JP2013218488A - Password authentication system and method without identifier (id) and only with one-time password - Google Patents

Password authentication system and method without identifier (id) and only with one-time password Download PDF

Info

Publication number
JP2013218488A
JP2013218488A JP2012087778A JP2012087778A JP2013218488A JP 2013218488 A JP2013218488 A JP 2013218488A JP 2012087778 A JP2012087778 A JP 2012087778A JP 2012087778 A JP2012087778 A JP 2012087778A JP 2013218488 A JP2013218488 A JP 2013218488A
Authority
JP
Japan
Prior art keywords
authenticated
time password
authentication
password
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012087778A
Other languages
Japanese (ja)
Other versions
JP5996912B2 (en
Inventor
Akimichi Kume
明倫 久米
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to JP2012087778A priority Critical patent/JP5996912B2/en
Publication of JP2013218488A publication Critical patent/JP2013218488A/en
Application granted granted Critical
Publication of JP5996912B2 publication Critical patent/JP5996912B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a password authentication system and method without an identifier (ID) of an authenticated person and only with a one-time password.SOLUTION: Data (value) of all authenticated person side devices 100 which are respectively different data and in which identifiers (ID) 113 of the authenticated person side devices 100 to be data (value) different for each authenticated person side device 100, data (value) in which a date, time, or both are made digitization, and an authentication frequency 114 of the authenticated person side device 100 as needed are combined with one another, or the value of a function obtained by inputting the data (value) into a function 115 corresponding one-to-one, shared by the all authenticated person side devices 100 and authenticator side devices 300, is used as a one-time password 112.

Description

本発明は、識別子(ID)を使用しないでワンタイム・パスワードのみを用いて行うパスワード認証システムおよび方法に関する。   The present invention relates to a password authentication system and method that uses only a one-time password without using an identifier (ID).

被認証者と認証者との間における認証では、一般に、被認証者の識別子(ID)とパスワードの両者を併用して認証成立の決定がなされている。その識別子(ID)とパスワードを併用した認証に当たっては、キーロガー、スキミング、フィッシング等で第3者がパスワードを不正に取得して悪用することによる被害が生じている。
上記のパスワード不正使用に対する防止策として、一度の認証ごとにパスワードを変更するワンタイム・パスワードが使用されており、その方式としてLamportが考案したS/Key方式(非特許文献1)や、RSA_SecurIDのトークンを使用した方式などが実用化されている。又、これら上記の方法の問題点を解決したパスワード認証システムと方法が申請・開示されている(特許文献1、2)。 In the authentication between the person to be authenticated and the authenticator, generally, the authentication establishment is determined by using both the identifier (ID) of the person to be authenticated and the password. In the authentication using the identifier (ID) and the password together, damage is caused by a third party illegally acquiring and misusing the password by key logger, skimming, phishing, or the like.
As a preventive measure against the unauthorized use of the password, a one-time password that changes the password for each authentication is used, and the S / Key method (Non-Patent Document 1) devised by Lamport or RSA_SecurID A method using tokens has been put into practical use. Also, a password authentication system and method that solves the problems of the above methods have been applied and disclosed (Patent Documents 1 and 2).

特開2012−068930 パスワード認証システム及び方法、暗号化通信システム及び方法Password authentication system and method, encrypted communication system and method 特願2011−252771 パスワード認証システム及び方法、暗号化通信システム及び方法Japanese Patent Application No. 2011-252771 Password Authentication System and Method, Encrypted Communication System and Method

L.Lamport:Password authentication with insecure communication. Commun.ACM,24,11,pp.770−772;1981L. Lampport: Password authentication with insure communication. Commun. ACM, 24, 11, pp. 770-772; 1981

しかし従来のパスワード認証では、いずれも被認証者の識別子(ID)とパスワードの両者を併用して認証成立の決定がなされており、悪意のある第三者にとっては、被認証者の識別子(ID)が情報収集の手掛かりになる可能性があり、又被認証者にとっても、自分の固有の番号である識別子(ID)を、そのままでは勿論、たとえそれを暗号化したとしても、通信回線上に直接自分の識別子(ID)を流すことに抵抗感を持つ場合も考えられる。   However, in the conventional password authentication, the authentication establishment is determined by using both the identifier (ID) of the person to be authenticated and the password, and for the malicious third party, the identifier (ID of the person to be authenticated) is determined. ) May be a clue to collecting information, and for the person to be authenticated, the identifier (ID), which is his own unique number, is not changed as it is. There may be a case where there is a sense of resistance to directly flowing its own identifier (ID).

本発明はこのような点に鑑みてなされたものであり、被認証者の識別子(ID)を併用しないで、毎回異なるパスワードである、ワンタイム・パスワードのみを使用してパスワード認証を行うシステムと方法を提供するものである。   The present invention has been made in view of the above points, and a system for performing password authentication using only a one-time password, which is a different password each time, without using an identifier (ID) of the person to be authenticated. A method is provided.

更に、被認証者にとっては、自身の識別子(ID)を併用しないでワンタイム・パスワードのみを使用して行う認証では、認証者が本当に間違いなく正しく自分を認証しているのかどうか不安になることも考えられ、その問題を解決するための認証者の正しい正確な認証を被認証者が確認するシステムと方法をも提供するものである。   Furthermore, for the person to be authenticated, authentication using only a one-time password without using his / her own identifier (ID) may cause anxiety that the authenticator is authentically authenticating himself / herself. It is also possible to provide a system and method for a person to be authenticated to confirm correct and accurate authentication of a certifier to solve the problem.

前記課題を解決するために、請求項1の本発明では、全ての被認証者側装置ごとに異なるデータ(値)として割り当てられた被認証者側装置の識別子(ID)と、日付、時刻、又は日付と時刻の両者、又は年月日と時刻の両者、を数値化したデータ(値)と、更に必要に応じてそれらに加えてカウント手段が示す自身の認証回数と、を適宜組み合わせて、全ての被認証者側装置で異なるデータ(値)を作成し、これをそのまま、あるいはこのデータ(値)を更に全ての被認証者側装置と認証者側装置とで共用する1対1対応の関数に入力して得た関数の値を、ワンタイム・パスワードとして使用する。こうすることで、常時に全ての被認証者側装置のそれぞれのワンタイム・パスワードが異なるデータ(値)になるように設定することが可能となる。   In order to solve the above-mentioned problem, in the present invention of claim 1, the identifier (ID) of the authenticated user side device assigned as different data (value) for every authenticated user side device, date, time, Or, combining both the date and time, or the data (value) in which both the date and time are digitized, and the number of times of authentication indicated by the counting means in addition to them as needed, A different data (value) is created in all the devices to be authenticated and can be used as it is, or this data (value) can be shared by all the devices to be authenticated and the devices on the authenticator. The value of the function obtained by entering the function is used as the one-time password. By doing so, it becomes possible to set the one-time passwords of all the devices to be authenticated to be different data (values) at all times.

請求項1の本発明は、被認証者側装置の識別子(ID)そのものを直接やりとりしないで認証を行うことを可能としたパスワード認証システムである。   The present invention of claim 1 is a password authentication system that enables authentication without directly exchanging the identifier (ID) of the device to be authenticated.

尚、請求項5の本発明は、請求項1のシステムで行う方法の発明である。   The present invention of claim 5 is an invention of a method performed by the system of claim 1.

しかし、認証が成立することと、認証者に本当に自分を正しく認証されていると被認証者が確信することと、は別問題であり、被認証者自身が認証者に本当に自分を正しく認証してもらっていることを確信できなければ次の手続きに進められない場合も多い。   However, the fact that authentication is successful and that the person to be authenticated is convinced that the certifier has authenticated himself / herself correctly are different problems. The person to be authenticated himself / herself authenticates himself / herself to the certifier correctly. In many cases, it is not possible to proceed to the next procedure unless you are convinced that you have it.

この問題を解決するために、請求項2の本発明では、被認証者側装置と認証者側装置の双方は予め同定用と確認用の二つのワンタイム・パスワードを作成し、まず、認証者側装置が同定用のワンタイム・パスワードで被認証者側装置を同定した後に、認証者側装置が当該被認証者側装置に確認用のワンタイム・パスワードを返送し、その確認用のワンタイム・パスワードを被認証者側装置が確認することで認証が成立することとした。こうすることで、請求項2の本発明は、認証者側装置が本当に正しく自分を認証していることを被認証者側装置が確認することを可能としたシステムである。   In order to solve this problem, in the present invention of claim 2, both the device to be authenticated and the device on the authenticator side create two one-time passwords for identification and confirmation in advance. After the side device identifies the device to be authenticated with the one-time password for identification, the device on the authenticator side returns the confirmation one-time password to the device to be authenticated and the one-time password for confirmation.・ Authentication is confirmed when the device to be authenticated confirms the password. By doing so, the present invention of claim 2 is a system that allows the authenticated person side apparatus to confirm that the authenticator side apparatus authenticates itself correctly.

尚、請求項6の本発明は、請求項2のシステムで行う方法の発明である。   The present invention of claim 6 is an invention of a method performed by the system of claim 2.

その他の問題としては、被認証者が悪意やいたずらで故意にランダムに入力した数値で、あるいは誤ってワンタイム・パスワードを誤入力した数値で、被認証者が別の被認証者として誤認証されてしまう問題がある。これに対しては、チェックデジット(検査数字)を使用すれば単なる入力ミスによる誤認証の多くを防ぐ効果があるが、それでも万能ではない。   Another problem is that the person to be authenticated is mis-authenticated as another person to be authenticated, either by a numerical value that the person to be authenticated has intentionally entered randomly because of malicious or mischief, or by mistakenly entering a one-time password. There is a problem. For this, using check digits (check digits) has the effect of preventing many false authentications due to mere input mistakes, but it is not universal.

この場合に悪意のない単なるミスによる誤入力が誤認証につながったのならば、認証者から返送された確認用のワンタイム・パスワードが被認証者自身が作成した確認用のワンタイム・パスワードと異なることから被認証者自身が自分の誤入力に気づくことで解決できるが、時に、ある被認証者が悪意やいたずらで故意にランダムな数字を入力してそのランダムな数字が偶然に別の被認証者の1人と一致することである認証者に誤認証された場合や、あるいは過失による誤入力がきっかけではあっても認証者の誤認証につけこんで途中から悪意をいだいた場合には、確認用のワンタイム・パスワードをそのまま受け入れさえすれば、誤入力した被認証者が別の被認証者として、あるいは第三者が被認証者の一人として、なりすましを行うことが可能になる。   In this case, if an incorrect input due to a simple mistake that is not malicious leads to false authentication, the confirmation one-time password returned from the certifier is the same as the confirmation one-time password created by the person to be authenticated. It can be solved by the person himself / herself noticing his / her wrong input because it is different, but sometimes a person to be authenticated intentionally enters a random number by malicious or mischief and the random number is accidentally changed to another person. If it is falsely authenticated by a certifier that matches one of the certifiers, or if the wrong input due to negligence is the cause of the misappropriation of the certifier, If you accept the one-time password for confirmation as it is, impersonate the wrong person as another person or third party as one person Possible to become.

この問題を解決するための方法の一つとして、請求項3の本発明では、被認証者側装置と認証者側装置の双方は予め同定用と確認用と再確認用の三つのワンタイム・パスワードを作成し、まず、同定用のワンタイム・パスワードで認証者側装置が被認証者側装置を同定した後に、認証者側装置が当該被認証者側装置に確認用のワンタイム・パスワードを返送して被認証者側装置は認証者側装置が正しく同定していることを確認し、更に、被認証者側装置は再確認用のワンタイム・パスワードを認証者側装置に再送信して、認証者側装置が、最初の同定用のワンタイム・パスワードによる被認証者側装置の同定が偶然なされたものでないことを再確認し、これで認証が成立することとした。   As one of the methods for solving this problem, in the present invention of claim 3, both of the authentication-subjected-side device and the authenticator-side device are preliminarily identified with three one-time operations for identification, confirmation, and reconfirmation. Create a password. First, after the certifier side device identifies the device to be authenticated with the one-time password for identification, the certifier side device gives the one-time password for confirmation to the device to be authenticated. The authenticated person side device confirms that the certifier side device is correctly identified, and the authenticated side device retransmits the one-time password for reconfirmation to the certifier side device. The certifier side apparatus reconfirms that the identification target person side apparatus is not accidentally identified by the first one-time password for identification, and the authentication is established.

もしも、最初の同定用のワンタイム・パスワードによる認証が被認証者が悪意やいたずらで故意にランダムに入力した数字や文字列を、あるいは誤ってワンタイム・パスワードを誤入力した数字や文字列を、別の被認証者の1人としての認証者による誤認証だった場合に、当該被認証者やいたずら者にとっては認証者の確認用のワンタイム・パスワードをそのまま受け入れるところまでことはかんたんだが、その、当該被認証者やいたずら者にとっては再確認用のワンタイム・パスワードを再送信することは不可能である。こうすることで、請求項3の本発明は、故意や偶然による誤認証の問題を解決ことを可能としたシステムである。   If the first one-time password for identification is used for authentication, the number or character string that the person to be authenticated has intentionally entered randomly and maliciously or mischiefly, or the number or character string that has been entered incorrectly by mistake. However, in the case of misidentification by a certifier as one of the other authenticated persons, it is easy for the authenticated person or mischief to accept the one-time password for confirmation of the certifier as it is, The one-time password for reconfirmation cannot be retransmitted for the person to be authenticated or the mischief. Accordingly, the present invention of claim 3 is a system that can solve the problem of erroneous authentication due to intention or accident.

尚、請求項7の本発明は、請求項3のシステムで行う方法の発明である。   The present invention of claim 7 is an invention of a method performed by the system of claim 3.

なりすましの問題を解決するためのもう一つの方法として、請求項4の本発明では、認証者が被認証者に確認用のワンタイム・パスワードを返送するときに、正しい正規の確認用のワンタイム・パスワードに加えて、更におとり用の偽のワンタイム・パスワードを含めた、複数のデータ(値)を返送して、その中から被認証者が正しい正規の確認用のワンタイム・パスワードを選ぶことで、認証者は被認証者が正規の確認用のワンタイム・パスワードを知っていることを再確認することができる。こうすることで、請求項4の本発明は、被認証者が認証者の誤認証につけこんで途中から悪意をいだいてなりすましを行うことを高い確率で防止することを可能としたシステムである。   As another method for solving the problem of impersonation, in the present invention of claim 4, when the authenticator returns the verification one-time password to the person to be authenticated, the correct one-time for verification -In addition to the password, a plurality of data (values) including a fake one-time password for decoy are returned and the one to be authenticated selects the correct one-time password for confirmation. Thus, the certifier can reconfirm that the person to be authenticated knows the one-time password for regular confirmation. By doing so, the present invention of claim 4 is a system that can prevent the person to be authenticated from impersonating the certifier and spoofing from the middle and impersonating with high probability.

尚、請求項8の本発明は、請求項4のシステムで行う方法の発明である。   The present invention of claim 8 is an invention of a method performed by the system of claim 4.

尚、請求項1乃至請求項8の本発明において、1対1対応の関数は十進法の四則計算を用いても良いし、その他のどのような関数を使用してもよい。   In the present invention according to claims 1 to 8, the one-to-one correspondence function may use decimal arithmetic four arithmetic calculations, or any other function.

又、一般に共通鍵方式の暗号方式では、暗号鍵が一定に固定され、元のデータ(平文)のデータ量が1ブロック以内のデータ量であれば、元のデータ(平文)の集合と暗号化したデータ(暗号文)の集合との間に1対1対応が保障されており、これをこの場合の1対1対応の関数として使用することも可能である。   In general, in the common key encryption method, if the encryption key is fixed and the data amount of the original data (plain text) is within one block, the original data (plain text) set and encryption are performed. A one-to-one correspondence with a set of data (ciphertext) is guaranteed, and this can be used as a one-to-one correspondence function in this case.

請求項1および請求項5の本発明によれば、悪意ある盗聴者にとっては情報収集の手がかりになりうる被認証者の識別子(ID)そのものを直接やりとりしないで認証を行うことを可能としたパスワード認証システムや方法を提供することができる。   According to the first and fifth aspects of the present invention, a password that enables a malicious eavesdropper to perform authentication without directly exchanging an identifier (ID) of the person to be authenticated that can be a clue to collecting information. Authentication systems and methods can be provided.

請求項2および請求項6の本発明によれば、請求項1および請求項5の本発明によって被認証者の識別子(ID)そのものを直接やりとりしないで認証をう場合にも、被認証者が認証者に本当に正しく自分を認証してもらっていることを確認することができるパスワード認証システムや方法を提供することができる。   According to the present invention of claim 2 and claim 6, even when authentication is performed without directly exchanging the identifier (ID) itself of the person to be authenticated according to the present invention of claim 1 and claim 5, It is possible to provide a password authentication system and method capable of confirming that a certifier authenticates himself / herself correctly.

請求項3、請求項4、請求項7、および請求項8の本発明によれば、請求項1および請求項5の本発明によって被認証者の識別子(ID)そのものを直接やりとりしないで認証を行う場合にも、被認証者が認証者に本当に正しく自分を認証してもらっていることを確認することができのみならず、時に、被認証者の過失あるいは第三者の故意の入力の結果、認証者が被認証者を別の被認証者と誤認証することが偶然起こったとしても、そのまま認証を成立させてなりすましを行うことをも予防することができるパスワード認証システムや方法を提供することができる。   According to the present invention of claim 3, claim 4, claim 7, and claim 8, authentication according to the present invention of claim 1 and claim 5 is performed without directly exchanging the identifier (ID) of the person to be authenticated. In doing so, not only can the certifier authenticate himself / herself correctly, but sometimes the result of the certifier's negligence or third party's deliberate input, To provide a password authentication system and method capable of preventing a certifier from impersonating another person who is to be authenticated accidentally and impersonating the authentication as it is. it can.

尚、ここでは「識別子(ID)を直接やりとりしない」とは、「識別子(ID)をそのまま平文のままでやりとりしないで暗号化した暗号文などの加工したデータにしてやりとりする」という意味ではなく、ワンタイム・パスワードそのものなかに、識別子(ID)そのものの情報も加工して組み込んでそれをワンタイムで変化させてやりとりすると言う意味である。   Here, “not directly exchanging identifiers (IDs)” does not mean that “identifiers (IDs) are exchanged as processed data such as encrypted ciphertexts without exchanging plaintexts as they are”. This means that the information of the identifier (ID) itself is also processed and incorporated in the one-time password itself and exchanged by changing it in one time.

請求項3に記載のパスワード認証システムの構成例を模式的に表すブロック図である。It is a block diagram which represents typically the structural example of the password authentication system of Claim 3. 請求項3に記載の被認証者側装置と認証者側装置における処理課程を示すフローチャートである。It is a flowchart which shows the process in a to-be-authenticated person side apparatus and certifier side apparatus of Claim 3. 実施の形態2における各被認証者のワンタイム・パスワードを示した表である。10 is a table showing one-time passwords of each person to be authenticated in the second embodiment. 実施の形態3における各被認証者の同定用のワンタイム・パスワードを示した表である。14 is a table showing one-time passwords for identifying each person to be authenticated in the third embodiment. 実施の形態3における各被認証者の確認用のワンタイム・パスワードを示した表である。10 is a table showing one-time passwords for confirmation of each person to be authenticated in the third embodiment. 実施の形態2における各被認証者のワンタイム・パスワードの入力方法の変更例を示した表である。10 is a table showing a modification example of the one-time password input method for each person to be authenticated in the second embodiment. 実施の形態3における各被認証者の同定用のワンタイム・パスワードの入力方法の変更例を示した表である。10 is a table showing an example of changing a method for inputting a one-time password for identifying each person to be authenticated in the third embodiment.

[実施の形態1]
実施の形態1は、請求項3に記載の、被認証者側装置と認証者側装置とからなるパスワード認証システムであって、図1と図2を参照しながら説明する。
本実施例では、被認証者は世界中に展開するある大企業の幹部9000人で、認証者は当該大企業本社のデータベースであると仮定する。全ての被認証者には1人あたり1台の被認証者側装置を割り当てられ、認証者のデータベースには認証者側装置が接続されている。全ての被認証者側装置と認証者側装置はインターネットに接続されている。本実施例では被認証者側装置が認証者側装置に接続する時に本発明のパスワード認証システムを使用することとする。 [Embodiment 1]
The first embodiment is a password authentication system according to a third aspect, which comprises a device to be authenticated and a device on the authenticator side, and will be described with reference to FIGS.
In the present embodiment, it is assumed that the person to be authenticated is 9000 executives of a large company deployed all over the world, and the certifier is a database of the large company headquarters. One person-to-be-authenticated apparatus is assigned to every person to be authenticated, and the apparatus on the certifier side is connected to the database of certifiers. All devices to be authenticated and certifier devices are connected to the Internet. In the present embodiment, the password authentication system of the present invention is used when the device to be authenticated is connected to the device on the authenticator side.

まず、図1には本パスワード認証システムの構成例を模式的にブロック図で表す。本パスワード認証システムは、通信網200(ここではインターネット)を介して相互に通信可能に接続されている被認証者側装置100と認証者側装置300とからなる。本実施例では、被認証者側装置100には、携帯端末装置として、セキュリティ・トークンや携帯型コンピュータや携帯電話などが該当し、認証者側装置300には、サーバやコンピュータなどが該当する。   First, FIG. 1 schematically shows a configuration example of the password authentication system in a block diagram. This password authentication system includes an authenticator side device 100 and an authenticator side device 300 that are communicably connected to each other via a communication network 200 (here, the Internet). In the present embodiment, the device 100 to be authenticated corresponds to a security token, a portable computer, a mobile phone, or the like as a mobile terminal device, and the server or computer corresponds to the device certifier 300.

被認証者側装置100と認証者側装置300の双方は、共に記憶部110、310とデータ処理手段120、320とから構成される。   Both the authenticator side device 100 and the authenticator side device 300 are configured by storage units 110 and 310 and data processing means 120 and 320.

双方の記憶部110、310は、例えば主記憶装置、ハードディスク装置、フラッシュメモリ等のように記憶可能な装置や媒体が該当する。   Both storage units 110 and 310 correspond to devices and media that can be stored, such as a main storage device, a hard disk device, and a flash memory.

被認証者側装置100の記憶部110は、自身のワンタイム・パスワード112と、自身の識別子(ID)113と、自身の認証回数114と、全ての被認証者側装置100と認証者側装置300とで共用する1対1対応の関数115と、各種処理のプロトコール116と、各種処理に必要な各種パラメータ117と、を記憶する。   The storage unit 110 of the person-to-be-authenticated apparatus 100 includes its own one-time password 112, its own identifier (ID) 113, its own number of authentications 114, all of the person-to-be-authenticated apparatuses 100 and the person who is authenticated. A one-to-one correspondence function 115 shared by 300, a protocol 116 for various processes, and various parameters 117 necessary for various processes are stored.

認証者側装置300の記憶部310は、全ての被認証者側装置100のそれぞれに対応するワンタイム・パスワード112の一覧であるワンタイム・パスワード・テーブル312と、全ての被認証者側装置100に予め割り当てた前記識別子(ID)113の一覧である識別子(ID)・テーブル313と、各々の被認証者側装置100ごとの認証回数114の一覧である認証回数・テーブル314と、全ての被認証者側装置100と認証者側装置300とで共用する1対1対応の関数315と、各種処理のプロトコール316と、各種処理に必要な各種パラメータ317と、を記憶する。   The storage unit 310 of the authenticator side device 300 includes a one-time password table 312 that is a list of the one-time passwords 112 corresponding to each of all the authentication-subjected user-side devices 100, and all the authenticated-user-side devices 100. An identifier (ID) table 313 that is a list of the identifiers (ID) 113 assigned in advance to an authentication number, a table 314 of authentication counts that is a list of the number of authentications 114 for each authentication-subjected user side device 100, A one-to-one correspondence function 315 shared by the authenticator side device 100 and the authenticator side device 300, various processing protocols 316, and various parameters 317 necessary for various processing are stored.

双方のデータ処理手段120、320は、共に、ワンタイム・パスワード作成手段122、322とカレンダ時計手段123、323とカウント手段124、324と認証決定手段128、328と通信手段129、329とから構成される。   Both data processing means 120 and 320 are composed of one-time password creating means 122 and 322, calendar clock means 123 and 323, counting means 124 and 324, authentication determining means 128 and 328, and communication means 129 and 329. Is done.

被認証者側装置100のワンタイム・パスワード作成手段122は、自身の識別子(ID)113と、カレンダ時計手段123が示す認証当日の年月日を数値化したデータ(値)と、カウント手段124が示す認証当日の認証回数114と、を組み合わせて、全ての被認証者側装置100それぞれで異なる値であるデータ(値)を三つ作成してその三つのデータ(値)を更に全ての被認証者側装置100と認証者側装置300とで共用する1対1対応の関数115に入力して得た関数の値を、同定用と確認用と再確認用の三つのワンタイム・パスワード112として作成して自身の記憶部110に記憶した過去のワンタイム・パスワード112を更新する。   The one-time password creating means 122 of the person-to-be-authenticated apparatus 100 includes its own identifier (ID) 113, data (value) obtained by digitizing the date of authentication indicated by the calendar clock means 123, and counting means 124. Is combined with the number of times of authentication 114 shown on the authentication day, and three pieces of data (values) having different values are created for all of the devices 100 to be authenticated, and the three pieces of data (values) are further added to all of the pieces of received data. Three one-time passwords 112 for identification, confirmation, and reconfirmation are obtained by inputting the value of the function obtained by inputting into the one-to-one correspondence function 115 shared by the authenticator side device 100 and the authenticator side device 300. The past one-time password 112 created and stored in its own storage unit 110 is updated.

認証者側装置300のワンタイム・パスワード作成手段322は、識別子(ID)・テーブル313と、カレンダ時計手段323が示す認証当日の年月日を数値化したデータ(値)と、認証回数・テーブル314と、を使用して、各々の被認証者装置100のワンタイム・パスワード作成手段122とそれぞれ同一の方法で、当該被認証者側装置100に対応する同定用と確認用と再確認用の三つずつのワンタイム・パスワードを作成し、更に同様にして全ての被認証者側装置のそれぞれに対応する同定用と確認用と再確認用の三つずつのワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブル312を作成して自身の記憶部310に記憶した過去のワンタイム・パスワード・テーブル312を更新する。   The one-time password creating means 322 of the authenticator side device 300 includes an identifier (ID) table 313, data (value) obtained by digitizing the date of authentication indicated by the calendar clock means 323, and the number of authentication times / table. 314 for identification, confirmation, and reconfirmation corresponding to the authenticated user side device 100 in the same manner as the one-time password creating means 122 of each authenticated user device 100. A list of three one-time passwords for identification, confirmation, and reconfirmation corresponding to each of all devices to be authenticated is created in the same manner by creating three one-time passwords. The one-time password table 312 is created and the past one-time password table 312 stored in the storage unit 310 is updated.

ここでは全ての被認証者側装置100と認証者側装置300とで共用する1対1対応の関数115、315として、知られた暗号方式であるアメリカ合衆国の国家新標準暗号規格で、1ブロックが128ビットのブロック暗号方式であるAES(Advanced Encryption Standard)を使用する。又、この本実施例のシステムではAES暗号の鍵はこのシステム全体で一つの任意の値に固定することとすると、1ブロックが128ビットのブロック暗号方式であるAESでは128ビット以下のデータ量の平文を暗号化して128ビットの暗号文を作成した場合、平文と暗号文は1対1に対応する。従って、数字やアルファベットの1文字は8ビットのデータ量で指定することができるため、16文字(=128ビット)以下の数の数字やアルファベットによるデータの平文をAESで暗号化して128ビットの暗号文を作成した場合、平文と暗号文は1対1に対応する。   Here, as one-to-one correspondence functions 115 and 315 that are shared by all the authenticated-substance apparatus 100 and the authenticator-side apparatus 300, one block is the national new standard encryption standard of the United States that is a known encryption method. AES (Advanced Encryption Standard), which is a 128-bit block encryption method, is used. In the system of this embodiment, if the AES encryption key is fixed to one arbitrary value in the entire system, the data amount of 128 bits or less is required in AES in which one block is a 128-bit block encryption method. When a plaintext is encrypted to create a 128-bit ciphertext, the plaintext and the ciphertext have a one-to-one correspondence. Therefore, since one number or alphabet can be specified with a data amount of 8 bits, plain text of numbers or alphabets with numbers of 16 characters or less (= 128 bits) is encrypted with AES, and 128 bits encryption is performed. When the text is created, the plain text and the cipher text have a one-to-one correspondence.

又、ここではAESを使用した暗号文の表記法として、平文であるPをAESを使用して暗号化した暗号文をAES[P]と表記することとする。   Here, as a ciphertext notation method using AES, a ciphertext obtained by encrypting P, which is a plaintext, using AES is denoted as AES [P].

本実施例では、識別子(ID)113としては、9000人の幹部にランダムに8桁の数字か大文字か小文字のアルファベットによる識別子(ID)113が重複しないように割り当てられており、幹部は互いに各々の識別子(ID)113を知らないで、9000人の幹部のそれぞれの識別子(ID)113は被認証者である幹部本人と本社のデータベースのみが知っていることとする。又、本実施例での1日の認証回数の上限を33回に制限することとする。   In this embodiment, the identifier (ID) 113 is randomly assigned to 9000 executives so that the identifier (ID) 113 of 8 digits or uppercase or lowercase alphabets is not duplicated. It is assumed that the identifier (ID) 113 of each of the 9000 executives is known only by the executive who is the person to be authenticated and the database of the head office. Further, the upper limit of the number of authentications per day in this embodiment is limited to 33 times.

本実施例での被認証者側装置100のワンタイム・パスワード作成手段122でのワンタイム・パスワード122の作成方法としては、識別子(ID)113としてabcdefghが割り当てられた被認証者側装置100の西暦20ij年kl月mn日における第op回めの認証に用いるワンタイム・パスワード112の元になる「全ての被認証者ごとに異なるデータ(値)」を「abcdefghijklmnop」と取り決めて、更に、このデータ(値)を平文としてこの平文を1対1対応の関数115であるAESを用いて暗号化した暗号文であるデータ(値)であるAES[abcdefghijklmnop]をワンタイム・パスワード112とすると取り決める。ただし、ここで「a、b、c、d、e、f、g、h」はそれぞれ1桁の数字又は大文字か小文字のアルファベットで、「i、j、k、l、m、n、o、p」はそれぞれ1桁の数字で、「a、b、c、d、e、f、g、h、i、j、k、l、m、n、o、p」は全てそれぞれ8ビットのデータとする。   As a method for creating the one-time password 122 in the one-time password creating means 122 of the person-to-be-authenticated apparatus 100 in this embodiment, the person-to-be-authenticated apparatus 100 to which abcdefgh is assigned as the identifier (ID) 113 is used. “Abcdefghijklmnop” is determined as “abcdefghijklmnop”, which is the source of the one-time password 112 used for the first-time authentication on the 20th day of the year 20ij kl month mn. It is assumed that data (value) is plaintext and AES [abcdefghijklmnop], which is data (value) that is a ciphertext obtained by encrypting the plaintext using AES which is a one-to-one correspondence function 115, is a one-time password 112. Here, “a, b, c, d, e, f, g, h” are each a single digit number or an uppercase or lowercase alphabet, and “i, j, k, l, m, n, o, “p” is a single digit number, and “a, b, c, d, e, f, g, h, i, j, k, l, m, n, o, p” are all 8-bit data. And

一方、認証者側装置300では各々の被認証者側装置100のそれぞれのワンタイム・パスワード作成手段122がワンタイム・パスワード112を作成するのと同一の方法で、当該被認証者側装置100のそれぞれに対応するワンタイム・パスワードを作成して、全ての被認証者側装置に対応するワンタイム・パスワードの一覧をワンタイム・パスワード・テーブル312として作成する。   On the other hand, in the authenticator side device 300, the one-time password creating means 122 of each authenticated-user side device 100 creates the one-time password 112 in the same manner as that of the authenticated-user side device 100. A one-time password corresponding to each is created, and a list of one-time passwords corresponding to all devices to be authenticated is created as a one-time password table 312.

ここでは上述のように本実施例での一日の認証回数の上限を33回と取り決め、「全ての被認証者ごとに異なるデータ(値)」を作成する元になる認証回数114としては、同定用のワンタイム・パスワードの認証回数114は実際の認証当日の認証回数を2桁の数値で示したものを、確認用のワンタイム・パスワードの認証回数114には実際の認証当日の認証回数に33を加算した2桁の数値を、再確認用のワンタイム・パスワードの認証回数114には実際の認証当日の認証回数に66を加算した2桁の数値を、それぞれ使用するとする。すると、例えば識別子(ID)111として4k5LM37pが割り当てられた被認証者側装置の2012年2月4日の26回めの認証の際の、同定用のワンタイム・パスワードはAES[4k5LM37p12020426]、確認用のワンタイム・パスワードはAES[4k5LM37p12020459]、再確認用のワンタイム・パスワードはAES[4k5LM37p12020492]で表されるそれぞれ2進法128ビット(16バイト)のデータ(値)になる。   Here, as described above, the upper limit of the number of authentications per day in this embodiment is determined as 33 times, and the number of authentications 114 from which “different data (values) for every person to be authenticated” is created is as follows: The identification number 114 of the identification one-time password indicates the actual number of authentications on the day of authentication as a two-digit number. The number of authentications 114 of the confirmation one-time password indicates the actual number of authentications on the day of authentication. It is assumed that a two-digit numerical value obtained by adding 33 to the number of authentications 114 of the one-time password for reconfirmation and a two-digit numerical value obtained by adding 66 to the actual number of authentications on the authentication day are used. Then, for example, the one-time password for identification at the 26th authentication on February 4, 2012 of the authentication-subjected device assigned 4k5LM37p as the identifier (ID) 111 is AES [4k5LM37p12020426], confirmation The one-time password for data is AES [4k5LM37p12020459], and the one-time password for reconfirmation is data (value) of binary 128 bits (16 bytes) represented by AES [4k5LM37p12020492].

上述のように構成されたパスワード認証システムにおいて実行される手続き例について図2を参照しながら説明する。図2の左側には被認証者側装置の手続き例を表し、右側には認証者側装置の手続きを表す。尚、これは2012年2月4日に行われた26回めの認証手続き例であるとする。   An example of a procedure executed in the password authentication system configured as described above will be described with reference to FIG. The left side of FIG. 2 shows an example of the procedure of the device to be authenticated, and the right side shows the procedure of the device of the authenticator. It is assumed that this is an example of the 26th authentication procedure performed on February 4, 2012.

まず、被認証者側装置が認証者側装置に接続要求信号を送信する[ステップS11]、本実施例では、例えば、インターネットのホームページの接続ボタンをクリックすることなどを行うこととする。
認証者側装置は被認証者側装置から接続要求信号を受信すると[ステップS31]、当該被認証者側装置に対して同定用のワンタイム・パスワードの送信を要求する[ステップS32]。
被認証者側装置は認証者側装置から同定用のワンタイム・パスワードの送信を要求されると[ステップS12]、自身の記憶部に記憶した同定用のワンタイム・パスワードとしてAES[4k5LM37p12020426]を認証者側装置に送信する[ステップS13]。
認証者側装置は被認証者側装置から同定用のワンタイム・パスワードとしてAES[4k5LM37p12020426]を受信すると[ステップS33]、認証決定手段では、この受信したデータ(値)を自身の記憶部のワンタイム・パスワード・テーブルに照会して、両者が一致する同定用のワンタイム・パスワードを有する被認証者側装置を、認証を依頼した、識別子(ID)が4k5LM37pの被認証者側装置である、と同定し[ステップS34]、当該被認証者側装置に対してワンタイム・パスワード・テーブルとして記憶された当該被認証者側装置100に対応する確認用のワンタイム・パスワードとしてAES[4k5LM37p12020459]を送信する[ステップS35]。
被認証者側装置は認証者側装置から確認用のワンタイム・パスワードとしてAES[4k5LM37p12020459]を受信すると[ステップS15]、認証決定手段では、この受信したデータ(値)を自身の記憶部に記憶した確認用のワンタイム・パスワードと比較して、両者が一致したことで、認証者側装置が正しく被認証者側装置を同定したことを確認し[ステップS16]、自身の記憶部に記憶した再確認用のワンタイム・パスワードとしてAES[4k5LM37p12020492]を認証者側装置に送信する[ステップS17]。
認証者側装置は被認証者側装置から再確認用のワンタイム・パスワードとしてAES[4k5LM37p12020492]を受信すると[ステップS37]、認証決定手段では、この受信したデータ(値)を自身の記憶部のワンタイム・パスワード・テーブルに照会して、両者が一致する再確認用のワンタイム・パスワードを有する被認証者側装置を、識別子(ID)が4k5LM37pの被認証者側装置であることを再確認し[ステップS38]、これにより、最初の認証が故意や偶然による誤認証でなかったことが確定し、以上で認証が成立する。 First, the person-to-be-authenticated apparatus transmits a connection request signal to the apparatus to be authenticated (step S11). In this embodiment, for example, a connection button on an Internet homepage is clicked.
When the authenticator side apparatus receives the connection request signal from the authenticated person side apparatus [step S31], the authenticator side apparatus requests the authenticated person side apparatus to transmit an identification one-time password [step S32].
When the authenticator side device is requested by the authenticator side device to transmit an identification one-time password [step S12], AES [4k5LM37p12020426] is used as the identification one-time password stored in its storage unit. Transmit to the authenticator side device [step S13].
When the authenticator side apparatus receives AES [4k5LM37p12020426] as a one-time password for identification from the authenticated person side apparatus [step S33], the authentication determining means uses the received data (value) as one of its own storage unit. An authenticated person side device that has an identification (ID) of 4k5LM37p that requested the authentication of an authenticated person side device that has a one-time password for identification that matches the time password table. [Step S34], and AES [4k5LM37p12020459] as a one-time password for confirmation corresponding to the authenticated user side device 100 stored as a one time password table for the authenticated user side device. Transmit [step S35].
When the device to be authenticated receives AES [4k5LM37p12020459] as a one-time password for confirmation from the device on the authenticator side [step S15], the authentication determining unit stores the received data (value) in its own storage unit. Compared with the confirmation one-time password, it is confirmed that the two devices match each other, so that the authenticator side device correctly identifies the device to be authenticated [step S16], and is stored in its own storage unit. AES [4k5LM37p12020492] is transmitted to the authenticator side device as a one-time password for reconfirmation [step S17].
When the authenticator side apparatus receives AES [4k5LM37p12020492] as a one-time password for reconfirmation from the authenticated person side apparatus [step S37], the authentication determining means stores the received data (value) in its own storage unit. Refer to the one-time password table and re-confirm that the device to be authenticated has the same one-time password for reconfirmation that the two match, and that the device to be authenticated has the identifier (ID) 4k5LM37p. [Step S38] Thus, it is determined that the initial authentication was not a false authentication due to intention or accident, and the authentication is completed.

本システムの安全性の程度はAESの安全性に依存しており、それはすなわち現時点では十分な安全性を備えていると考えられる。しかし、本システムではAESの鍵は、同一時期では全ての被認証者装置100と認証者装置300で同一にする必要があり、その結果は、すなわち被認証者装置100の1つに不法に侵入されてAESの鍵を解析されてしまえば全ての本システムの安全性が損なわれてしまうという本システムの弱点となる。
これに対しては、本実施例のような状況であれば、信頼できる社員が定期的にAESの鍵を持ち運ぶことも可能で、頻繁にAESの鍵を変更すれば十分な安全性の確保可能であると思われる。 The degree of safety of the present system depends on the safety of AES, which is considered to be sufficiently safe at present. However, in this system, the AES key needs to be the same for all authenticated user devices 100 and authenticated user devices 300 at the same time, and the result is that one of the authenticated user devices 100 illegally enters. If the AES key is analyzed, the security of all the systems is compromised.
On the other hand, in the situation as in the present embodiment, it is possible for a reliable employee to carry the AES key regularly and to ensure sufficient safety by frequently changing the AES key. It seems to be.

[実施の形態2]
実施の形態2は、請求項5に記載のパスワード認証方法の実施例で、図3を参照しながら説明する。
本実施例では、被認証者は6人の会社員で、毎日会社に出社して特別管理区域に入るときに特別管理区域の専用扉でセキュリティチェックを受ける。本実施例では、この特別管理区域の専用扉が認証者に相当する。この認証に際して今回請求項5で発明したワンタイム・パスワードを使用することとする。いま、6人の会社員の氏名を、それぞれ、A、B、C、D、E、Fとし、それぞれの会社員の固有の社員番号(ID=識別子)を、それぞれ、2、3、5、6、8、9とする。
本実施例ではそれぞれの会社員は出社日の日付の数値に自分の固有の社員番号(ID=識別子)の数値を加算した数値の1桁めの数字をその日のワンタイム・パスワードとすると取り決めをする。すると、図3に示したように、X年Y月1日のA、B、C、D、E、Fそれぞれのワンタイム・パスワードはそれぞれ3、4、6、7、9、0で、X年Y月2日のA、B、C、D、E、Fそれぞれのワンタイム・パスワードはそれぞれ4、5、7、8、0、1で、以下同様に、X年Y月5日のA、B、C、D、E、Fそれぞれのワンタイム・パスワードはそれぞれ7、8、0、1、3、4となる。
会社のデータベースにはそれぞれの会社員の固有の社員番号(ID=識別子)とパスワード作成方法が記憶されており、それを用いてこの特別管理区域の専用扉は被認証者である6人の会社員のそれぞれを認証することができる。 [Embodiment 2]
The second embodiment is an example of the password authentication method according to claim 5 and will be described with reference to FIG.
In this embodiment, the person to be authenticated is six office workers who go to the company every day and enter the special management area and undergo a security check at a special door in the special management area. In this embodiment, the dedicated door in this special management area corresponds to the certifier. In this authentication, the one-time password invented in claim 5 is used. Now, the names of the six office workers are A, B, C, D, E, and F, and the unique employee numbers (ID = identifiers) of the respective office workers are 2, 3, 5, 6, 8, and 9.
In this embodiment, each office worker decides that the first digit of the number obtained by adding the number of his / her unique employee number (ID = identifier) to the number of the date on which the employee entered the company will be the one-time password for that day. To do. Then, as shown in FIG. 3, the one-time passwords for A, B, C, D, E, and F on Y1 of Y are 3, 4, 6, 7, 9, 0, respectively, The one-time passwords for A, B, C, D, E, and F on Y2 of YY are 4, 5, 7, 8, 0, and 1, respectively, and so on. , B, C, D, E, and F are one-time passwords 7, 8, 0, 1, 3, 4 respectively.
Each company employee's unique employee number (ID = identifier) and password creation method are stored in the company database. Using this information, the dedicated doors of this special management area are the six certified companies. Each member can be authenticated.

[実施の形態3]
実施の形態3は、請求項6に記載のパスワード認証方法の実施例で、図4と図5を参照しながら説明する。この実施例は、実施の形態2と同様の会社および会社員で構成され、この認証に際して今回請求項6で発明したワンタイム・パスワードを使用することとする。
本実施例ではそれぞれの会社員の同定用と確認用の二つのワンタイム・パスワードはそれぞれ2桁の数字とする。そしてワンタイム・パスワードの作成方法としては、同定用のワンタイム・パスワードの1桁めは、実施の形態2のワンタイム・パスワードの数字に当該会社員の固有の社員番号(ID=識別子)の数値と出社日の日付の月の数値とを加算した数値の1桁めの数字、同定用のワンタイム・パスワードの2桁めは実施の形態2のワンタイム・パスワードの数字、又、確認用のワンタイム・パスワードの1桁めは実施の形態2のワンタイム・パスワードの数字、確認用のワンタイム・パスワードの2桁めは実施の形態2のワンタイム・パスワードの数字に数値の12と当該会社員の固有の社員番号(ID=識別子)の数値とを加算し更にそこから出社日の日付の月の数値を減算した数値の1桁めの数字、とすると取り決めをする。すると、図4に示すようにX年3月1日のA、B、C、D、E、Fそれぞれの同定用のワンタイム・パスワードはそれぞれ38、40、64、77、90、02で、X年3月2日のA、B、C、D、E、Fそれぞれの同定用のワンタイム・パスワードはそれぞれ49、51、75、87、01、13で、以下同様に、X年3月5日のA、B、C、D、E、Fそれぞれの同定用のワンタイム・パスワードはそれぞれ72、84、08、10、34、46となり、図5に示すようにX年3月1日のA、B、C、D、E、Fそれぞれの確認用のワンタイム・パスワードはそれぞれ43、64、06、27、69、80で、X年3月2日のA、B、C、D、E、Fそれぞれの確認用のワンタイム・パスワードはそれぞれ54、75、17、38、70、91で、以下同様に、X年3月5日のA、B、C、D、E、Fそれぞれの確認用のワンタイム・パスワードはそれぞれ87、08、40、61、03、24となる。 [Embodiment 3]
The third embodiment is an example of the password authentication method according to claim 6 and will be described with reference to FIGS. This example is composed of the same company and company employees as in the second embodiment, and the one-time password invented in claim 6 is used for this authentication.
In this embodiment, the two one-time passwords for identifying and confirming each company employee are each two-digit numbers. As a method for creating a one-time password, the first digit of the one-time password for identification is the unique employee number (ID = identifier) of the company employee in the number of the one-time password in the second embodiment. The first digit of the numerical value plus the month number of the date of work, the second digit of the one-time password for identification is the number of the one-time password of the second embodiment, or for confirmation The first digit of the one-time password is the numeric value of the one-time password of the second embodiment, the second digit of the confirmation one-time password is the numeric value of the one-time password of the second embodiment and the numeric value 12 It is decided that the first digit of the numerical value obtained by adding the numerical value of the employee number (ID = identifier) unique to the company employee and further subtracting the numerical value of the month of the date of office entry from there. Then, as shown in FIG. 4, the one-time passwords for identification of A, B, C, D, E, and F on March 1, X are 38, 40, 64, 77, 90, 02, respectively. The one-time passwords for identification of A, B, C, D, E, and F on March 2, X are 49, 51, 75, 87, 01, and 13, respectively, and so on. The one-time passwords for identifying A, B, C, D, E, and F on the 5th are 72, 84, 08, 10, 34, and 46, respectively, as shown in FIG. The one-time passwords for checking A, B, C, D, E, and F are 43, 64, 06, 27, 69, and 80, respectively, and A, B, C, and D on March 2, X , E, and F are confirmed as one-time passwords 54, 75, 17, 38, and 70, respectively. 91, similarly, A of X March 5, B, C, D, E, F one-time password for each of confirmation will be each 87,08,40,61,03,24 below.

この実施例では、同定用のワンタイム・パスワードを使用してこの特別管理区域の専用扉が被認証者である会社員を同定すると、次に認証者が作成したワンタイム・パスワード・テーブルのなかの、図5に示す各々の会社員の確認用のワンタイム・パスワードのなかから当該被認証者の確認用のワンタイム・パスワードが選別されて専用扉の表示部に表示され、当該会社員は自分が正しく認証されたことを確認して確認のボタンを押すことで認証が成立する。   In this example, after identifying a company employee whose private door in this special controlled area is a certified person using a one-time password for identification, the next time in the one-time password table created by the certifier The one-time password for confirming the person to be authenticated is selected from the one-time passwords for confirming each company employee shown in FIG. 5 and displayed on the display section of the dedicated door. Authentication is established by confirming that you have been authenticated correctly and pressing the confirmation button.

実施の形態1では1対1対応の関数としてAESを使用したが、他のブロック暗号方式を使用してもよいし、普通の四則計算を使用してもよい。システムに求められる安全性の程度と実用可能なワンタイム・パスワードの量とから、そのシステムに適した1対1対応の関数を決定することができる。   In the first embodiment, AES is used as a one-to-one correspondence function. However, other block ciphers may be used, or ordinary four arithmetic calculations may be used. A one-to-one correspondence function suitable for the system can be determined from the degree of security required for the system and the amount of practical one-time password.

実施の形態2と3では、原理を分かりやすく説明するために、認証回数を1日1回に限定し、更にワンタイム・パスワードには極めて少ない桁数の数字を用いたが、このままでは比較的短期間に同じワンタイム・パスワードが繰り返されるし、特に実施の形態2ではワンタイム・パスワードの桁数が少なすぎて何も知らない第三者でも思いつきの数字を入力するだけで正規の会社員のうちの誰かに認証されて特別管理区域に入れてしまうの可能性が極めて高く、実用的ではない。   In Embodiments 2 and 3, in order to explain the principle in an easy-to-understand manner, the number of authentications is limited to once a day, and a one-time password uses a very small number of digits. The same one-time password is repeated in a short period of time. Especially in the second embodiment, even a third party who does not know anything because the number of digits in the one-time password is too small. It is very likely that someone will be authenticated and put into a special controlled area, which is not practical.

実施の形態2と3の実用化への改良案としては、識別子(ID)やワンタイム・パスワードの桁数をもっと大きくすることでセキュリティと実用性の向上を図ることである。実施の形態2と3では、実施の形態1のように、実際の被認証者の人数よりも識別子(ID)の桁を格段に大きくして、該当被認証者の存在しない空の識別子(ID)を多くすることで、より実際的にすることができる。すなわち、被認証者である社員が6人でも、例えば識別子(ID)は6〜8桁にして、更にそれぞれの桁ごとに日付や月の数値や固有の社員番号(ID=識別子)と別々の演算をすることなどにより、比較的短期間に同じワンタイム・パスワードが繰り返されることのないようにすることで、実施の形態2と3は認証回数を1日1回に限定できる環境であればこの原理のままのでも実用化が可能になる。   As an improvement plan to put the second and third embodiments into practical use, it is intended to improve security and practicality by further increasing the number of digits of the identifier (ID) and the one-time password. In the second and third embodiments, as in the first embodiment, the digit of the identifier (ID) is significantly larger than the actual number of authenticated persons, and an empty identifier (ID that does not exist) ) Can be made more practical. In other words, even if there are six employees who are to be authenticated, the identifier (ID) has, for example, 6 to 8 digits, and each digit has a date, a month number, and a unique employee number (ID = identifier). As long as the same one-time password is not repeated in a relatively short period of time by performing calculations, etc., the second and third embodiments can be used in environments where the number of authentications can be limited to once a day. Even with this principle, it can be put to practical use.

実施の形態2と3の実用化への改良のもう一つの方法としては、ワンタイム・パスワードの入力方法の変更があげられる。例えば実施の形態2では、被認証者である会社員は任意に6〜8桁の数字を入力するが、自分の実際のワンタイム・パスワードの数字は4桁めの数字とする(右から4番めの数字)という方法に変更すると、例えばX年Y月1日およびX年Y月2日の各々の会社員のワンタイム・パスワードの入力例は図6のようになる。   Another method for improving the practical use of the second and third embodiments is to change the one-time password input method. For example, in the second embodiment, a company employee who is a person to be authenticated arbitrarily enters a 6-8 digit number, but the actual one-time password number is the fourth digit (4 from the right). For example, FIG. 6 shows an example of the one-time password input for each of the office workers on year 1 month X 1 and year 2 month 2 X.

同様に、実施の形態3では、被認証者である会社員は任意に6〜8桁の数字を入力するが、実際の自分のワンタイム・パスワードの1桁めの数字は入力するワンタイム・パスワードの1桁め(1番右の数字)に、実際の自分ワンタイム・パスワードの2桁めの数字は入力する数値のうち2番めに大きい桁(1番左から2つめの数字)とするという方法に変更すると、例えば各々の会社員の同定用のワンタイム・パスワードの入力例は図7のようになる。尚、確認用のワンタイム・パスワードは実際の2桁の数字のままでもよい。   Similarly, in the third embodiment, a company employee who is a person to be authenticated arbitrarily inputs a 6-8 digit number, but the first digit of the actual one-time password is the one-time password to be input. In the first digit of the password (the rightmost number), the second digit of the actual one-time password is the second largest digit (the second number from the leftmost one) of the entered numbers. For example, FIG. 7 shows an input example of a one-time password for identifying each company employee. The confirmation one-time password may be an actual two-digit number.

又、特に手入力を想定する場合で、単なる入力ミスによる誤認証を防ぐためには、チェックデジット(検査数字)の併用は有用と思われる。   In addition, especially in the case of assuming manual input, it is considered useful to use a check digit (check digit) in order to prevent erroneous authentication due to a simple input error.

又、本発明では、ワンタイム・パスワードは、予め被認証者と認証者の双方それぞれで作成しておいて、その後にパスワード認証を行ったが、被認証者はパスワード認証を行う時にワンタイム・パスワードを作成するようにしてもよいし、認証者はある被認証者の認証依頼を受けたあとで、ワンタイム・パスワード・テーブルを作成するようにしてもよい。   In the present invention, the one-time password is created in advance by both the person to be authenticated and the certifier, and then the password authentication is performed. However, when the person to be authenticated performs the password authentication, A password may be created, or the authenticator may create a one-time password table after receiving an authentication request of a certain person to be authenticated.

又、請求項4および請求項8では、おとり用の偽ワンタイム・パスワードは、認証者が被認証者から確認用のワンタイム・パスワードを受信してから作成したが、予め作成しておいてもよい。   Further, in claim 4 and claim 8, the fake one-time password for decoy is created after the authenticator receives the confirmation one-time password from the person to be authenticated. Also good.

なお、本発明を実施するための最良の形態について前記のように3つの実施例を説明したが、本発明は当該形態になんら限定されるものではなく、本発明の要旨を逸脱しない範囲内において、種々なる形態で種々の認証分野で実施することができる。   Although the three embodiments have been described as the best mode for carrying out the present invention as described above, the present invention is not limited to the embodiment and is within the scope not departing from the gist of the present invention. It can be implemented in various fields in various forms.

100 被認証者側装置
110、310 記憶部
112 ワンタイム・パスワード
113 識別子(ID)
114 認証回数
115、315 1対1対応の関数
116、316 各種処理のプロトコール
117、317 各種パラメータ
120、320 データ処理手段
122、322 ワンタイム・パスワード作成手段
123、323 カレンダ時計手段
124、324 カウント手段
128、328 認証決定手段
129、329 通信手段
200 通信網
300 認証者側装置
312 ワンタイム・パスワード・テーブル
313 識別子(ID)・テーブル
314 認証回数・テーブル 100 Authentication-subjected device 110, 310 Storage unit 112 One-time password 113 Identifier (ID)
114 Number of authentications 115, 315 One-to-one correspondence function 116, 316 Various processing protocols 117, 317 Various parameters 120, 320 Data processing means 122, 322 One-time password creation means 123, 323 Calendar clock means 124, 324 Count means 128, 328 Authentication decision means 129, 329 Communication means 200 Communication network 300 Authenticator side device 312 One-time password table 313 Identifier (ID) table 314 Number of authentication times table

Claims (8)

被認証者側装置と認証者側装置とからなるパスワード認証システムであって、
全ての被認証者側装置には、各々の被認証者側装置に固有のデータ(値)としての識別子(ID)が他の被認証者側装置と重複しないように割り当てられており、
被認証者側装置と認証者側装置の双方は記憶部とデータ処理手段とから構成され、
被認証者側装置の記憶部は、予め自身に割り当てられた前記識別子(ID)と、自身の後述するワンタイム・パスワード作成手段が作成する自身のワンタイム・パスワードと、を記憶し、更に前記自身のワンタイム・パスワードを作成する際に使用する場合には、全ての被認証者側装置と認証者側装置とで共用する1対1対応の関数や、後述するカウント手段がカウントする自身の認証回数や、各種処理のプロトコールや、各種処理に必要な各種パラメータなど、をも必要に応じて記憶し、
認証者側装置の記憶部は、全ての被認証者側装置に予め割り当てた前記識別子(ID)の一覧である識別子(ID)・テーブルと、前述した被認証者側装置のそれぞれのワンタイム・パスワード作成手段が作成するのとそれぞれ同一の方法で、自身の後述するワンタイム・パスワード作成手段が作成する当該被認証者側装置のワンタイム・パスワードとそれぞれ同一のワンタイム・パスワードを集めた、全ての被認証者側装置のそれぞれと同一のワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルと、を記憶し、更に前記ワンタイム・パスワード・テーブルを作成する際に使用する場合には、全ての被認証者側装置と認証者側装置とで共用する1対1対応の関数や、後述するカウント手段がカウントする各々の被認証者側装置ごとの認証回数の一覧である認証回数・テーブルや、各種処理のプロトコールや、各種処理に必要な各種パラメータなど、をも必要に応じて記憶し、
被認証者側装置のデータ処理手段は、ワンタイム・パスワード作成手段と、通信手段と、日付や時刻を表示するカレンダ時計手段と、更に、認証回数をパラメータに使用する場合には自身の認証回数を数えるカウント手段と、から構成され、
認証者側装置のデータ処理手段は、ワンタイム・パスワード作成手段と、通信手段と、日付や時刻を表示するカレンダ時計手段と、認証決定手段と、更に、認証回数をパラメータに使用する場合には各々の被認証者側装置の認証回数を数えるカウント手段と、から構成され、
被認証者側装置のワンタイム・パスワード作成手段は、前記自身の識別子(ID)と、前記カレンダ時計手段が示す、日付、又は時刻、又は日付と時刻の両者、又は年月日と時刻の両者、を数値化したデータ(値)と、更に必要に応じてそれらに加えて前記カウント手段がカウントした自身の認証回数と、を適宜組み合わせて、全ての被認証者側装置それぞれで異なる値であるデータ(値)を作成してそれを、あるいはそのデータ(値)を更に前記記憶部に記憶された全ての被認証者側装置と認証者側装置とで共用する1対1対応の関数に入力して得た関数の値を、ワンタイム・パスワードとして作成してそれで自身の前記記憶部に記憶した過去のワンタイム・パスワードを更新し、
認証者側装置のワンタイム・パスワード作成手段は、記憶部に記憶した、前記識別子(ID)・テーブルと、前記カレンダ時計手段が示す、日付、又は時刻、又は日付と時刻の両者、又は年月日と時刻の両者、を数値化したデータ(値)と、更に必要に応じてそれらに加えて認証回数・テーブルと、を適宜組み合わせて使用して、各々の被認証者装置のワンタイム・パスワード作成手段とそれぞれ同一の方法で、当該被認証者側装置に対応するワンタイム・パスワードを作成し、更に同様にして全ての被認証者側装置それぞれに対応するワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルを作成してそれで自身の記記憶部に記憶した過去のワンタイム・パスワード・テーブルを更新し、
実際にパスワード認証を実施する時は、まず、認証を依頼する被認証者側装置の通信手段が、自身の記憶部に記憶したワンタイム・パスワードを認証者装置に送信し、次に、認証者側装置の通信手段が被認証者側装置からワンタイム・パスワードを受信すると、認証者側装置の認証決定手段は被認証者側装置から受信したワンタイム・パスワードを自身の記憶部のワンタイム・パスワード・テーブルに照合して両者が一致する被認証者側装置を同定し、そのワンタイム・パスワードを送信した被認証者装置を当該識別子(ID)を割り当てられた被認証者装置であると同定することで認証が成立することを特徴とする、
被認証者装置の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者装置が被認証者側装置を認証するパスワード認証システム。 A password authentication system comprising a device to be authenticated and a device on the authenticator side,
All devices to be authenticated are assigned identifiers (IDs) as data (values) unique to each device to be authenticated so as not to overlap with other devices to be authenticated,
Both the person-to-be-authenticated device and the device to be authenticated have a storage unit and data processing means,
The storage unit of the authentication-subjected side device stores the identifier (ID) assigned to itself in advance and its own one-time password created by the one-time password creating means described later. When it is used when creating its own one-time password, a one-to-one correspondence function shared by all devices to be authenticated and the devices on the authenticator side, The number of authentications, various processing protocols, various parameters necessary for various processing, etc. are stored as necessary,
The storage unit of the authenticator side device includes an identifier (ID) table that is a list of the identifiers (IDs) assigned in advance to all the authenticated person side devices, and the one-time The same method as the password creation means creates, and collects the same one-time password as the one-time password of the device to be authenticated created by the one-time password creation means described later. When storing a one-time password table that is the same list of one-time passwords as each of all devices to be authenticated, and when using it to create the one-time password table , A one-to-one correspondence function shared by all devices to be authenticated and all devices to be authenticated, and each user to be authenticated counted by the counting means described later A list of authentication count for each device and the authentication number table, and the protocol of various processes, and various parameters necessary for various processes, and stores as needed also,
The data processing means of the device to be authenticated includes a one-time password creation means, a communication means, a calendar clock means for displaying the date and time, and if the number of authentications is used as a parameter, Counting means, and
The data processing means of the certifier side device includes a one-time password creation means, a communication means, a calendar clock means for displaying the date and time, an authentication determination means, and a case where the number of authentications is used as a parameter. A counting means for counting the number of times of authentication of each authenticated person side device,
The one-time password creation means of the device to be authenticated includes the identifier (ID) of the device and the date or time, or both the date and time, or both the date and time, as indicated by the calendar clock means. The data (values) converted into numerical values and, if necessary, in addition to the number of authentications counted by the counting means as appropriate, are different values for all devices to be authenticated. Create data (value) and input the data (value) to a one-to-one correspondence function shared by all devices to be authenticated and certifier devices stored in the storage unit The function value obtained as described above is created as a one-time password, and the past one-time password stored in the storage unit of itself is updated.
The one-time password creating means of the authenticator side device stores the identifier (ID) table stored in the storage unit and the date or time, or both the date and time, or the date indicated by the calendar clock means. A one-time password for each device to be authenticated, using a combination of data (value) in which both the date and time are digitized, and if necessary, the number of times of authentication and a table in addition to those as necessary. A one-time password corresponding to the device to be authenticated is created in the same manner as the creation means, and a one-time password list corresponding to each of all devices to be authenticated is similarly created. Create a time password table and update the past one-time password table stored in its memory
When actually performing password authentication, the communication means of the device to be authenticated that requests authentication first transmits the one-time password stored in its storage unit to the authenticator device, and then the authenticator. When the communication device of the side device receives the one-time password from the device to be authenticated, the authentication determination unit of the device on the side of the authenticator uses the one-time password received from the device to be authenticated to the one-time password in its storage unit. The person-to-be-authenticated device that matches the password table is identified, and the person-to-be-authenticated device that sent the one-time password is identified as the person-to-be-authenticated device assigned the identifier (ID) It is characterized in that authentication is established by
A password authentication system in which an authenticator device authenticates a device to be authenticated by exchanging only a one-time password without directly exchanging an identifier (ID) of the device to be authenticated. 請求項1に記載の、被認証者側装置と認証者側装置とからなるパスワード認証システムであって、
被認証者側装置のデータ処理手段は請求項1に記載の各手段に加えて認証決定手段とから構成され、
被認証者側装置のワンタイム・パスワード作成手段は、請求項1に記載のタイミングと方法で、全ての被認証者側装置それぞれで異なる値であるデータ(値)を二つ作成してそれらを、あるいはそれらの二つのデータ(値)を更に前記記憶部に記憶された全ての被認証者側装置と認証者側装置とで共用する1対1対応の関数に入力して得た二つの関数の値を、同定用と確認用の二つのワンタイム・パスワードとして作成してそれで自身の前記記憶部に記憶した過去の同定用と確認用の二つのワンタイム・パスワードをそれぞれ更新し、
認証者側装置のワンタイム・パスワード作成手段は、請求項1に記載のタイミングと方法で、各々の被認証者装置のワンタイム・パスワード作成手段とそれぞれ同一の方法で、当該被認証者側装置に対応する同定用と確認用の二つのワンタイム・パスワードを作成し、更に同様にして全ての被認証者側装置それぞれに対応する同定用と確認用の二つずつのワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルを作成してそれで自身の記記憶部に記憶した過去のワンタイム・パスワード・テーブルを更新し、
実際にパスワード認証を実施する時は、まず請求項1に記載の要領で、はじめに同定用のワンタイム・パスワードを使用して認証を依頼する被認証者側装置を認証者側装置の認証決定手段が同定したら、本請求項では更に引き続いて、認証者側装置の認証決定手段は自身の記憶部に記憶したワンタイム・パスワード・テーブルのなかから前記同定した当該被認証者側装置に対応する確認用のワンタイム・パスワードを選別し、続いて認証者側装置の通信手段は前記選別された当該被認証者側装置に対応する確認用のワンタイム・パスワードを前記同定した当該被認証者側装置に送信し、次に、前記認証を依頼した当該被認証者側装置の通信手段は前記確認用のワンタイム・パスワードを認証者側装置から受信すると、当該被認証者側装置の認証決定手段は自身の通信手段が認証者側装置から受信した確認用のワンタイム・パスワードと自身の記憶部に記憶した確認用のワンタイム・パスワードとを比較して両者が一致した場合には認証者装置が被認証者側装置自身を正しく同定したことを確認することで、はじめに同定用のワンタイム・パスワードを送信した被認証者装置を当該識別子(ID)を割り当てられた被認証者装置であると認証することを特徴とする、
被認証者装置の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者側装置が被認証者側装置を同定し、更に被認証者装置が認証者側装置の正しい正確な同定を確認することで認証が成立する、請求項1に記載の、パスワード認証システム。 A password authentication system according to claim 1, comprising a device to be authenticated and a device on the authenticator side,
The data processing means of the device to be authenticated is composed of authentication determining means in addition to each means described in claim 1,
The one-time password creation means of the device to be authenticated creates two data (values) which are different values for all the devices to be authenticated by the timing and method according to claim 1 and generates them. Or two functions obtained by inputting these two data (values) into a one-to-one correspondence function shared by all the authentication-subjected-devices and the authenticator-side devices stored in the storage unit The two values for identification and confirmation are created as two one-time passwords for identification and confirmation, and the two one-time passwords for identification and confirmation stored in the storage unit are updated.
The one-time password creation means of the authenticator side device is the same as the one-time password creation means of each authenticated person device with the timing and method according to claim 1, and Create two one-time passwords for identification and confirmation corresponding to, and in the same way, list of two one-time passwords for identification and confirmation corresponding to each authentication target device. Create a one-time password table and update the past one-time password table stored in its own memory,
When actually performing password authentication, first, in accordance with the procedure described in claim 1, the authentication-subjecting means of the authenticator-side device is selected as the authentication-subject-side device that requests authentication using the one-time password for identification. Then, the authentication decision means of the authenticator side device further confirms the identification corresponding to the identified user side device from the one-time password table stored in its storage unit. The one-time password for use is selected, and then the communication means of the authenticator-side apparatus identifies the one-time password for confirmation corresponding to the selected authentication-subjected-user side apparatus. Next, when the communication means of the authentication-subjected device that requested the authentication receives the confirmation one-time password from the authenticator-side device, the authentication means of the authentication-target device The decision means compares the one-time password for confirmation received by the own communication means from the certifier side device with the one-time password for confirmation stored in its own storage unit, and authenticates if they match. By confirming that the authenticator device has correctly identified the authenticated user device itself, the authenticated user device that first transmitted the identification one-time password is the authenticated user device to which the identifier (ID) is assigned. It is characterized by being authenticated,
The authenticator's device identifies the device to be authenticated by exchanging only the one-time password without directly exchanging the identifier (ID) of the device to be authenticated. The password authentication system according to claim 1, wherein authentication is established by confirming identification. 請求項2に記載の、被認証者側装置と認証者側装置とからなるパスワード認証システムであって、
被認証者側装置のワンタイム・パスワード作成手段は、請求項2に記載のタイミングと方法で同定用と確認用と再確認用の三つのワンタイム・パスワードを作成してそれで自身の前記記憶部に記憶した過去の同定用と確認用と再確認用の三つのワンタイム・パスワードをそれぞれ更新し、
認証者側装置のワンタイム・パスワード作成手段は、請求項2に記載のタイミングと方法で、各々の被認証者装置のワンタイム・パスワード作成手段とそれぞれ同一の方法で、当該被認証者側装置に対応する、同定用と確認用と再確認用の三つのワンタイム・パスワードを作成して、更に同様にして全ての被認証者側装置それぞれに対応する同定用と確認用と再確認用の三つずつのワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルを作成してそれで自身の記記憶部に記憶した過去のワンタイム・パスワード・テーブルを更新し、
実際にパスワード認証を実施する時は、まず請求項2に記載の要領で、はじめに同定用のワンタイム・パスワードを使用して認証を依頼する被認証者側装置を認証者側装置の認証決定手段が同定したら、続いて確認用のワンタイム・パスワードを使用して当該被認証者側装置が認証者側装置の正しい同定を確認し、本請求項では更に引き続いて、前記認証を依頼した当該被認証者側装置の通信手段は、自身の再確認用のワンタイム・パスワードを認証者側装置に送信し、認証者側装置の通信手段が被認証者側装置から再確認用のワンタイム・パスワードを受信すると、当該認証者側装置の認証決定手段は自身の通信手段が被認証者側装置から受信した再確認用のワンタイム・パスワードと自身の記憶部のワンタイム・パスワード・テーブルに登録された当該被認証者側装置に対応する再確認用のワンタイム・パスワードとを比較して両者が一致することを再確認し、それによりはじめに同定用のワンタイム・パスワードを送信した被認証者装置を当該識別子(ID)を割り当てられた被認証者装置であると認証することを特徴とする、
被認証者装置の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者側装置が被認証者側装置を同定し、更に被認証者装置が認証者側装置の正しい正確な同定を確認し、更に認証者側装置が被認証者側装置を再確認することで認証が成立する、請求項2に記載の、パスワード認証システム。 A password authentication system according to claim 2, comprising a device to be authenticated and a device on the authenticator side,
The one-time password creating means of the device to be authenticated creates three one-time passwords for identification, confirmation, and reconfirmation by the timing and method according to claim 2 and uses the storage unit of its own Update the three one-time passwords for past identification, confirmation and reconfirmation stored in
The one-time password creation means of the authenticator side device is the same as the one-time password creation means of each authenticated person device in the same timing and method as claimed in claim 2, and Create three one-time passwords for identification, confirmation, and reconfirmation that correspond to, and in the same way, for identification, confirmation, and reconfirmation corresponding to all authentication target devices. Create a one-time password table, which is a list of three one-time passwords, and update the past one-time password table stored in its storage unit,
When actually performing password authentication, first, in accordance with the procedure described in claim 2, the authentication-subjecting means of the authenticator-side device is used as the authentication-subject-side device that requests authentication using the one-time password for identification. Then, using the one-time password for confirmation, the authentication-subjected device confirms the correct identification of the authenticator-side device. The communication means of the certifier side device transmits its one-time password for reconfirmation to the certifier side device, and the communication means of the certifier side device confirms the one-time password for reconfirmation from the device to be authenticated. The authentication determining means of the authenticator side device receives the one-time password for reconfirmation received by the communication means from the authentication-subjected side device and the one-time password table of its own storage unit. Compared with the one-time password for reconfirmation corresponding to the recorded device of the person to be authenticated, reconfirms that both match, and the first one-time password for identification is first transmitted. A user device is authenticated as a device to be authenticated to which the identifier (ID) is assigned.
The authenticator's device identifies the device to be authenticated by exchanging only the one-time password without directly exchanging the identifier (ID) of the device to be authenticated. The password authentication system according to claim 2, wherein authentication is confirmed by confirming the identity and further confirming the authenticator side device by reconfirming the authenticator side device. 請求項2に記載の、被認証者側装置と認証者側装置とからなるパスワード認証システムであって、
認証者側装置のデータ処理手段は請求項2に記載の各手段に加えておとり用偽ワンタイム・パスワード作成手段とから構成され、
実際にパスワード認証を実施する時は、まず請求項2に記載の要領で、はじめに同定用のワンタイム・パスワードを使用して認証者側装置の認証決定手段が認証を依頼する被認証者側装置を同定したら、引き続いて自身の記憶部に記憶したワンタイム・パスワード・テーブルのなかから前記同定した当該被認証者側装置に対応する確認用のワンタイム・パスワードを選別し、次に、本請求項では更に引き続いて、認証者側装置のおとり用偽ワンタイム・パスワード作成手段は予め本システムで決められた数のおとり用の偽のワンタイム・パスワードを作成し、次に、認証者側装置の通信手段は前記選別された当該被認証者側装置に対応する正規の確認用のワンタイム・パスワードと前記おとり用の偽のワンタイム・パスワードとをあわせた複数のデータ(値)を前記同定した当該被認証者側装置に送信し、次に、前記認証を依頼した当該被認証者側装置の通信手段が前記複数のデータ(値)を認証者側装置から受信すると、引き続いて当該被認証者側装置の認証決定手段は前記認証者側装置から受信した複数のデータ(値)を自身の記憶部に記憶した正規の確認用のワンタイム・パスワードに照合して前記受信した複数のデータ(値)のなかから正規の確認用のワンタイム・パスワードを選別し、続いて当該被認証者側装置の通信手段は前記選別した正規の確認用のワンタイム・パスワードか、その正規の確認用のワンタイム・パスワードを選別したことを示す印を認証者側装置に送信し、次に、認証者側装置の通信手段が被認証者側装置から正規の確認用のワンタイム・パスワードか、その正規の確認用のワンタイム・パスワードを選別したことを示す印を受信すると、認証者側装置の認証決定手段は被認証者側装置が正しく正規の確認用のワンタイム・パスワードを選別できたことを再確認し、それによりはじめに同定用のワンタイム・パスワードをを送信した被認証者装置を当該識別子(ID)を割り当てられた被認証者装置であると認証することを特徴とする、
被認証者装置の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者側装置が被認証者側装置を同定し、更に被認証者装置が認証者側装置の正しい正確な同定を確認し、更に認証者側装置が被認証者側装置を再確認することで認証が成立する、請求項2に記載の、パスワード認証システム。 A password authentication system according to claim 2, comprising a device to be authenticated and a device on the authenticator side,
The data processing means of the certifier side device is composed of a means for creating a fake one-time password for decoy in addition to each means of claim 2,
When actually performing password authentication, first, as described in claim 2, the authentication-subjected device whose authentication determining means of the authenticator-side device requests authentication using the one-time password for identification first. Then, the one-time password for confirmation corresponding to the identified user apparatus is selected from the one-time password table stored in its own storage unit, and then the request is made. Subsequently, the fake one-time password creation means for the decoy device on the decoyer side creates a fake one-time password for the decoy number determined in advance by this system, and then the authenticator side device. The communication means includes a combined one-time password for regular confirmation corresponding to the selected device to be authenticated and a fake one-time password for the decoy. Data (value) is transmitted to the identified authenticated person side device, and then the communication means of the authenticated person side device that requested the authentication sends the plurality of data (value) from the authenticated side device. Upon receipt, the authentication determining means of the device to be authenticated side collates the plurality of data (values) received from the device on the side of the authenticator with the one-time password for regular confirmation stored in its storage unit. The one-time password for regular confirmation is selected from the plurality of received data (values), and the communication means of the authentication-subjected device then selects the one-time password for regular confirmation. Or a mark indicating that the one-time password for regular confirmation has been screened is transmitted to the authenticator side device, and then the communication means of the authenticator side device receives the authenticity confirmation device from the authenticator side device. One-time password Or, when receiving a mark indicating that the one-time password for regular confirmation has been selected, the authentication determining means of the certifier side device correctly selects the one-time password for the regular confirmation by the certifier side device. Re-confirming that the authentication target device that first transmitted the identification one-time password is authenticated as the device to be authenticated to which the identifier (ID) is assigned. ,
The authenticator's device identifies the device to be authenticated by exchanging only the one-time password without directly exchanging the identifier (ID) of the device to be authenticated. The password authentication system according to claim 2, wherein authentication is confirmed by confirming the identity and further confirming the authenticator side device by reconfirming the authenticator side device. 被認証者と認証者とからなるパスワード認証方法であって、
全ての被認証者には、予め各々に固有のデータ(値)である識別子(ID)が他の被認証者と重複しないように割り当てられており、認証者は、予め全ての被認証者に割り当てた各々の被認証者の識別子(ID)の一覧を識別子(ID)・テーブルとして記憶しており、
被認証者は、予め自身に割り当てられた前記識別子(ID)と、日付、又は時刻、又は日付と時刻の両者、又は年月日と時刻の両者、を数値化したデータ(値)と、更には必要に応じてそれに加えて自身の認証回数を示す数値を追加したデータ(値)と、を適宜組み合わせて作成した全ての被認証者それぞれで異なる値であるデータ(値)を、あるいはそのデータ(値)を更に全ての被認証者と認証者とで共用する1対1対応の関数に入力して得られた関数の値を、自身のワンタイム・パスワードとして作成し、
認証者は、前記識別子(ID)・テーブルと、日付、又は時刻、又は日付と時刻の両者、又は年月日と時刻の両者、を数値化したデータ(値)と、更には必要に応じてそれに加えて各々の被認証者の認証回数を示す数値を追加したデータ(値)と、を適宜組み合わせて使用して各々の被認証者がワンタイム・パスワードを作成したのと同一の方法で、各々の被認証者それぞれに対応するワンタイム・パスワードを作成し、更に同様にして全ての被認証者のそれぞれに対応するワンタイム・パスワードの一覧をワンタイム・パスワード・テーブルとして作成し、
実際のパスワード認証に当たっては、まず、認証を依頼する被認証者は自身で作成した自身のワンタイム・パスワードを認証者に連絡し、認証者は被認証者からワンタイム・パスワードの連絡を受けると、連絡を受けたワンタイム・パスワードをワンタイム・パスワード・テーブルに照合して両者が一致する被認証者を同定し、そのワンタイム・パスワードを有する被認証者を当該識別子(ID)を割り当てられた被認証者であると認証することを特徴とする、
被認証者の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで行うパスワード認証方法。 A password authentication method comprising a person to be authenticated and a certifier,
All authenticated persons are assigned in advance an identifier (ID), which is unique data (value), so as not to be duplicated with other authenticated persons. A list of identifiers (ID) of each assigned person to be authenticated is stored as an identifier (ID) table,
The person to be authenticated includes the identifier (ID) assigned to the user in advance and date (or time), data (value) obtained by quantifying both date and time, or both date and time, and If necessary, in addition to the data (value) added with a numerical value indicating the number of times of authentication itself, the data (value) that is different for each authenticated person created by appropriately combining the data (value), or the data Create a value of the function obtained by inputting (value) into a one-to-one correspondence function shared by all authenticated persons and authenticators as its own one-time password,
The certifier shall quantify the identifier (ID) table and the date or time, or both the date and time, or both the date and time, and further, if necessary. In addition to that, the data (value) added with a numerical value indicating the number of times of authentication of each authenticated person is used in an appropriate combination, and the same method as each authenticated person creates a one-time password, Create a one-time password corresponding to each person to be authenticated, and similarly create a list of one-time passwords corresponding to each person to be authenticated as a one-time password table.
In actual password authentication, first, the person who is requesting authentication notifies the certifier of his / her own one-time password created by himself / herself, and the certifier receives a one-time password notification from the person to be authenticated. The received one-time password is checked against the one-time password table to identify the person to be authenticated, and the person who has the one-time password is assigned the identifier (ID). It is characterized by authenticating that it is a person to be authenticated,
A password authentication method in which only the one-time password is exchanged without directly exchanging the identifier (ID) of the person to be authenticated. 請求項5に記載の、被認証者と認証者とからなるパスワード認証方法であって、
被認証者は、請求項5に記載のタイミングと方法で、全ての被認証者それぞれで異なる値であるデータ(値)を二つ作成してそれらを、あるいはそれらの二つのデータ(値)を更に全ての被認証者と認証者とで共用する1対1対応の関数に入力して得た二つの関数の値を、同定用と確認用の二つのワンタイム・パスワードとして作成し、
認証者は、請求項5に記載のタイミングと方法で、各々の被認証者のそれぞれが同定用と確認用の二つのワンタイム・パスワードを作成したのと同一の方法で、各々の被認証者のそれぞれに対応する同定用と確認用の二つのワンタイム・パスワードを作成し、更に全ての被認証者のそれぞれに対応する同定用と確認用の二つずつのワンタイム・パスワードの一覧をワンタイム・パスワード・テーブルとして作成し、
実際のパスワード認証に当たっては、まず、請求項5に記載の要領で同定用のワンタイム・パスワードを使用して認証者が認証を依頼する被認証者を同定し、本請求項では更に引き続いて、認証者自身が作成したワンタイム・パスワード・テーブルのなかから前記同定した当該被認証者に対応する確認用のワンタイム・パスワードを選別して当該被認証者に連絡し、次に、前記認証を依頼した当該被認証者は前記確認用のワンタイム・パスワードを認証者から連絡されると、連絡された前記確認用のワンタイム・パスワードと自身が作成した確認用のワンタイム・パスワードとを比較して両者が一致した場合には認証者が被認証者自身を正しく認証したことを確認することで、はじめに同定用のワンタイム・パスワードを連絡した被認証者を当該識別子(ID)を割り当てられた被認証者であると認証することを特徴とする、
被認証者の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで、認証者が被認証者を同定し、続いて、被認証者は認証者が自身を正しく認証したことを確認することで認証が成立する、請求項5に記載の、パスワード認証方法。 The password authentication method according to claim 5, comprising a person to be authenticated and a certifier,
The person to be authenticated creates two data (values) that are different values for all of the persons to be authenticated by the timing and method according to claim 5, and generates these two data (values). In addition, the values of the two functions obtained by inputting into the one-to-one correspondence function shared by all authenticated persons and certifiers are created as two one-time passwords for identification and confirmation,
The certifier uses the same timing and method as claimed in claim 5 in the same way that each authenticated person created two one-time passwords for identification and confirmation. Create two one-time passwords for identification and confirmation corresponding to each one, and one list of two one-time passwords for identification and confirmation corresponding to each of all authenticated persons. Create as a time password table,
In actual password authentication, first, the authenticator is requested to authenticate by using the identification one-time password in the manner described in claim 5, and in the present claim, further continued, From the one-time password table created by the certifier himself / herself, the one-time password for confirmation corresponding to the identified person to be authenticated is selected and notified to the person to be authenticated, and then the authentication is performed. When the requested authenticator is notified of the one-time password for confirmation by the certifier, the one-time password for confirmation and the one-time password for confirmation created by the user are compared. If the two match, the certifier verifies that the certifier is correctly authenticated, and the certifier who first communicated the one-time password for identification is identified. Characterized by authenticated as the person to be authenticated assigned the identifier (ID),
The authenticator identifies the person to be authenticated by exchanging only the one-time password without directly exchanging the identifier (ID) of the person to be authenticated, and then the person to be authenticated confirms that the authenticator has correctly authenticated himself / herself. The password authentication method according to claim 5, wherein authentication is established by doing. 請求項6に記載の、被認証者と認証者とからなるパスワード認証方法であって、
被認証者は、請求項6に記載のタイミングと方法で、同定用と確認用と再確認用の三つのワンタイム・パスワードを作成し、
認証者は、請求項6に記載のタイミングと方法で、各々の被認証者のそれぞれが同定用と確認用と再確認用の三つのワンタイム・パスワードを作成したのと同一の方法で、各々の被認証者それぞれに対応する同定用と確認用と再確認用の三つのワンタイム・パスワードを作成し、更に同様にして全ての被認証者それぞれに対応する同定用と確認用と再確認用の三つずつのワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルを作成し、
実際のパスワード認証に当たっては、まず、請求項6に記載の要領で同定用のワンタイム・パスワードを使用して認証者が認証を依頼する被認証者を同定したのに続いて確認用のワンタイム・パスワードを使用して被認証者が認証者の正しい認証を確認し、本請求項では更に引き続いて、前記認証を依頼した被認証者は、自身の再確認用のワンタイム・パスワードを認証者に連絡し、認証者は被認証者から再確認用のワンタイム・パスワードを連絡されると、連絡された再確認用のワンタイム・パスワードと自身のワンタイム・パスワード・テーブルに登録された当該被認証者に対応する再確認用のワンタイム・パスワードとを比較して両者が一致することを再確認し、それによりはじめに同定用のワンタイム・パスワードを連絡した被認証者を当該識別子(ID)を割り当てられた被認証者であると認証することを特徴とする
被認証者の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者が被認証者を同定し、更に被認証者が認証者の正しい正確な認証を確認し、更に認証者が被認証者を再確認することで認証が成立する、請求項6に記載の、パスワード認証方法。 A password authentication method according to claim 6, comprising a person to be authenticated and a certifier,
The person to be authenticated creates three one-time passwords for identification, confirmation, and reconfirmation with the timing and method described in claim 6,
The certifier uses the same timing and method as claimed in claim 6 in the same manner that each one of the authenticated persons has created three one-time passwords for identification, confirmation and reconfirmation. Create three one-time passwords for identification, confirmation, and reconfirmation corresponding to each person to be authenticated, and for identification, confirmation, and reconfirmation corresponding to all persons to be authenticated in the same manner Create a one-time password table that lists all three one-time passwords
In actual password authentication, first, the certifier identifies the person to be authenticated for authentication using the identification one-time password in the manner described in claim 6, and then the confirmation one-time. -The authenticated person confirms the correct authentication of the certifier using the password, and further in this claim, the certifying person who requested the authentication uses the one-time password for reconfirmation as the certifier. When the certifier is informed of the one-time password for reconfirmation from the person to be authenticated, the one-time password for reconfirmation and the corresponding one-time password table registered in its own one-time password table. Compared with the one-time password for re-confirmation corresponding to the person to be authenticated, re-confirm that they match, and the person to be authenticated first communicated the one-time password for identification. The authenticator is authenticated by the exchange of only the one-time password without directly exchanging the identifier (ID) of the authenticated person. 7. The password authentication method according to claim 6, wherein authentication is established by further identifying the authenticator, confirming correct correct authentication of the authenticator, and re-confirming the authenticator by the authenticator. 請求項6に記載の、被認証者と認証者とからなるパスワード認証方法であって、
まず、請求項6に記載の要領で同定用のワンタイム・パスワードを使用して認証者が認証者が認証を依頼する被認証者を同定し、本請求項では更に引き続いて、認証者は同定した当該被認証者に対して請求項6に記載の当該被認証者に対応する正規の確認用のワンタイム・パスワードに加えて、予め双方で決められた数の新たに作成したおとり用の偽のワンタイム・パスワードを含めた、複数のデータ(値)を連絡し、次に、当該被認証者は認証者から連絡された前記複数のデータ(値)を自身が請求項6に記載の方法で作成した確認用のワンタイム・パスワードに照合して前記受信した複数のデータ(値)のなかから正規の確認用のワンタイム・パスワードを選別し、続いて前記選別した正規の確認用のワンタイム・パスワードか、その正規の確認用のワンタイム・パスワードを選別したことを示す印を認証者に連絡し、次に、認証者が被認証者から正規の確認用のワンタイム・パスワードか、その正規の確認用のワンタイム・パスワードを選別したことを示す印を連絡されると、認証者は被認証者が正しく正規の確認用のワンタイム・パスワードを選別できたことを再確認し、それによりはじめに同定用のワンタイム・パスワードを送信した被認証者を当該識別子(ID)を割り当てられた被認証者であると認証することを特徴とする、
被認証者の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者が被認証者を同定し、更に被認証者が認証者の正しい正確な認証を確認し、更に認証者が被認証者を再確認することで認証が完了する、請求項6に記載の、パスワード認証方法。
A password authentication method according to claim 6, comprising a person to be authenticated and a certifier,
First, using the one-time password for identification as described in claim 6, the certifier identifies the person to be authenticated that the certifier requests to authenticate. In addition to the legitimate confirmation one-time password corresponding to the subject to be authenticated according to claim 6, the number of newly created decoys for decoy previously determined by both 7. The method according to claim 6, wherein a plurality of data (values) including the one-time password of the user is communicated, and then the subject person himself / herself communicates the plurality of data (values) received from the certifier. The one-time password for regular confirmation is selected from the plurality of received data (values) by collating with the one-time password for confirmation created in step 1, and then the one-time password for regular confirmation selected. Time password or correct The certifier is informed of the fact that the one-time password for confirmation has been screened, and the certifier then confirms whether the one-time password for regular confirmation is received from the person to be authenticated or the one for regular confirmation. When notified that the time password has been screened, the certifier reconfirms that the person to be authenticated has correctly selected the one-time password for legitimate confirmation, so that the identification The authenticating person who has transmitted the time password is authenticated as the authenticated person assigned the identifier (ID).
The authenticator identifies the person to be authenticated by exchanging only the one-time password without directly exchanging the identifier (ID) of the person to be authenticated, and the person to be authenticated confirms the correct and accurate authentication of the authenticator. The password authentication method according to claim 6, wherein authentication is completed by reconfirming the person to be authenticated.
JP2012087778A 2012-04-06 2012-04-06 Password authentication system and method using only one-time password without using identifier (ID) Expired - Fee Related JP5996912B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012087778A JP5996912B2 (en) 2012-04-06 2012-04-06 Password authentication system and method using only one-time password without using identifier (ID)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012087778A JP5996912B2 (en) 2012-04-06 2012-04-06 Password authentication system and method using only one-time password without using identifier (ID)

Publications (2)

Publication Number Publication Date
JP2013218488A true JP2013218488A (en) 2013-10-24
JP5996912B2 JP5996912B2 (en) 2016-09-21

Family

ID=49590521

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012087778A Expired - Fee Related JP5996912B2 (en) 2012-04-06 2012-04-06 Password authentication system and method using only one-time password without using identifier (ID)

Country Status (1)

Country Link
JP (1) JP5996912B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020181337A (en) * 2019-04-24 2020-11-05 Nttテクノクロス株式会社 Account management system, account management device, account management method, and program
JP2022066438A (en) * 2019-04-24 2022-04-28 Nttテクノクロス株式会社 Account management system, account management device, account management method, and program

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2008035450A1 (en) * 2006-09-20 2010-01-28 株式会社Psd One-time ID authentication

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2008035450A1 (en) * 2006-09-20 2010-01-28 株式会社Psd One-time ID authentication

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020181337A (en) * 2019-04-24 2020-11-05 Nttテクノクロス株式会社 Account management system, account management device, account management method, and program
JP2022066438A (en) * 2019-04-24 2022-04-28 Nttテクノクロス株式会社 Account management system, account management device, account management method, and program
JP7295294B2 (en) 2019-04-24 2023-06-20 Nttテクノクロス株式会社 ACCOUNT MANAGEMENT SYSTEM, ACCOUNT MANAGEMENT DEVICE, ACCOUNT MANAGEMENT METHOD AND PROGRAM

Also Published As

Publication number Publication date
JP5996912B2 (en) 2016-09-21

Similar Documents

Publication Publication Date Title
US10297094B2 (en) Challenge-response access control using context-based proof
US10929524B2 (en) Method and system for verifying an access request
EP2747361B1 (en) Method using a single authentication device to authenticate a user to a service provider among a plurality of service providers and device for performing such a method
US20210176059A1 (en) Full-Duplex Password-less Authentication
CN108684041A (en) The system and method for login authentication
US20220116385A1 (en) Full-Duplex Password-less Authentication
EP3244568B1 (en) Electronic locking system
CN104011729A (en) Input information authentication device, server, input information authentication system, and device program
CN108667791A (en) Identity authentication method
JP6399605B2 (en) Authentication apparatus, authentication method, and program
US11444784B2 (en) System and method for generation and verification of a subject's identity based on the subject's association with an organization
Shirvanian et al. 2D-2FA: A new dimension in two-factor authentication
JP5952064B2 (en) Password authentication system and method using only one-time password without using identifier (ID)
JP5996912B2 (en) Password authentication system and method using only one-time password without using identifier (ID)
CN109644137B (en) Method for token-based authentication with signed messages
JP2018022941A (en) Management system, management server and management program
Nguyen et al. Combining fuzzy extractor in biometric-kerberos based authentication protocol
Om et al. A password authentication method for remote users based on smart card and biometrics
Dostálek et al. Omnifactor authentication
US20160021102A1 (en) Method and device for authenticating persons
US20110055906A1 (en) Method for authentication and verifying individuals and units
CN103347021B (en) A kind of can the multiserver safety certifying method of memory cipher based on people
TWI625643B (en) Anonymity based authentication method for wireless sensor networks
KR20110115256A (en) Electronic signature management method using signer identification
Stanciu et al. Electronic Voting System Based on the Blockchain Technology

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150401

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160407

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160412

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160412

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160621

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160728

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160823

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160825

R150 Certificate of patent or registration of utility model

Ref document number: 5996912

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees