014-07-15 | Medisecurecards Nederland B V | METHOD AND SYSTEM FOR ANY MEDICAL DATA QUICKLY ANYWHERE IN THE WORLD. |
JP2014164578A (en) * | 2013-02-26 | 2014-09-08 | Oki Electric Ind Co Ltd | Information processing device and program |
JP2016534459A (en) * | 2013-08-30 | 2016-11-04 | ジエマルト・エス・アー | How to authenticate a transaction |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102014216014A1 (en) | 2014-08-13 | 2016-02-18 | Siemens Aktiengesellschaft | Power plant with emergency fuel system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001154921A (en) * | 1999-11-30 | 2001-06-08 | Toppan Forms Co Ltd | System and method for providing data |
JP2002163583A (en) * | 2000-11-22 | 2002-06-07 | Ntt Data Corp | E-commerce method, center, and prepaid card |
JP2006301684A (en) * | 2005-04-15 | 2006-11-02 | Hitachi Advanced Digital Inc | Individual identification system |
JP2007503646A (en) * | 2003-08-27 | 2007-02-22 | アラジン ノゥリッジ システムズ リミテッド | Security token |
-
2009
- 2009-04-23 JP JP2009104820A patent/JP5423123B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001154921A (en) * | 1999-11-30 | 2001-06-08 | Toppan Forms Co Ltd | System and method for providing data |
JP2002163583A (en) * | 2000-11-22 | 2002-06-07 | Ntt Data Corp | E-commerce method, center, and prepaid card |
JP2007503646A (en) * | 2003-08-27 | 2007-02-22 | アラジン ノゥリッジ システムズ リミテッド | Security token |
JP2006301684A (en) * | 2005-04-15 | 2006-11-02 | Hitachi Advanced Digital Inc | Individual identification system |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
NL2010107C2 (en) * | 2013-01-10 | 2014-07-15 | Medisecurecards Nederland B V | METHOD AND SYSTEM FOR ANY MEDICAL DATA QUICKLY ANYWHERE IN THE WORLD. |
JP2014164578A (en) * | 2013-02-26 | 2014-09-08 | Oki Electric Ind Co Ltd | Information processing device and program |
JP2016534459A (en) * | 2013-08-30 | 2016-11-04 | ジエマルト・エス・アー | How to authenticate a transaction |
US10579987B2 (en) | 2013-08-30 | 2020-03-03 | Thales Dis France Sa | Method for authenticating transactions |
Also Published As
Publication number | Publication date |
---|---|
JP5423123B2 (en) | 2014-02-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3743838B1 (en) | Generating and managing decentralized identifiers | |
US20220239499A1 (en) | System and method for high trust cloud digital signing | |
Garfinkel et al. | Usable security: History, themes, and challenges | |
TWI526037B (en) | Method and system for abstrcted and randomized one-time use passwords for transactional authentication | |
Idrus et al. | A review on authentication methods | |
US10848304B2 (en) | Public-private key pair protected password manager | |
TWI510954B (en) | A method and a device for generating a secret value | |
WO2015153892A1 (en) | Method and system for secure authentication | |
JP2009009293A (en) | Biometric identification system | |
AU2004282865B2 (en) | Authentication system | |
EP3213185A1 (en) | Computer security system and method to protect against keystroke logging | |
JP2010086435A (en) | Information processing method and computer | |
JP2008176383A (en) | Method for creating one-time password, method for authenticating one-time password, one-time password creation apparatus, ic card with function to create one-time password, one-time password authentication apparatus, ic card program, and computer program | |
CN115485682A (en) | Derived child verifiable certificates with selective claims | |
JP5423123B2 (en) | User authentication system, method, scratch medium, and method of manufacturing scratch medium | |
Szydlowski et al. | Secure input for web applications | |
CN117397205A (en) | Booting trust for a decentralised identifier | |
JP2007272600A (en) | Personal authentication method, system and program associated with environment authentication | |
Nath et al. | Issues and challenges in two factor authentication algorithms | |
AU2011100338A4 (en) | Method and /or device for managing authentication data | |
JP2011154538A (en) | Authentication device and authentication method | |
CN115461746A (en) | Verifiable credentials with dynamic claims | |
JP2007065789A (en) | Authentication system and method | |
JP2007280039A (en) | User authentication system and method | |
JP7359917B2 (en) | Information processing server, information processing system, determination device, and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120216 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130306 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130312 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130508 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20130823 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131029 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131111 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5423123 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |