JP2014197321A - Collation system - Google Patents
Collation system Download PDFInfo
- Publication number
- JP2014197321A JP2014197321A JP2013072762A JP2013072762A JP2014197321A JP 2014197321 A JP2014197321 A JP 2014197321A JP 2013072762 A JP2013072762 A JP 2013072762A JP 2013072762 A JP2013072762 A JP 2013072762A JP 2014197321 A JP2014197321 A JP 2014197321A
- Authority
- JP
- Japan
- Prior art keywords
- password
- unit
- time password
- verification
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012795 verification Methods 0.000 claims description 76
- 238000004891 communication Methods 0.000 description 44
- 238000000034 method Methods 0.000 description 32
- 230000008569 process Effects 0.000 description 27
- 230000004044 response Effects 0.000 description 24
- 238000012545 processing Methods 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 12
- 230000007246 mechanism Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 239000011159 matrix material Substances 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Abstract
Description
本発明は、ワンタイムパスワード(OTP)を利用する照合システムに関する。 The present invention relates to a verification system using a one-time password (OTP).
従来、ワンタイムパスワード認証を利用する場合、照合側から認証要求する利用者に英数字や記号を組み合せて作成した2次元マトリクスを予め配布しておき、認証要求があると照合側からランダムにマトリクス中のいくつかの位置を指定して、応答として正しい組み合わせが得られたことを照合して実現する手法が知られている。 Conventionally, when using one-time password authentication, a two-dimensional matrix created by combining alphanumeric characters and symbols is distributed in advance to users who request authentication from the verification side. There is known a technique for specifying a plurality of positions and collating and realizing that a correct combination is obtained as a response.
また、照合側(サーバ)と認証要求側(クライアント)の両方に同じタイミングで同じパスワードを生成できるワンタイムパスワード生成器を用意する手法が知られている(特許文献1)。 There is also known a method of preparing a one-time password generator that can generate the same password at the same timing on both the verification side (server) and the authentication request side (client) (Patent Document 1).
ところで、1つ目の手法では、配布した2次元マトリクスが持つ個々の要素の値は不変で、生成できる組み合わせは有限である。また、2つ目の手法では、サーバとクライアントの両方にワンタイムパスワード生成器を用意し、ワンタイムパスワード生成器をカウンタや時計などで同期させる必要がある。 By the way, in the first method, the values of the individual elements of the distributed two-dimensional matrix are unchanged, and the combinations that can be generated are finite. In the second method, it is necessary to prepare a one-time password generator for both the server and the client, and synchronize the one-time password generator with a counter or a clock.
そこで、本発明は、書き換え可能な記憶媒体を介在させてワンタイムパスワードを配布する照合システムを提供することを目的とする。 Therefore, an object of the present invention is to provide a verification system that distributes a one-time password through a rewritable storage medium.
かかる課題を解決するために、本発明は、順次パスワードを生成するパスワード生成部を有し、利用者端末が記憶媒体から読み出したパスワードをサーバ装置にて照合する照合システムであって、前記利用者端末は、前記記憶媒体に記憶されるパスワードを順次更新および読出しを行う媒体更新部と前記サーバ装置に照合要求をする照合要求部とを備え、前記サーバ装置は、前記パスワードを順次記憶するパスワード記憶部と、前記照合要求部から取得したパスワードと前記パスワード記憶部のパスワードとを照合するパスワード照合部を備え、前記パスワード照合部は、前記パスワード記憶部に記憶されているパスワードから最新に照合OKとなったパスワードの次に生成されたパスワードを用いて照合することを特徴とする照合システムを提供する。これにより、携帯端末が照合用に現在書き込まれているワンタイムパスワードを読み出した後、次回以降の照合用に新たなワンタイムパスワードを記憶媒体に上書きすることで、記憶媒体経由でワンタイムパスワードを配布することができる。 In order to solve such a problem, the present invention is a verification system that has a password generation unit that sequentially generates passwords, and that verifies a password read from a storage medium by a user terminal on a server device. The terminal includes a medium update unit that sequentially updates and reads passwords stored in the storage medium, and a verification request unit that makes a verification request to the server device, and the server device stores passwords sequentially. And a password verification unit for verifying the password acquired from the verification request unit and the password in the password storage unit, the password verification unit being the latest verification OK from the password stored in the password storage unit Verification system characterized by verification using password generated next to lost password To provide. As a result, after the mobile terminal reads the one-time password currently written for verification, the new one-time password is overwritten on the storage medium for the subsequent verification, so that the one-time password can be changed via the storage medium. Can be distributed.
かかる照合システムにおいて、前記利用者端末の前記媒体更新部は、前記サーバ装置に指定された領域IDに対応する前記記憶媒体の領域のパスワードの更新および読出しを実行し、
前記サーバの前記パスワード記憶部は、照合OKとなった利用者端末と指定した領域IDを前記次に生成されたパスワードに対応付けて記憶し、前記サーバ装置の前記パスワード照合部は、照合要求をした利用者端末とは対応していないパスワードを前記パスワード記憶部から選定し、当該パスワードに対応する領域IDを照合要求した利用者端末に指定し、かかる照合要求に対して当該選定したパスワードを用いて照合するのが好ましい。これにより、記憶媒体にワンタイムパスワードの書き込みを行った携帯端末自身が同じワンタイムパスワードを使用することを禁止できるため、ワンタイムパスワードの陳腐化を防止することができる。
In such a collation system, the medium update unit of the user terminal updates and reads the password of the area of the storage medium corresponding to the area ID specified in the server device,
The password storage unit of the server stores a user terminal that has been verified and the specified area ID in association with the next generated password, and the password verification unit of the server device issues a verification request. A password that does not correspond to the user terminal selected is selected from the password storage unit, the area ID corresponding to the password is specified for the user terminal that has requested verification, and the selected password is used in response to the verification request. It is preferable to collate them. Thereby, since it is possible to prohibit the portable terminal itself that has written the one-time password in the storage medium from using the same one-time password, it is possible to prevent the one-time password from becoming obsolete.
また、かかる照合システムにおいて、前記媒体更新部は、前記パスワード照合部にて照合OKしたことを条件に、当該パスワードの次に生成されたパスワードにて更新するのが好ましい。 In the verification system, it is preferable that the medium update unit updates the password generated next to the password on condition that the password verification unit performs verification.
また、かかる照合システムにおいて、前記パスワード生成部は、前記パスワード照合部にてパスワードの照合OKを条件に、次のパスワードを生成するのが好ましい。 In the verification system, it is preferable that the password generation unit generates the next password on condition that the password verification unit verifies the password.
本発明によれば、書き換え可能な記憶媒体を介してワンタイムパスワードを授受することができる。 According to the present invention, a one-time password can be exchanged via a rewritable storage medium.
以下、本発明に係る認証システムについて、図を参照しつつ説明する。
図1は、本発明による認証システムの全体構成を模式的に示した図である。図1に示す認証システム1は、利用者が携帯して認証を受ける際に使用する携帯端末2(2−1、2−2)と、ワンタイムパスワードを記憶する記憶媒体3と、ワンタイムパスワード認証を行う認証サーバ装置4と、認証サーバ装置4の認証結果を利用して記憶媒体3と対応付けられた所定のサービスを利用者に提供するサービス提供装置5とから構成される。
Hereinafter, an authentication system according to the present invention will be described with reference to the drawings.
FIG. 1 is a diagram schematically showing the overall configuration of an authentication system according to the present invention. An
この認証システムにおいて、携帯端末2の利用者が記憶媒体3に対応付けられたサービス提供装置5が提供するサービスを利用したいとき、まず、利用者は携帯端末2を記憶媒体3に近づけ、記憶媒体3の媒体IDを読み出し、読み出した媒体IDを認証サーバ装置4へ送信する。媒体IDを受信した認証サーバ装置4は、認証用に携帯端末2が媒体IDで識別される記憶媒体3に記憶されているワンタイムパスワードを読み出すために必要な情報と、携帯端末2が記憶媒体3に書き込むワンタイムパスワードを携帯端末2へ送信する。
In this authentication system, when the user of the
次に、携帯端末2は、認証サーバ装置4から受信した情報を用いて記憶媒体3に記憶されているワンタイムパスワードを読み出し、認証サーバ装置4から受信したワンタイムパスワードを記憶媒体3に書き込む。そして、携帯端末2は、記憶媒体3から読み出したワンタイムパスワードを認証サーバ装置4へ送信する。
Next, the
認証サーバ装置4は、携帯端末2から受信したワンタイムパスワードと認証サーバ装置4が記憶している前回記憶媒体3へ書き込ませたワンタイムパスワードとを照合し、照合OKであれば、サービス提供装置5にサービス提供をするように指示を送信する。
The
図1において、記憶媒体3を介して、携帯端末2−1と携帯端末2−2がワンタイムパスワードの読み出しと書き込みを行うと、携帯端末2−1が書き込んだワンタイムパスワードを携帯端末2−2が読み出して認証に使用するということになり、記憶媒体3と認証サーバ装置4の間で異なる経路でワンタイムパスワードの書き込みと読み出しが行われる。
In FIG. 1, when the portable terminal 2-1 and the portable terminal 2-2 read and write the one-time password via the
まず、図2を参照して、携帯端末2について説明する。
携帯端末2は、例えばNFC(Near Field Communication)機能を搭載したスマートフォンやタブレットであって、入力部21、表示部22、処理部23、記憶部24、記憶媒体3とデータの授受を行う第1通信部25、認証サーバ装置4とデータの授受を行う第2通信部26を含んで構成される。
First, the
The
入力部21は、携帯端末2を操作するためのコマンドやデータを利用者が入力するための入力手段であり、例えばキーパッド、タッチパネル等を含む。入力部21により、利用者からのサービス要求開始や認証要求の指示を受け付け、必要に応じて利用者認証のための利用者名・パスワードなどの入力も行われる。
The
表示部22は、携帯端末2で扱われる情報等を利用者に表示する出力手段であり、例えば液晶ディスプレイ等の画像表示装置を含む。表示部22により、利用者に対して認証結果の表示も行われる。
The
記憶部24は、ROM、RAM、磁気ハードディスク等の記憶装置であり、各種プログラムや各種データを記憶し、端末情報である端末ID241と認証情報242を記憶する。
端末ID241は、認証サーバ装置4が携帯端末2を識別する識別情報である。認証情報242は、認証サーバ装置4が携帯端末2の端末認証を行う場合に使用する秘密情報である。
The
The
処理部23は、携帯端末2の各部を統合的に制御する構成部であり、記憶部24に記憶されている端末プログラムを処理するCPU等を備える。このため、認証要求手段231と媒体更新手段232と照合要求手段233を有する。
The
認証要求手段231は、第1通信部25を介して記憶媒体3から媒体IDを読み出す。また、認証要求手段231は、記憶媒体3から読み出した媒体IDと記憶部24から読み出した端末ID241と認証情報242からなる端末情報を、第2通信部26を介して認証サーバ装置4へ送信し、認証要求を行う。また、認証要求手段231は、認証要求の結果を、第2通信部26を介して認証サーバ装置4から受信する。認証OK応答には、ワンタイムパスワードと領域ID及び認証キーが含まれている。
The
媒体更新手段232は、認証サーバ装置4から認証OK応答として受信した記憶媒体3の領域IDに書き込まれているワンタイムパスワードを読み出すとともに、当該領域に新たなワンタイムパスワードで上書きする。なお、本実施の形態では、認証サーバ装置4が生成したワンタイムパスワードを受信するようにしたが、携帯端末3にて生成してもよい。その場合は、携帯端末3に設けたパスワード生成器で生成したワンタイムパスワードを記憶媒体3へ書き込んだ後、書き込んだワンタイムパスワードを新たなワンタイムパスワードとして認証サーバ装置4へ送信し、記憶させればよい。
The
照合要求手段233は、記憶媒体3から読み出したワンタイムパスワードを、第2通信部26を介して認証サーバ装置4へ送信し、ワンタイムパスワードの照合を要求する。また、照合要求手段233は、照合結果を、第2通信部26を介して認証サーバ装置4から受信し、照合結果を表示部22に表示させる。
The
第1通信部25は、記憶媒体3とデータの授受を行う通信インタフェースである。そのため、記憶媒体3がNFCタグであれば非接触の近距離無線通信部となり、記憶媒体3がSDカードであればSDカードリーダライタ部となる。この第1通信部25を介して、認証要求手段231は、記憶媒体3に対し、媒体ID321の読み出しを行う。また、この第1通信部25を介して、媒体更新手段232は、記憶媒体3に対し、ワンタイムパスワードの読み出しと書き込みを行う。
The
第2通信部26は、認証サーバ装置4とデータの授受を行う通信インタフェースである。そのため、第2通信部26は、有線通信又は無線通信に対応し、インターネット等の広域通信網あるいは閉域通信網などのIP網、あるいは携帯電話通信網の各種ネットワークを介して認証サーバ装置4と通信してもよい。
The
次に、図3を参照して、記憶媒体3について説明する。
記憶媒体3は、例えばNFCタグやSDカードなどの記憶媒体であり、図3に示すように、通信部31、記憶部32、処理部33を含んで構成される。
Next, the
The
通信部31は、携帯端末2との通信を行うインタフェースである。携帯端末2からの読み出し、書き込みは、通信部31を介して行われる。通信部31は、記憶媒体3がNFCタグであれば非接触の近距離無線通信部となり、記憶媒体3がSDカードであれば携帯端末2側のSDカードリーダライタとの接触点となる。以降の説明では、記憶媒体3がNFCタグである場合について説明する。
The
記憶部32は、媒体ID321とワンタイムパスワード記憶領域322から構成される。媒体ID321は、記憶媒体3を特定する識別子を記憶する領域である。携帯端末2から書き込み不可であるのが好ましい。
The
ワンタイムパスワード記憶領域322は、携帯端末2から読み出し書き込み可能な領域であり、複数のワンタイムパスワードの記憶を行うことができる。複数のワンタイムパスワードの記憶が可能な場合、記憶媒体3を複数の携帯端末2で利用し、利用者や携帯端末2ごとにワンタイムパスワードの読み出しと書き込みに用いる領域を分けて指定することが可能になる。また、セキュリティ性を向上させるために、同じ携帯端末2が書き込みと読み出しを連続して行う行為(すなわち、携帯端末2が書き込んだワンタイムパスワードを同じ携帯端末2が読み出す行為)を禁止し、他の携帯端末2が書き込んだワンタイムパスワードのみ読み出し可能にしたいときに、利用可能なワンタイムパスワードを確保しやすくなる。これは、複数の携帯端末2で利用している中で、ワンタイムパスワード記憶領域322に記憶できるワンタイムパスワードが多ければ、他の携帯端末2が書き込んだ読み出し可能なワンタイムパスワードを全て利用して、サービスを利用できなくなるという状況を発生しにくくすることができる。
The one-time
ここで、図5に記憶部32の例を示す。図5では、媒体ID321には“1111”が設定されている。そして、ワンタイムパスワード記憶領域322は、全部で8つのワンタイムパスワードが記憶可能であり、領域IDとワンタイムパスワード及び認証キーを対応づけて記憶している。ワンタイムパスワードは“領域ID”にて特定される。認証キーは、ワンタイムパスワードの読み出し保護を担う保護機構の一部として用いる。図5では、“領域ID”が“1”の“ワンタイムパスワード”は“X”で、“認証キー”には“mmm”が設定されている。なお、初期状態は、記憶媒体3とサービス提供装置5との関連付けを行う際に専用端末で書き込む等何らかの方法で書き込まれる。そして、その同じ内容が後述する認証サーバ装置4の記憶部41に記憶される。
Here, an example of the
処理部33は、携帯端末2の要求に従って記憶部32の読み出し、書き込みの処理を行う。保護機構は、読み出し要求時に正しい認証キーが提示されたときのみ読み出しを許可することにより、携帯端末2による記憶部32への読み出し・書き込みを制限する。
The
次に、図4を参照して、認証サーバ装置4について説明する。
認証サーバ装置4は、携帯端末2に対してワンタイムパスワード認証を行い、記憶媒体3と対応付けられたサービス提供装置5へ認証結果を提供するサーバであり、図4に示すように、記憶部41、処理部42、通信部43を含んで構成される。
Next, the
The
記憶部41は、ROM、RAM、磁気ハードディスク等の記憶装置であり、各種プログラムや各種データを記憶し、端末情報DB411とワンタイムパスワードDB412を記憶する。また、記憶媒体3とサービス提供装置5の対応関係についても記憶している。
The
端末情報DB411は、認証サーバ装置4が携帯端末2の端末認証を行う場合に使用する認証情報242を携帯端末2の端末ID241を対応付けた端末情報を携帯端末2ごとに記憶している。
The
ワンタイムパスワードDB412は、記憶媒体3に対して発行したワンタイムパスワードを記憶しているデータベースである。ワンタイムパスワードDB412は、記憶媒体3のワンタイムパスワード記憶領域322の現在状況を記憶している。
The one-
ここで、図6に記憶部41の例を示す。図6では、端末情報DB411は、端末ID241と認証情報242が対応づけられて記憶されている。本例では3つの端末が管理されている。“端末ID”が“2a”の“認証情報”は“aaa”であり、“端末ID”が“2b”の“認証情報”は“bbb”である。また、ワンタイムパスワードDB412では、媒体IDと発行OTPが対応付けられて記憶されている。発行OTPは、記憶媒体3のワンタイムパスワード記憶領域322の領域IDに対応させた番号(#)毎に、OTPと認証キー、どの携帯端末2にOTPを送信したかを示す情報である送信先、当該OTPが有効か否かを示す有効フラグとが対応付けられている。有効フラグが有効(本例では1=有効、0=無効)の場合、媒体IDで識別される記憶媒体3の記憶部32のワンタイムパスワード記憶領域322とOTPと認証キーのセットは同じ状態に保たれていることになる。図6では、“媒体ID”が“1111”の“#1”の領域(すなわち、“媒体ID”が“1111”のワンタイムパスワード記憶領域322の“領域ID”が“1”の領域)に、“OTP”が“X”、“認証キー”が“mmm”の組を設定し、“端末ID”が“2a”の携帯端末2にその書き込みを行わせ、“有効フラグ”が“1”で現在OTPが有効な状態であることが示されている。
Here, FIG. 6 shows an example of the
処理部42は、認証サーバ装置4の各部を統合的に制御する構成部であり、記憶部41に記憶されているサーバプログラムを処理するCPU等を備える。このため、端末認証手段421とOTP生成手段422とOTP送信手段423とOTP照合手段424を有する。
The
端末認証手段421は、通信部43を介して携帯端末2から受信した端末情報(端末IDと認証情報)を、記憶部41の端末情報DB411の端末情報と照合して携帯端末2の端末認証を行い、認証結果を出力する。
The
OTP生成手段422は、トリガを受ける毎にランダムになるパスワードをワンタイムパスワードとして生成する。また、OTP生成手段422は、通信部43を介して携帯端末2から受信した認証要求から照合に用いるワンタイムパスワードDB412における当該記憶媒体3の領域IDを選定する。なお、記憶媒体3で保護機構を使用しているので、OTP生成手段422は、ワンタイムパスワードと共に認証キーも生成する。
The
OTP送信手段423は、OTP生成手段422で生成したワンタイムパスワードを、領域IDと共に、通信部43を介して携帯端末2に送信する。
なお、生成したワンタイムパスワードは、送信先の携帯端末2の端末IDや記憶媒体3の媒体IDと共に記憶部41の作業領域に一時的に記憶しておく。なお、記憶媒体3で保護機構を使用しているとき、ワンタイムパスワードと共に認証キーも記憶しておく。
The
The generated one-time password is temporarily stored in the work area of the
OTP照合手段424は、通信部43を介して携帯端末2から受信したワンタイムパスワードを、ワンタイムパスワードDB412を参照して照合し、照合結果を出力する。また、OTP照合手段424は、OTP送信手段423が作業領域に一時記憶させたワンタイムパスワード、認証キー、媒体ID及び端末IDを、ワンタイムパスワードDB412のOTP生成手段422が選定した記憶媒体3の領域IDに発行OTPとして記憶させる。
The
通信部43は、携帯端末2やサービス提供装置5との通信を行うインタフェースである。通信部43は有線通信又は無線通信に対応し、インターネット等の広域通信網あるいは閉域通信網などのIP網、あるいは携帯電話通信網の各種ネットワークを介して携帯端末2やサービス提供装置5と通信してもよい。
The
サービス提供装置5は、記憶媒体3と関連づけられ、認証サーバ装置4から受信した照合結果が照合成功の場合に、所定のサービスを携帯端末2の利用者に提供する。
The
ここで、携帯端末2の処理フローを、図7を参照しつつ詳細に説明する。
図7に示すように、利用者がサービスを受けるためにサービス要求開始の操作として記憶媒体3に携帯端末2を近づけることによって処理を開始する。最初に、記憶媒体3から媒体IDを読み出す(ステップS11)。詳細には、認証要求手段231は、記憶媒体3に対して、媒体ID要求信号を送信する。この媒体ID要求信号の応答として、記憶媒体3から媒体IDを取得する。
Here, the processing flow of the
As shown in FIG. 7, in order for the user to receive a service, the process is started by bringing the
ステップS12では、認証要求手段231は、記憶媒体3から読み出した媒体IDと記憶部24から読み出した端末ID241、認証情報242を含む認証要求を認証サーバ装置4へ送信する。
ステップS13では、認証要求手段231は、認証サーバ装置4から認証要求への応答を受信するまで待機する。認証要求への応答を受信すると(ステップS13―はい)、ステップS14では、認証要求手段231は、受信した応答が認証成功によるOK応答か認証失敗によるNG応答かを判断する。OK応答の場合は、領域ID、読み出しに用いる現在の認証キー、書き込みに使用する新たなワンタイムパスワードと新しい認証キーを、認証サーバ装置4から受信する。一方、NG応答の場合は、端末認証の認証失敗の結果を認証サーバ装置4から受信する。
In step S 12, the
In step S13, the
ステップS14で認証成功によるOK応答であれば(ステップS14−はい)、ステップS 15に進み、媒体更新手段232は、認証サーバ装置4から受信した領域IDと現在の認証キーを指定して記憶媒体3へパスワード読出要求信号を送信し、記憶媒体3から現在のワンタイムパスワードを読み出す。また、媒体更新手段232は、認証サーバ装置4から受信した領域IDと新たなワンタイムパスワードと新しい認証キーを指定して記憶媒体3へパスワード書込要求信号を送信し、上書きしてワンタイムパスワードを更新する。このとき、ワンタイムパスワードの書き込みに成功したかどうかの書き込み結果を記憶媒体3から受信する。
If the response is an OK response due to successful authentication in step S14 (step S14-Yes), the process proceeds to step S15, and the
例えば、図5、図6を参照し、“端末ID”が“2a”の携帯端末2が、“媒体ID”が“1111”の記憶媒体3に対して、認証サーバ装置4から“領域ID”が“4”、“現在の認証キー”が“ppp”、“新たなワンタイムパスワード”が“E”、“新しい認証キー”が“ggg”のOK応答を受信したとき、読み出されるワンタイムパスワードは“U”となる。そして、携帯端末2が記憶媒体3への書き込みに成功すると、図9に示すように、ワンタイムパスワード記憶領域322の“領域ID”について更新され、“領域ID”が“4”の“ワンタイムパスワード”は“E”に、“認証キー”には“ggg”が設定されることになる。
For example, referring to FIG. 5 and FIG. 6, the
そして、ステップS16では、照合要求手段233は、記憶媒体3から読み出したワンタイムパスワードを認証サーバ装置4へ送信し、ワンタイムパスワード認証の照合を要求する。詳細には、端末ID241、媒体ID、領域ID、
記憶媒体3から読み出した現在のワンタイムパスワード、新たなワンタイムパスワードの書き込み結果を含む照合要求を認証サーバ装置4に送信し、ワンタイムパスワードの照合を要求する。
In step S16, the
A verification request including the current one-time password read from the
ステップS17では、照合要求手段233は、認証サーバ装置4から照合要求への応答を受信するまで待機する。照合要求への応答を受信すると(ステップS17―はい)、ステップS18に進み、照合要求手段233は、受信した照合結果を表示部22に表示させ、処理を終了する。受信した照合結果が照合OKであれば、その後、サービス提供装置5から所望のサービスの提供を受けることができる。
In step S <b> 17, the
一方、ステップS14で認証失敗によるNG応答であれば(ステップS14−いいえ)、ステップS18に進み、照合要求手段233は、受信した認証失敗の応答を表示部22に表示させ、処理を終了する。
On the other hand, if it is an NG response due to authentication failure in step S14 (step S14-No), the process proceeds to step S18, where the verification request means 233 displays the received authentication failure response on the
なお、図示しないが、ステップS13及びステップS17において一定の時間待機しても認証サーバ装置4からの応答を受信できない場合は、タイムアウトし、処理を中止する。
Although not shown, if a response from the
次に、認証サーバ装置4の処理フローを、図8を参照しつつ詳細に説明する。
図8に示すように、携帯端末2から認証要求を受信すると、認証サーバ装置4は処理を開始する。まず、ステップS21で、端末認証手段421は、携帯端末2から受信した端末ID241と認証情報242が、端末情報DB411に登録されているかどうか端末認証処理を行う。ここでは、端末情報DB411に登録されている端末IDと認証情報の組み合わせが一致すれば認証成功とし、組合せが不一致であれば認証失敗として認証結果を出力する。ステップS22では、出力された認証結果を判定する。
Next, the processing flow of the
As shown in FIG. 8, when an authentication request is received from the
認証成功であれば(ステップS22−はい)、ステップS23に進み、OTP生成手段422は、記憶部41に記憶したワンタイムパスワードDB412を参照し、携帯端末2から受信した認証要求の中の媒体IDで特定される記憶媒体3に対し、この携帯端末2により現在書き込みがされていない領域のワンタイムパスワードの領域IDを選択する。OTP生成手段422は、携帯端末2に読み出させるワンタイムパスワードが格納された媒体領域を選定すると、現在の認証キーを読み出し、携帯端末2が読み出した後に書き込ませるワンタイムパスワード及び認証キーを生成する。そして、ステップS24では、OTP送信手段423は、生成したワンタイムパスワードを携帯端末2に送信する。詳細には、選定した領域IDと読み出した現在の認証キー、生成したワンタイムパスワードと認証キーを含んだOK応答を携帯端末2に送信する。また、OTP送信手段423は、生成したワンタイムパスワードと認証キー、媒体ID及び端末IDを作業領域に一時記憶させる。その後、ステップS25では、携帯端末3から照合要求を受信するまで待機する。
If the authentication is successful (step S22—Yes), the process proceeds to step S23, where the
携帯端末3から照合要求を受信すると(ステップS25−はい)、ステップS26に進み、OTP照合手段424は、受信したワンタイムパスワードとワンタイムパスワードDB412に記憶したワンタイムパスワードを照合する。そして、OTP照合手段424は、ステップS27では照合結果を出力し、携帯端末2に通知する。また、OTP照合手段424は、OTP送信手段423が作業領域に一時記憶させたワンタイムパスワード、認証キーを正式にワンタイムパスワードDB412に記憶する。
When a verification request is received from the portable terminal 3 (step S25—Yes), the process proceeds to step S26, where the
詳細には、照合結果が照合OKかつ携帯端末2から照合要求に含まれて受信した新たなワンタイパスワードの書き込み結果が書き込み成功であれば、認証サーバ装置4は、ワンタイムパスワードDB412内の該当する媒体ID、領域IDに対応するワンタイムパスワードに新しいワンタイムパスワードを格納し、同様に、認証キーには新しい認証キー、送信先に端末IDを格納するとともに有効フラグを有効にセットする。
More specifically, if the verification result is OK and the writing result of the new one-tie password received in the verification request from the
一方、照合結果が照合NGや携帯端末2から照合要求に含まれて受信した新たなワンタイパスワードの書き込み結果が書き込み失敗なら、認証サーバ装置4は記憶部41に媒体ID、領域IDと紐付けて処理が失敗した旨をログとして記録し、ワンタイムパスワードDB412内の該当する媒体ID、領域IDに対応する有効フラグを無効にセットする。
On the other hand, if the collation result is a collation NG or a new one-tie password write result received in the collation request from the
なお、照合結果が照合OKだった場合、携帯端末2から照合要求に含まれて受信した書き込み結果が書き込み成功以外のとき(例えば、書き込みが失敗または処理が中断)、該当する領域IDに対する新たなワンタイムパスワードを再度生成し、携帯端末2経由で記憶媒体3に書き込み、さらにその書き込み結果を携帯端末2経由で認証サーバ装置4に返送させ、認証サーバ装置4内のワンタイムパスワードDB412に書き込んでもよい。
In addition, when the collation result is collation OK, when the write result received in the collation request from the
ステップS28では、照合結果を判定し、照合結果が照合OKであれば(ステップS28−はい)、ステップS29に進み、サービス提供装置5に対し、所定のサービスを利用者に提供するようにサービス提供指示を通知する。一方、照合結果が照合NGであればステップS28−いいえ)、処理を終了する。
In step S28, the collation result is determined, and if the collation result is OK (step S28-Yes), the process proceeds to step S29, and the
一方、ステップS22で認証失敗であれば(ステップS22−いいえ)、ステップS30に進み、認証失敗によるNG応答を送信して、処理を終了する。 On the other hand, if the authentication fails in step S22 (step S22-No), the process proceeds to step S30, an NG response due to the authentication failure is transmitted, and the process ends.
なお、図示しないが、ステップS25において一定の時間待機しても携帯端末3から照合要求を受信できない場合は、タイムアウトし、処理を中止する。
Although not shown in the figure, if the collation request cannot be received from the
以上から、本発明によれば、記憶媒体を介することで、認証サーバ装置又は携帯端末のいずれか一方にワンタイムパスワードを生成するパスワード生成器があればよい。また、本発明によれば、1つのワンタイムパスワード生成器で単なる記憶媒体を介するという構成であっても、異なる経路を用いて流通させることで、安全なワンタイムパスワードを実現できる。記憶媒体がNFCタグであれば、利用者の近接操作の都度授受される記憶媒体のワンタイムパスワードが、認証サーバ装置で正しく照合一致することで、ワンタイムパスワードを記憶する記憶媒体自体の信頼性を持続させることが可能になり、1つのワンタイムパスワード生成器という構成であってもセキュアなワンタイムパスワードを実現できる。 As described above, according to the present invention, it is only necessary to provide a password generator that generates a one-time password in either the authentication server device or the portable terminal through the storage medium. Further, according to the present invention, a safe one-time password can be realized by distributing it using a different route even if it is configured to use a single storage medium with a single one-time password generator. If the storage medium is an NFC tag, the reliability of the storage medium itself that stores the one-time password is verified by correctly verifying and matching the one-time password of the storage medium that is exchanged every time the user performs a proximity operation. Can be maintained, and a secure one-time password can be realized even with a single one-time password generator.
本発明は、上記実施の形態に限定されるものではなく、幾多の変更及び変形が可能である。例えば、本実施の形態では、新たなワンタイムパスワードを認証要求時のOK応答で送信する場合を説明したが、照合結果を送信する際に新たなワンタイムパスワードを送信してもよい。その場合、照合結果を受信後に記憶媒体3へワンタイムパスワード書き込み要求と書き込み結果を受信する処理が行われ、更に書き込み結果を認証サーバ装置4へ送信する処理が追加される。そして、認証要求時には領域IDを選定するだけで新たなワンタイムパスワードや認証キーを生成せずに、ワンタイムパスワード照合処理の後に照合結果を送信する前にOTP生成手段422が新たなワンタイムパスワードや認証キーを生成してもよい。
The present invention is not limited to the above-described embodiment, and many changes and modifications can be made. For example, in the present embodiment, the case where a new one-time password is transmitted as an OK response at the time of an authentication request has been described. However, a new one-time password may be transmitted when a verification result is transmitted. In this case, a process for receiving a one-time password write request and a write result to the
本実施の形態では、端末認証を行う場合を説明したが、端末認証を省略したり、端末認証に加えて利用者認証を行ったりしてもかまわない。 Although the case where terminal authentication is performed has been described in the present embodiment, terminal authentication may be omitted, or user authentication may be performed in addition to terminal authentication.
本実施の形態では、新たなワンタイムパスワードを認証サーバ装置4のOTP生成手段422において生成する場合を説明したが、携帯端末2にパスワード生成手段を持たせてもよい。その場合、認証サーバ装置4から受け取るOK応答は領域IDを含めばよく、媒体更新手段は、パスワード生成手段が生成したワンタイムパスワードを用いて記憶媒体3へワンタイムパスワードの上書きを行えばよい。また、照合要求手段は、パスワード生成手段が生成したワンタイムパスワードを認証要求と一緒に認証サーバ装置4へ送信すればよい。
In the present embodiment, the case where a new one-time password is generated in the
本実施の形態では、ワンタイムパスワード認証に用いる領域IDを選択するときに、携帯端末2が現在書き込みをしていない領域のワンタイムパスワードの領域IDを選択する場合を説明したが、ワンタイムパスワードDB412の送信先と有効フラグの両方を判定して選択する以外にも、有効フラグが有効になっているものを選択候補にして選択するようにしてもよい。また、ワンタイムパスワードDB412の送信先及び有効フラグの状況を定期的に確認し、同一端末IDの送信先が一定の割合に達したり、有効フラグが無効の領域が一定の割合に達したりして、領域IDの選択候補に制限が生じていれば、認証サーバ装置4の管理者に対し警告を出力し、管理者が携帯した専用端末により、記憶媒体3のワンタイムパスワードをすべてリセットする書き込みをさせるようにしてもよい。
In the present embodiment, the case has been described where, when selecting an area ID used for one-time password authentication, the
本実施の形態では、複数の領域IDを用いて1つの記憶媒体に複数のワンタイムパスワードを使用可能としているが、1つのワンタイムパスワードでよい場合は、単数の領域ID又は固定の領域を用いてもよい。 In this embodiment, a plurality of one-time passwords can be used for one storage medium by using a plurality of area IDs. However, if a single one-time password is sufficient, a single area ID or a fixed area is used. May be.
本実施の形態では、認証サーバ装置4が携帯端末2から照合要求を受信する際、ワンタイムパスワードDB412に照合に使用するワンタイムパスワードがあり、OTP生成手段422が生成した新たなワンタイムパスワードは作業領域に一時記憶させている場合を説明したが、ワンタイムパスワードDBに領域ID毎に照合用と更新用の両方を記憶できるようにしてもよい。その場合、OTP生成手段422が生成した新たなワンタイムパスワードは更新用に記憶させ、照合処理の後に更新用から照合用へワンタイムパスワードをスライドさせ、記憶媒体3のワンタイムパスワード記憶領域322の現在状況が照合用に記憶されるようにする。また、ワンタイムパスワードDBに、領域ID毎にOTP生成手段422が生成したワンタイムパスワードを生成順がわかるように複数記憶させ、照合処理の後の時点で最新のものがワンタイムパスワード記憶領域322の現在状況となって次の照合に使用するようにしてもよい。
In the present embodiment, when the
1・・・認証システム
2・・・携帯端末
21・・・入力部
22・・・表示部
23・・・処理部
231・・・認証要求手段
232・・・媒体更新手段
233・・・照合要求手段
24・・・記憶部
241・・・端末ID
242・・・認証情報
25・・・第1通信部
26・・・第2通信部
3・・・記憶媒体
31・・・通信部
32・・・記憶部
321・・・媒体ID
322・・・ワンタイムパスワード記憶領域
33・・・処理部
4・・・認証サーバ装置
41・・・記憶部
411・・・端末情報DB
412・・・ワンタイムパスワードDB
42・・・処理部
421・・・端末認証手段
422・・・OTP生成手段
423・・・OTP送信手段
424・・・OTP照合手段
43・・・通信部
5・・・サービス提供装置
DESCRIPTION OF
242 ...
322 ... One-time
412 ... One-time password DB
42 ...
Claims (4)
前記利用者端末は、前記記憶媒体に記憶されるパスワードを順次更新および読出しを行う媒体更新部と前記サーバ装置に照合要求をする照合要求部とを備え、
前記サーバ装置は、前記パスワードを順次記憶するパスワード記憶部と、前記照合要求部から取得したパスワードと前記パスワード記憶部のパスワードとを照合するパスワード照合部を備え、
前記パスワード照合部は、前記パスワード記憶部に記憶されているパスワードから最新に照合OKとなったパスワードの次に生成されたパスワードを用いて照合することを特徴とする照合システム。 A verification system that has a password generation unit that sequentially generates passwords, and that verifies the password read by the user terminal from the storage medium on the server device,
The user terminal includes a medium update unit that sequentially updates and reads passwords stored in the storage medium, and a verification request unit that makes a verification request to the server device,
The server device includes a password storage unit that sequentially stores the passwords, a password verification unit that verifies a password acquired from the verification request unit and a password of the password storage unit,
The password verification unit performs verification by using a password generated next to a password that has been successfully verified from the password stored in the password storage unit.
前記サーバの前記パスワード記憶部は、照合OKとなった利用者端末と指定した領域IDを前記次に生成されたパスワードに対応付けて記憶し、
前記サーバ装置の前記パスワード照合部は、照合要求をした利用者端末とは対応していないパスワードを前記パスワード記憶部から選定し、当該パスワードに対応する領域IDを照合要求した利用者端末に指定し、かかる照合要求に対して当該選定したパスワードを用いて照合する請求項1に記載の照合システム。 The medium update unit of the user terminal updates and reads the password of the area of the storage medium corresponding to the area ID specified in the server device,
The password storage unit of the server stores a user terminal that has been verified and an area ID that is designated in association with the next generated password,
The password verification unit of the server device selects a password that does not correspond to the user terminal that requested the verification from the password storage unit, and designates the area ID corresponding to the password to the user terminal that requested the verification. The collation system according to claim 1, wherein the collation request is collated using the selected password.
The verification system according to claim 1, wherein the password generation unit generates a next password on condition that password verification is OK in the password verification unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013072762A JP6286132B2 (en) | 2013-03-29 | 2013-03-29 | Verification system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013072762A JP6286132B2 (en) | 2013-03-29 | 2013-03-29 | Verification system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014197321A true JP2014197321A (en) | 2014-10-16 |
JP6286132B2 JP6286132B2 (en) | 2018-02-28 |
Family
ID=52358050
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013072762A Active JP6286132B2 (en) | 2013-03-29 | 2013-03-29 | Verification system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6286132B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11282982A (en) * | 1998-03-31 | 1999-10-15 | Oki Electric Ind Co Ltd | User card, communication terminal equipment, communication server, communication system and user authentication method for communication system |
JP2004355332A (en) * | 2003-05-29 | 2004-12-16 | Kyocera Communication Systems Co Ltd | Log-in management system and its method |
JP2007323483A (en) * | 2006-06-02 | 2007-12-13 | Seiko Epson Corp | Data transmission device and method, and data transmitting/receiving system and method |
JP2008015877A (en) * | 2006-07-07 | 2008-01-24 | Fujitsu Ltd | Authentication system and method |
WO2013012120A1 (en) * | 2011-07-15 | 2013-01-24 | 아이리텍 잉크 | Authentication method and device using a single-use password including biometric image information |
-
2013
- 2013-03-29 JP JP2013072762A patent/JP6286132B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11282982A (en) * | 1998-03-31 | 1999-10-15 | Oki Electric Ind Co Ltd | User card, communication terminal equipment, communication server, communication system and user authentication method for communication system |
JP2004355332A (en) * | 2003-05-29 | 2004-12-16 | Kyocera Communication Systems Co Ltd | Log-in management system and its method |
JP2007323483A (en) * | 2006-06-02 | 2007-12-13 | Seiko Epson Corp | Data transmission device and method, and data transmitting/receiving system and method |
JP2008015877A (en) * | 2006-07-07 | 2008-01-24 | Fujitsu Ltd | Authentication system and method |
WO2013012120A1 (en) * | 2011-07-15 | 2013-01-24 | 아이리텍 잉크 | Authentication method and device using a single-use password including biometric image information |
Non-Patent Citations (1)
Title |
---|
楫 勇一 ほか: "パスワード事前宣言による個人認証法−磁気カードを用いた安全な個人認証法", 電子情報通信学会技術研究報告, vol. 95, no. 423, JPN6014009143, 15 December 1995 (1995-12-15), JP, pages 21 - 28, ISSN: 0003728711 * |
Also Published As
Publication number | Publication date |
---|---|
JP6286132B2 (en) | 2018-02-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102242218B1 (en) | User authentication method and apparatus, and wearable device registration method and apparatus | |
EP3499795A1 (en) | Authentication system and method, and user equipment, authentication server, and service server for performing same method | |
US10771256B2 (en) | Method for generating an electronic signature | |
EP3534584B1 (en) | Service implementation method and apparatus | |
US20190394185A1 (en) | Reminder terminal apparatus and authentication method | |
TR201810238T4 (en) | The appropriate authentication method and apparatus for the user using a mobile authentication application. | |
EP3613188B1 (en) | Personal identifier sign-in for organizational users | |
CN108734018B (en) | Authentication method, device, system and computer readable storage medium | |
JP2015509632A (en) | Login method, login device, terminal, and network server | |
KR101210260B1 (en) | OTP certification device | |
CN107995200B (en) | Certificate issuing method, identity authentication method and system based on smart card | |
US20150188916A1 (en) | Vpn connection authentication system, user terminal, authentication server, biometric authentication result evidence information verification server, vpn connection server, and computer program product | |
JP6025117B2 (en) | Electronic coupon usage method and electronic coupon usage system | |
JP2010033193A (en) | Authentication system and authentication server device | |
JP2016012207A (en) | Information processing system, information processing method, terminal device, and program | |
KR20140012315A (en) | System and method for transfering coupon between near field communication terminals | |
US20150052544A1 (en) | Information processing device, information processing method, information processing system, and computer program product | |
KR20160116971A (en) | System and method for providing mobile payment service supporting convinient complex payment of user | |
JP6322976B2 (en) | Information processing apparatus and user authentication method | |
JP6286132B2 (en) | Verification system | |
JP7200776B2 (en) | Information processing system and program | |
KR20140003270A (en) | A method and an apparatus providing banking service interlocking with social network service application | |
JP6025118B2 (en) | Electronic coupon usage method and electronic coupon usage system | |
EP3145117B1 (en) | A method and a system for shared digital signing of a document | |
JP6520667B2 (en) | INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING SYSTEM, AND PROGRAM |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160317 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170315 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170411 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170612 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171114 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180115 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180130 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180205 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6286132 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |