JP2014197321A - Collation system - Google Patents

Collation system Download PDF

Info

Publication number
JP2014197321A
JP2014197321A JP2013072762A JP2013072762A JP2014197321A JP 2014197321 A JP2014197321 A JP 2014197321A JP 2013072762 A JP2013072762 A JP 2013072762A JP 2013072762 A JP2013072762 A JP 2013072762A JP 2014197321 A JP2014197321 A JP 2014197321A
Authority
JP
Japan
Prior art keywords
password
unit
time password
verification
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013072762A
Other languages
Japanese (ja)
Other versions
JP6286132B2 (en
Inventor
将 細田
Susumu Hosoda
将 細田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Secom Co Ltd
Original Assignee
Secom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Secom Co Ltd filed Critical Secom Co Ltd
Priority to JP2013072762A priority Critical patent/JP6286132B2/en
Publication of JP2014197321A publication Critical patent/JP2014197321A/en
Application granted granted Critical
Publication of JP6286132B2 publication Critical patent/JP6286132B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a collation system which distributes a one-time password via a memory medium.SOLUTION: A mobile terminal 2 carried by a user, reads out an unused one-time password stored in a storage domain of a memory medium 3 specified by an authentication server device 4, in receiving one-time password authentication, and then overwrites the read-out storage domain with a new one-time password in preparation for a coming authentication. The mobile terminal 2 transmits the read-out one-time password to the authentication server device 4 and requests one-time password authentication. The authentication server device 4 has stored a writing state of the one-time password in the storage domain of the memory medium 3, and collates whether the stored one-time password and the one-time password received from the mobile terminal 2 match each other.

Description

本発明は、ワンタイムパスワード(OTP)を利用する照合システムに関する。   The present invention relates to a verification system using a one-time password (OTP).

従来、ワンタイムパスワード認証を利用する場合、照合側から認証要求する利用者に英数字や記号を組み合せて作成した2次元マトリクスを予め配布しておき、認証要求があると照合側からランダムにマトリクス中のいくつかの位置を指定して、応答として正しい組み合わせが得られたことを照合して実現する手法が知られている。   Conventionally, when using one-time password authentication, a two-dimensional matrix created by combining alphanumeric characters and symbols is distributed in advance to users who request authentication from the verification side. There is known a technique for specifying a plurality of positions and collating and realizing that a correct combination is obtained as a response.

また、照合側(サーバ)と認証要求側(クライアント)の両方に同じタイミングで同じパスワードを生成できるワンタイムパスワード生成器を用意する手法が知られている(特許文献1)。   There is also known a method of preparing a one-time password generator that can generate the same password at the same timing on both the verification side (server) and the authentication request side (client) (Patent Document 1).

特開2005−051348号公報Japanese Patent Laying-Open No. 2005-05348

ところで、1つ目の手法では、配布した2次元マトリクスが持つ個々の要素の値は不変で、生成できる組み合わせは有限である。また、2つ目の手法では、サーバとクライアントの両方にワンタイムパスワード生成器を用意し、ワンタイムパスワード生成器をカウンタや時計などで同期させる必要がある。   By the way, in the first method, the values of the individual elements of the distributed two-dimensional matrix are unchanged, and the combinations that can be generated are finite. In the second method, it is necessary to prepare a one-time password generator for both the server and the client, and synchronize the one-time password generator with a counter or a clock.

そこで、本発明は、書き換え可能な記憶媒体を介在させてワンタイムパスワードを配布する照合システムを提供することを目的とする。   Therefore, an object of the present invention is to provide a verification system that distributes a one-time password through a rewritable storage medium.

かかる課題を解決するために、本発明は、順次パスワードを生成するパスワード生成部を有し、利用者端末が記憶媒体から読み出したパスワードをサーバ装置にて照合する照合システムであって、前記利用者端末は、前記記憶媒体に記憶されるパスワードを順次更新および読出しを行う媒体更新部と前記サーバ装置に照合要求をする照合要求部とを備え、前記サーバ装置は、前記パスワードを順次記憶するパスワード記憶部と、前記照合要求部から取得したパスワードと前記パスワード記憶部のパスワードとを照合するパスワード照合部を備え、前記パスワード照合部は、前記パスワード記憶部に記憶されているパスワードから最新に照合OKとなったパスワードの次に生成されたパスワードを用いて照合することを特徴とする照合システムを提供する。これにより、携帯端末が照合用に現在書き込まれているワンタイムパスワードを読み出した後、次回以降の照合用に新たなワンタイムパスワードを記憶媒体に上書きすることで、記憶媒体経由でワンタイムパスワードを配布することができる。   In order to solve such a problem, the present invention is a verification system that has a password generation unit that sequentially generates passwords, and that verifies a password read from a storage medium by a user terminal on a server device. The terminal includes a medium update unit that sequentially updates and reads passwords stored in the storage medium, and a verification request unit that makes a verification request to the server device, and the server device stores passwords sequentially. And a password verification unit for verifying the password acquired from the verification request unit and the password in the password storage unit, the password verification unit being the latest verification OK from the password stored in the password storage unit Verification system characterized by verification using password generated next to lost password To provide. As a result, after the mobile terminal reads the one-time password currently written for verification, the new one-time password is overwritten on the storage medium for the subsequent verification, so that the one-time password can be changed via the storage medium. Can be distributed.

かかる照合システムにおいて、前記利用者端末の前記媒体更新部は、前記サーバ装置に指定された領域IDに対応する前記記憶媒体の領域のパスワードの更新および読出しを実行し、
前記サーバの前記パスワード記憶部は、照合OKとなった利用者端末と指定した領域IDを前記次に生成されたパスワードに対応付けて記憶し、前記サーバ装置の前記パスワード照合部は、照合要求をした利用者端末とは対応していないパスワードを前記パスワード記憶部から選定し、当該パスワードに対応する領域IDを照合要求した利用者端末に指定し、かかる照合要求に対して当該選定したパスワードを用いて照合するのが好ましい。これにより、記憶媒体にワンタイムパスワードの書き込みを行った携帯端末自身が同じワンタイムパスワードを使用することを禁止できるため、ワンタイムパスワードの陳腐化を防止することができる。 In such a collation system, the medium update unit of the user terminal updates and reads the password of the area of the storage medium corresponding to the area ID specified in the server device,
The password storage unit of the server stores a user terminal that has been verified and the specified area ID in association with the next generated password, and the password verification unit of the server device issues a verification request. A password that does not correspond to the user terminal selected is selected from the password storage unit, the area ID corresponding to the password is specified for the user terminal that has requested verification, and the selected password is used in response to the verification request. It is preferable to collate them. Thereby, since it is possible to prohibit the portable terminal itself that has written the one-time password in the storage medium from using the same one-time password, it is possible to prevent the one-time password from becoming obsolete.

また、かかる照合システムにおいて、前記媒体更新部は、前記パスワード照合部にて照合OKしたことを条件に、当該パスワードの次に生成されたパスワードにて更新するのが好ましい。   In the verification system, it is preferable that the medium update unit updates the password generated next to the password on condition that the password verification unit performs verification.

また、かかる照合システムにおいて、前記パスワード生成部は、前記パスワード照合部にてパスワードの照合OKを条件に、次のパスワードを生成するのが好ましい。   In the verification system, it is preferable that the password generation unit generates the next password on condition that the password verification unit verifies the password.

本発明によれば、書き換え可能な記憶媒体を介してワンタイムパスワードを授受することができる。   According to the present invention, a one-time password can be exchanged via a rewritable storage medium.

本発明による認証システムを説明するための図である。It is a figure for demonstrating the authentication system by this invention. 携帯端末の構成図である。It is a block diagram of a portable terminal. 記憶媒体の構成図である。It is a block diagram of a storage medium. 認証サーバ装置の構成図である。It is a block diagram of an authentication server apparatus. 記憶媒体の記憶部を説明するための図である。It is a figure for demonstrating the memory | storage part of a storage medium. 認証サーバ装置の記憶部を説明するための図である。It is a figure for demonstrating the memory | storage part of an authentication server apparatus. 携帯端末の処理フローチャートである。It is a process flowchart of a portable terminal. 認証サーバ装置の処理フローチャートである。It is a process flowchart of an authentication server apparatus. 携帯端末により書き込みが行われた記憶媒体の記憶部を説明するための図である。It is a figure for demonstrating the memory | storage part of the storage medium with which writing was performed by the portable terminal.

以下、本発明に係る認証システムについて、図を参照しつつ説明する。
図1は、本発明による認証システムの全体構成を模式的に示した図である。図1に示す認証システム1は、利用者が携帯して認証を受ける際に使用する携帯端末2(2−1、2−2)と、ワンタイムパスワードを記憶する記憶媒体3と、ワンタイムパスワード認証を行う認証サーバ装置4と、認証サーバ装置4の認証結果を利用して記憶媒体3と対応付けられた所定のサービスを利用者に提供するサービス提供装置5とから構成される。 Hereinafter, an authentication system according to the present invention will be described with reference to the drawings.
FIG. 1 is a diagram schematically showing the overall configuration of an authentication system according to the present invention. An authentication system 1 shown in FIG. 1 includes a mobile terminal 2 (2-1, 2-2) used when a user carries and receives authentication, a storage medium 3 for storing a one-time password, and a one-time password. An authentication server device 4 that performs authentication and a service providing device 5 that provides a user with a predetermined service associated with the storage medium 3 using an authentication result of the authentication server device 4.

この認証システムにおいて、携帯端末2の利用者が記憶媒体3に対応付けられたサービス提供装置5が提供するサービスを利用したいとき、まず、利用者は携帯端末2を記憶媒体3に近づけ、記憶媒体3の媒体IDを読み出し、読み出した媒体IDを認証サーバ装置4へ送信する。媒体IDを受信した認証サーバ装置4は、認証用に携帯端末2が媒体IDで識別される記憶媒体3に記憶されているワンタイムパスワードを読み出すために必要な情報と、携帯端末2が記憶媒体3に書き込むワンタイムパスワードを携帯端末2へ送信する。   In this authentication system, when the user of the mobile terminal 2 wants to use a service provided by the service providing apparatus 5 associated with the storage medium 3, the user first brings the mobile terminal 2 close to the storage medium 3 and stores the storage medium. 3 is read, and the read medium ID is transmitted to the authentication server device 4. Upon receiving the medium ID, the authentication server device 4 receives information necessary for reading the one-time password stored in the storage medium 3 that the portable terminal 2 is identified by the medium ID for authentication, and the portable terminal 2 stores the storage medium. 3 is transmitted to the portable terminal 2.

次に、携帯端末2は、認証サーバ装置4から受信した情報を用いて記憶媒体3に記憶されているワンタイムパスワードを読み出し、認証サーバ装置4から受信したワンタイムパスワードを記憶媒体3に書き込む。そして、携帯端末2は、記憶媒体3から読み出したワンタイムパスワードを認証サーバ装置4へ送信する。   Next, the mobile terminal 2 reads the one-time password stored in the storage medium 3 using the information received from the authentication server device 4 and writes the one-time password received from the authentication server device 4 in the storage medium 3. Then, the portable terminal 2 transmits the one-time password read from the storage medium 3 to the authentication server device 4.

認証サーバ装置4は、携帯端末2から受信したワンタイムパスワードと認証サーバ装置4が記憶している前回記憶媒体3へ書き込ませたワンタイムパスワードとを照合し、照合OKであれば、サービス提供装置5にサービス提供をするように指示を送信する。   The authentication server device 4 collates the one-time password received from the mobile terminal 2 and the one-time password written in the previous storage medium 3 stored in the authentication server device 4. An instruction is sent to 5 to provide the service.

図1において、記憶媒体3を介して、携帯端末2−1と携帯端末2−2がワンタイムパスワードの読み出しと書き込みを行うと、携帯端末2−1が書き込んだワンタイムパスワードを携帯端末2−2が読み出して認証に使用するということになり、記憶媒体3と認証サーバ装置4の間で異なる経路でワンタイムパスワードの書き込みと読み出しが行われる。   In FIG. 1, when the portable terminal 2-1 and the portable terminal 2-2 read and write the one-time password via the storage medium 3, the one-time password written by the portable terminal 2-1 is stored in the portable terminal 2-. 2 is read out and used for authentication, and the one-time password is written and read out through different paths between the storage medium 3 and the authentication server device 4.

まず、図2を参照して、携帯端末2について説明する。
携帯端末2は、例えばNFC(Near Field Communication)機能を搭載したスマートフォンやタブレットであって、入力部21、表示部22、処理部23、記憶部24、記憶媒体3とデータの授受を行う第1通信部25、認証サーバ装置4とデータの授受を行う第2通信部26を含んで構成される。 First, the mobile terminal 2 will be described with reference to FIG.
The mobile terminal 2 is, for example, a smartphone or tablet equipped with an NFC (Near Field Communication) function, and is a first unit that exchanges data with the input unit 21, the display unit 22, the processing unit 23, the storage unit 24, and the storage medium 3. The communication unit 25 and the authentication server device 4 are configured to include a second communication unit 26 that exchanges data.

入力部21は、携帯端末2を操作するためのコマンドやデータを利用者が入力するための入力手段であり、例えばキーパッド、タッチパネル等を含む。入力部21により、利用者からのサービス要求開始や認証要求の指示を受け付け、必要に応じて利用者認証のための利用者名・パスワードなどの入力も行われる。   The input unit 21 is input means for a user to input commands and data for operating the mobile terminal 2, and includes, for example, a keypad, a touch panel, and the like. The input unit 21 receives a service request start or authentication request instruction from a user, and inputs a user name / password for user authentication as necessary.

表示部22は、携帯端末2で扱われる情報等を利用者に表示する出力手段であり、例えば液晶ディスプレイ等の画像表示装置を含む。表示部22により、利用者に対して認証結果の表示も行われる。   The display unit 22 is an output unit that displays information and the like handled by the mobile terminal 2 to the user, and includes an image display device such as a liquid crystal display. The display unit 22 also displays the authentication result for the user.

記憶部24は、ROM、RAM、磁気ハードディスク等の記憶装置であり、各種プログラムや各種データを記憶し、端末情報である端末ID241と認証情報242を記憶する。
端末ID241は、認証サーバ装置4が携帯端末2を識別する識別情報である。認証情報242は、認証サーバ装置4が携帯端末2の端末認証を行う場合に使用する秘密情報である。 The storage unit 24 is a storage device such as a ROM, a RAM, and a magnetic hard disk, stores various programs and various data, and stores a terminal ID 241 and authentication information 242 that are terminal information.
The terminal ID 241 is identification information for identifying the mobile terminal 2 by the authentication server device 4. The authentication information 242 is secret information used when the authentication server device 4 performs terminal authentication of the mobile terminal 2.

処理部23は、携帯端末2の各部を統合的に制御する構成部であり、記憶部24に記憶されている端末プログラムを処理するCPU等を備える。このため、認証要求手段231と媒体更新手段232と照合要求手段233を有する。   The processing unit 23 is a configuration unit that integrally controls each unit of the mobile terminal 2, and includes a CPU that processes a terminal program stored in the storage unit 24. Therefore, the authentication request unit 231, the medium update unit 232, and the verification request unit 233 are included.

認証要求手段231は、第1通信部25を介して記憶媒体3から媒体IDを読み出す。また、認証要求手段231は、記憶媒体3から読み出した媒体IDと記憶部24から読み出した端末ID241と認証情報242からなる端末情報を、第2通信部26を介して認証サーバ装置4へ送信し、認証要求を行う。また、認証要求手段231は、認証要求の結果を、第2通信部26を介して認証サーバ装置4から受信する。認証OK応答には、ワンタイムパスワードと領域ID及び認証キーが含まれている。   The authentication request unit 231 reads the medium ID from the storage medium 3 via the first communication unit 25. Further, the authentication request unit 231 transmits the terminal information including the medium ID read from the storage medium 3, the terminal ID 241 read from the storage unit 24, and the authentication information 242 to the authentication server device 4 via the second communication unit 26. Make an authentication request. Further, the authentication request unit 231 receives the result of the authentication request from the authentication server device 4 via the second communication unit 26. The authentication OK response includes a one-time password, a region ID, and an authentication key.

媒体更新手段232は、認証サーバ装置4から認証OK応答として受信した記憶媒体3の領域IDに書き込まれているワンタイムパスワードを読み出すとともに、当該領域に新たなワンタイムパスワードで上書きする。なお、本実施の形態では、認証サーバ装置4が生成したワンタイムパスワードを受信するようにしたが、携帯端末3にて生成してもよい。その場合は、携帯端末3に設けたパスワード生成器で生成したワンタイムパスワードを記憶媒体3へ書き込んだ後、書き込んだワンタイムパスワードを新たなワンタイムパスワードとして認証サーバ装置4へ送信し、記憶させればよい。   The medium update unit 232 reads the one-time password written in the area ID of the storage medium 3 received as an authentication OK response from the authentication server device 4 and overwrites the area with the new one-time password. In the present embodiment, the one-time password generated by the authentication server device 4 is received, but may be generated by the mobile terminal 3. In that case, after writing the one-time password generated by the password generator provided in the portable terminal 3 to the storage medium 3, the written one-time password is transmitted to the authentication server device 4 as a new one-time password and stored. Just do it.

照合要求手段233は、記憶媒体3から読み出したワンタイムパスワードを、第2通信部26を介して認証サーバ装置4へ送信し、ワンタイムパスワードの照合を要求する。また、照合要求手段233は、照合結果を、第2通信部26を介して認証サーバ装置4から受信し、照合結果を表示部22に表示させる。   The verification request unit 233 transmits the one-time password read from the storage medium 3 to the authentication server device 4 via the second communication unit 26 and requests verification of the one-time password. In addition, the verification request unit 233 receives the verification result from the authentication server device 4 via the second communication unit 26 and causes the display unit 22 to display the verification result.

第1通信部25は、記憶媒体3とデータの授受を行う通信インタフェースである。そのため、記憶媒体3がNFCタグであれば非接触の近距離無線通信部となり、記憶媒体3がSDカードであればSDカードリーダライタ部となる。この第1通信部25を介して、認証要求手段231は、記憶媒体3に対し、媒体ID321の読み出しを行う。また、この第1通信部25を介して、媒体更新手段232は、記憶媒体3に対し、ワンタイムパスワードの読み出しと書き込みを行う。   The first communication unit 25 is a communication interface that exchanges data with the storage medium 3. Therefore, if the storage medium 3 is an NFC tag, it becomes a non-contact near field communication unit, and if the storage medium 3 is an SD card, it becomes an SD card reader / writer unit. The authentication request unit 231 reads the medium ID 321 from the storage medium 3 via the first communication unit 25. Further, the medium update unit 232 reads and writes the one-time password to the storage medium 3 via the first communication unit 25.

第2通信部26は、認証サーバ装置4とデータの授受を行う通信インタフェースである。そのため、第2通信部26は、有線通信又は無線通信に対応し、インターネット等の広域通信網あるいは閉域通信網などのIP網、あるいは携帯電話通信網の各種ネットワークを介して認証サーバ装置4と通信してもよい。   The second communication unit 26 is a communication interface that exchanges data with the authentication server device 4. Therefore, the second communication unit 26 supports wired communication or wireless communication, and communicates with the authentication server device 4 via various networks such as a wide area communication network such as the Internet or an IP network such as a closed communication network, or a mobile phone communication network. May be.

次に、図3を参照して、記憶媒体3について説明する。
記憶媒体3は、例えばNFCタグやSDカードなどの記憶媒体であり、図3に示すように、通信部31、記憶部32、処理部33を含んで構成される。 Next, the storage medium 3 will be described with reference to FIG.
The storage medium 3 is a storage medium such as an NFC tag or an SD card, for example, and includes a communication unit 31, a storage unit 32, and a processing unit 33 as shown in FIG.

通信部31は、携帯端末2との通信を行うインタフェースである。携帯端末2からの読み出し、書き込みは、通信部31を介して行われる。通信部31は、記憶媒体3がNFCタグであれば非接触の近距離無線通信部となり、記憶媒体3がSDカードであれば携帯端末2側のSDカードリーダライタとの接触点となる。以降の説明では、記憶媒体3がNFCタグである場合について説明する。   The communication unit 31 is an interface that performs communication with the mobile terminal 2. Reading and writing from the portable terminal 2 are performed via the communication unit 31. The communication unit 31 is a non-contact short-range wireless communication unit if the storage medium 3 is an NFC tag, and a contact point with the SD card reader / writer on the mobile terminal 2 side if the storage medium 3 is an SD card. In the following description, a case where the storage medium 3 is an NFC tag will be described.

記憶部32は、媒体ID321とワンタイムパスワード記憶領域322から構成される。媒体ID321は、記憶媒体3を特定する識別子を記憶する領域である。携帯端末2から書き込み不可であるのが好ましい。   The storage unit 32 includes a medium ID 321 and a one-time password storage area 322. The medium ID 321 is an area for storing an identifier for specifying the storage medium 3. It is preferable that writing from the portable terminal 2 is impossible.

ワンタイムパスワード記憶領域322は、携帯端末2から読み出し書き込み可能な領域であり、複数のワンタイムパスワードの記憶を行うことができる。複数のワンタイムパスワードの記憶が可能な場合、記憶媒体3を複数の携帯端末2で利用し、利用者や携帯端末2ごとにワンタイムパスワードの読み出しと書き込みに用いる領域を分けて指定することが可能になる。また、セキュリティ性を向上させるために、同じ携帯端末2が書き込みと読み出しを連続して行う行為(すなわち、携帯端末2が書き込んだワンタイムパスワードを同じ携帯端末2が読み出す行為)を禁止し、他の携帯端末2が書き込んだワンタイムパスワードのみ読み出し可能にしたいときに、利用可能なワンタイムパスワードを確保しやすくなる。これは、複数の携帯端末2で利用している中で、ワンタイムパスワード記憶領域322に記憶できるワンタイムパスワードが多ければ、他の携帯端末2が書き込んだ読み出し可能なワンタイムパスワードを全て利用して、サービスを利用できなくなるという状況を発生しにくくすることができる。   The one-time password storage area 322 is an area that can be read and written from the mobile terminal 2 and can store a plurality of one-time passwords. When a plurality of one-time passwords can be stored, the storage medium 3 can be used by a plurality of portable terminals 2, and an area used for reading and writing one-time passwords can be specified separately for each user or portable terminal 2. It becomes possible. In addition, in order to improve security, the same portable terminal 2 prohibits the act of continuously writing and reading (that is, the act of the same portable terminal 2 reading the one-time password written by the portable terminal 2), and others When it is desired to read only the one-time password written by the portable terminal 2, it is easy to secure a usable one-time password. If there are many one-time passwords that can be stored in the one-time password storage area 322 among a plurality of portable terminals 2, all of the readable one-time passwords written by other portable terminals 2 are used. Thus, the situation where the service cannot be used can be made difficult to occur.

ここで、図5に記憶部32の例を示す。図5では、媒体ID321には“1111”が設定されている。そして、ワンタイムパスワード記憶領域322は、全部で8つのワンタイムパスワードが記憶可能であり、領域IDとワンタイムパスワード及び認証キーを対応づけて記憶している。ワンタイムパスワードは“領域ID”にて特定される。認証キーは、ワンタイムパスワードの読み出し保護を担う保護機構の一部として用いる。図5では、“領域ID”が“1”の“ワンタイムパスワード”は“X”で、“認証キー”には“mmm”が設定されている。なお、初期状態は、記憶媒体3とサービス提供装置5との関連付けを行う際に専用端末で書き込む等何らかの方法で書き込まれる。そして、その同じ内容が後述する認証サーバ装置4の記憶部41に記憶される。   Here, an example of the storage unit 32 is shown in FIG. In FIG. 5, “1111” is set in the medium ID 321. The one-time password storage area 322 can store a total of eight one-time passwords, and stores the area ID, the one-time password, and the authentication key in association with each other. The one-time password is specified by “area ID”. The authentication key is used as a part of the protection mechanism that is responsible for protecting the reading of the one-time password. In FIG. 5, the “one-time password” with the “area ID” “1” is “X”, and the “authentication key” is set to “mmm”. Note that the initial state is written by some method such as writing by a dedicated terminal when the storage medium 3 and the service providing apparatus 5 are associated with each other. Then, the same content is stored in the storage unit 41 of the authentication server device 4 described later.

処理部33は、携帯端末2の要求に従って記憶部32の読み出し、書き込みの処理を行う。保護機構は、読み出し要求時に正しい認証キーが提示されたときのみ読み出しを許可することにより、携帯端末2による記憶部32への読み出し・書き込みを制限する。   The processing unit 33 performs read / write processing of the storage unit 32 in accordance with a request from the mobile terminal 2. The protection mechanism restricts reading / writing to the storage unit 32 by the portable terminal 2 by permitting reading only when a correct authentication key is presented at the time of reading request.

次に、図4を参照して、認証サーバ装置4について説明する。
認証サーバ装置4は、携帯端末2に対してワンタイムパスワード認証を行い、記憶媒体3と対応付けられたサービス提供装置5へ認証結果を提供するサーバであり、図4に示すように、記憶部41、処理部42、通信部43を含んで構成される。 Next, the authentication server device 4 will be described with reference to FIG.
The authentication server device 4 is a server that performs one-time password authentication with respect to the mobile terminal 2 and provides an authentication result to the service providing device 5 associated with the storage medium 3, as shown in FIG. 41, a processing unit 42, and a communication unit 43.

記憶部41は、ROM、RAM、磁気ハードディスク等の記憶装置であり、各種プログラムや各種データを記憶し、端末情報DB411とワンタイムパスワードDB412を記憶する。また、記憶媒体3とサービス提供装置5の対応関係についても記憶している。   The storage unit 41 is a storage device such as a ROM, a RAM, or a magnetic hard disk, stores various programs and various data, and stores a terminal information DB 411 and a one-time password DB 412. The correspondence relationship between the storage medium 3 and the service providing device 5 is also stored.

端末情報DB411は、認証サーバ装置4が携帯端末2の端末認証を行う場合に使用する認証情報242を携帯端末2の端末ID241を対応付けた端末情報を携帯端末2ごとに記憶している。   The terminal information DB 411 stores, for each mobile terminal 2, terminal information in which the authentication information 242 used when the authentication server device 4 performs terminal authentication of the mobile terminal 2 is associated with the terminal ID 241 of the mobile terminal 2.

ワンタイムパスワードDB412は、記憶媒体3に対して発行したワンタイムパスワードを記憶しているデータベースである。ワンタイムパスワードDB412は、記憶媒体3のワンタイムパスワード記憶領域322の現在状況を記憶している。   The one-time password DB 412 is a database that stores a one-time password issued to the storage medium 3. The one-time password DB 412 stores the current status of the one-time password storage area 322 of the storage medium 3.

ここで、図6に記憶部41の例を示す。図6では、端末情報DB411は、端末ID241と認証情報242が対応づけられて記憶されている。本例では3つの端末が管理されている。“端末ID”が“2a”の“認証情報”は“aaa”であり、“端末ID”が“2b”の“認証情報”は“bbb”である。また、ワンタイムパスワードDB412では、媒体IDと発行OTPが対応付けられて記憶されている。発行OTPは、記憶媒体3のワンタイムパスワード記憶領域322の領域IDに対応させた番号(#)毎に、OTPと認証キー、どの携帯端末2にOTPを送信したかを示す情報である送信先、当該OTPが有効か否かを示す有効フラグとが対応付けられている。有効フラグが有効(本例では1=有効、0=無効)の場合、媒体IDで識別される記憶媒体3の記憶部32のワンタイムパスワード記憶領域322とOTPと認証キーのセットは同じ状態に保たれていることになる。図6では、“媒体ID”が“1111”の“#1”の領域(すなわち、“媒体ID”が“1111”のワンタイムパスワード記憶領域322の“領域ID”が“1”の領域)に、“OTP”が“X”、“認証キー”が“mmm”の組を設定し、“端末ID”が“2a”の携帯端末2にその書き込みを行わせ、“有効フラグ”が“1”で現在OTPが有効な状態であることが示されている。   Here, FIG. 6 shows an example of the storage unit 41. In FIG. 6, the terminal information DB 411 stores a terminal ID 241 and authentication information 242 in association with each other. In this example, three terminals are managed. “Authentication information” with “terminal ID” “2a” is “aaa”, and “authentication information” with “terminal ID” “2b” is “bbb”. In the one-time password DB 412, the medium ID and the issued OTP are stored in association with each other. The issued OTP is information indicating the OTP, the authentication key, and to which portable terminal 2 the OTP is transmitted for each number (#) corresponding to the area ID of the one-time password storage area 322 of the storage medium 3. A valid flag indicating whether or not the OTP is valid is associated. When the validity flag is valid (1 = valid, 0 = invalid in this example), the one-time password storage area 322 of the storage unit 32 of the storage medium 3 identified by the medium ID, the set of the OTP, and the authentication key are in the same state. It will be kept. In FIG. 6, in the “# 1” area where the “medium ID” is “1111” (that is, the area where the “area ID” is “1” in the one-time password storage area 322 where the “medium ID” is “1111”). , “OTP” is set to “X” and “authentication key” is set to “mmm”, the mobile terminal 2 having “terminal ID” “2a” is written, and “valid flag” is set to “1”. It is shown that OTP is currently in a valid state.

処理部42は、認証サーバ装置4の各部を統合的に制御する構成部であり、記憶部41に記憶されているサーバプログラムを処理するCPU等を備える。このため、端末認証手段421とOTP生成手段422とOTP送信手段423とOTP照合手段424を有する。   The processing unit 42 is a component that integrally controls each unit of the authentication server device 4, and includes a CPU that processes a server program stored in the storage unit 41. Therefore, the terminal authentication unit 421, the OTP generation unit 422, the OTP transmission unit 423, and the OTP collation unit 424 are provided.

端末認証手段421は、通信部43を介して携帯端末2から受信した端末情報(端末IDと認証情報)を、記憶部41の端末情報DB411の端末情報と照合して携帯端末2の端末認証を行い、認証結果を出力する。   The terminal authentication unit 421 verifies the terminal information (terminal ID and authentication information) received from the mobile terminal 2 via the communication unit 43 with the terminal information in the terminal information DB 411 of the storage unit 41 and performs terminal authentication of the mobile terminal 2. And output the authentication result.

OTP生成手段422は、トリガを受ける毎にランダムになるパスワードをワンタイムパスワードとして生成する。また、OTP生成手段422は、通信部43を介して携帯端末2から受信した認証要求から照合に用いるワンタイムパスワードDB412における当該記憶媒体3の領域IDを選定する。なお、記憶媒体3で保護機構を使用しているので、OTP生成手段422は、ワンタイムパスワードと共に認証キーも生成する。   The OTP generation unit 422 generates a random password as a one-time password every time a trigger is received. The OTP generation unit 422 selects the area ID of the storage medium 3 in the one-time password DB 412 used for verification from the authentication request received from the portable terminal 2 via the communication unit 43. Since the storage mechanism 3 uses a protection mechanism, the OTP generation unit 422 generates an authentication key together with the one-time password.

OTP送信手段423は、OTP生成手段422で生成したワンタイムパスワードを、領域IDと共に、通信部43を介して携帯端末2に送信する。
なお、生成したワンタイムパスワードは、送信先の携帯端末2の端末IDや記憶媒体3の媒体IDと共に記憶部41の作業領域に一時的に記憶しておく。なお、記憶媒体3で保護機構を使用しているとき、ワンタイムパスワードと共に認証キーも記憶しておく。 The OTP transmission unit 423 transmits the one-time password generated by the OTP generation unit 422 to the portable terminal 2 through the communication unit 43 together with the area ID.
The generated one-time password is temporarily stored in the work area of the storage unit 41 together with the terminal ID of the transmission destination portable terminal 2 and the medium ID of the storage medium 3. When the protection mechanism is used in the storage medium 3, the authentication key is stored together with the one-time password.

OTP照合手段424は、通信部43を介して携帯端末2から受信したワンタイムパスワードを、ワンタイムパスワードDB412を参照して照合し、照合結果を出力する。また、OTP照合手段424は、OTP送信手段423が作業領域に一時記憶させたワンタイムパスワード、認証キー、媒体ID及び端末IDを、ワンタイムパスワードDB412のOTP生成手段422が選定した記憶媒体3の領域IDに発行OTPとして記憶させる。   The OTP collation unit 424 collates the one-time password received from the portable terminal 2 via the communication unit 43 with reference to the one-time password DB 412 and outputs a collation result. The OTP verification unit 424 also stores the one-time password, authentication key, medium ID, and terminal ID temporarily stored in the work area by the OTP transmission unit 423 in the storage medium 3 selected by the OTP generation unit 422 of the one-time password DB 412. The area ID is stored as the issued OTP.

通信部43は、携帯端末2やサービス提供装置5との通信を行うインタフェースである。通信部43は有線通信又は無線通信に対応し、インターネット等の広域通信網あるいは閉域通信網などのIP網、あるいは携帯電話通信網の各種ネットワークを介して携帯端末2やサービス提供装置5と通信してもよい。   The communication unit 43 is an interface that performs communication with the mobile terminal 2 and the service providing apparatus 5. The communication unit 43 corresponds to wired communication or wireless communication, and communicates with the mobile terminal 2 and the service providing apparatus 5 through various networks such as a wide area communication network such as the Internet or an IP network such as a closed area communication network or a mobile phone communication network. May be.

サービス提供装置5は、記憶媒体3と関連づけられ、認証サーバ装置4から受信した照合結果が照合成功の場合に、所定のサービスを携帯端末2の利用者に提供する。   The service providing apparatus 5 is associated with the storage medium 3 and provides a predetermined service to the user of the portable terminal 2 when the collation result received from the authentication server apparatus 4 is a collation success.

ここで、携帯端末2の処理フローを、図7を参照しつつ詳細に説明する。
図7に示すように、利用者がサービスを受けるためにサービス要求開始の操作として記憶媒体3に携帯端末2を近づけることによって処理を開始する。最初に、記憶媒体3から媒体IDを読み出す(ステップS11)。詳細には、認証要求手段231は、記憶媒体3に対して、媒体ID要求信号を送信する。この媒体ID要求信号の応答として、記憶媒体3から媒体IDを取得する。 Here, the processing flow of the portable terminal 2 will be described in detail with reference to FIG.
As shown in FIG. 7, in order for the user to receive a service, the process is started by bringing the mobile terminal 2 closer to the storage medium 3 as an operation for starting a service request. First, the medium ID is read from the storage medium 3 (step S11). Specifically, the authentication request unit 231 transmits a medium ID request signal to the storage medium 3. As a response to the medium ID request signal, the medium ID is acquired from the storage medium 3.

ステップS12では、認証要求手段231は、記憶媒体3から読み出した媒体IDと記憶部24から読み出した端末ID241、認証情報242を含む認証要求を認証サーバ装置4へ送信する。
ステップS13では、認証要求手段231は、認証サーバ装置4から認証要求への応答を受信するまで待機する。認証要求への応答を受信すると(ステップS13―はい)、ステップS14では、認証要求手段231は、受信した応答が認証成功によるOK応答か認証失敗によるNG応答かを判断する。OK応答の場合は、領域ID、読み出しに用いる現在の認証キー、書き込みに使用する新たなワンタイムパスワードと新しい認証キーを、認証サーバ装置4から受信する。一方、NG応答の場合は、端末認証の認証失敗の結果を認証サーバ装置4から受信する。 In step S 12, the authentication request unit 231 transmits an authentication request including the medium ID read from the storage medium 3, the terminal ID 241 read from the storage unit 24, and authentication information 242 to the authentication server device 4.
In step S13, the authentication request unit 231 waits until a response to the authentication request is received from the authentication server device 4. When a response to the authentication request is received (step S13—Yes), in step S14, the authentication request unit 231 determines whether the received response is an OK response due to successful authentication or an NG response due to authentication failure. In the case of an OK response, the region ID, the current authentication key used for reading, a new one-time password used for writing, and a new authentication key are received from the authentication server device 4. On the other hand, in the case of an NG response, the result of terminal authentication failure is received from the authentication server device 4.

ステップS14で認証成功によるOK応答であれば(ステップS14−はい)、ステップS 15に進み、媒体更新手段232は、認証サーバ装置4から受信した領域IDと現在の認証キーを指定して記憶媒体3へパスワード読出要求信号を送信し、記憶媒体3から現在のワンタイムパスワードを読み出す。また、媒体更新手段232は、認証サーバ装置4から受信した領域IDと新たなワンタイムパスワードと新しい認証キーを指定して記憶媒体3へパスワード書込要求信号を送信し、上書きしてワンタイムパスワードを更新する。このとき、ワンタイムパスワードの書き込みに成功したかどうかの書き込み結果を記憶媒体3から受信する。   If the response is an OK response due to successful authentication in step S14 (step S14-Yes), the process proceeds to step S15, and the medium update unit 232 designates the area ID received from the authentication server device 4 and the current authentication key, and the storage medium. 3 transmits a password read request signal to read the current one-time password from the storage medium 3. Further, the medium update means 232 designates the area ID received from the authentication server device 4, the new one-time password, and the new authentication key, transmits a password write request signal to the storage medium 3, and overwrites the one-time password. Update. At this time, a write result indicating whether or not the one-time password has been successfully written is received from the storage medium 3.

例えば、図5、図6を参照し、“端末ID”が“2a”の携帯端末2が、“媒体ID”が“1111”の記憶媒体3に対して、認証サーバ装置4から“領域ID”が“4”、“現在の認証キー”が“ppp”、“新たなワンタイムパスワード”が“E”、“新しい認証キー”が“ggg”のOK応答を受信したとき、読み出されるワンタイムパスワードは“U”となる。そして、携帯端末2が記憶媒体3への書き込みに成功すると、図9に示すように、ワンタイムパスワード記憶領域322の“領域ID”について更新され、“領域ID”が“4”の“ワンタイムパスワード”は“E”に、“認証キー”には“ggg”が設定されることになる。   For example, referring to FIG. 5 and FIG. 6, the portable terminal 2 having “terminal ID” “2a” and the “area ID” from the authentication server device 4 to the storage medium 3 having “media ID” “1111”. Is read when an OK response is received with "4", "Current authentication key" is "ppp", "New one-time password" is "E", and "New authentication key" is "ggg" Becomes “U”. When the portable terminal 2 succeeds in writing to the storage medium 3, as shown in FIG. 9, the "area ID" in the one-time password storage area 322 is updated, and the "area ID" is "4" “Password” is set to “E”, and “Ggg” is set to “Authentication Key”.

そして、ステップS16では、照合要求手段233は、記憶媒体3から読み出したワンタイムパスワードを認証サーバ装置4へ送信し、ワンタイムパスワード認証の照合を要求する。詳細には、端末ID241、媒体ID、領域ID、
記憶媒体3から読み出した現在のワンタイムパスワード、新たなワンタイムパスワードの書き込み結果を含む照合要求を認証サーバ装置4に送信し、ワンタイムパスワードの照合を要求する。 In step S16, the verification request unit 233 transmits the one-time password read from the storage medium 3 to the authentication server device 4 and requests verification of the one-time password authentication. Specifically, the terminal ID 241, the medium ID, the area ID,
A verification request including the current one-time password read from the storage medium 3 and the result of writing the new one-time password is transmitted to the authentication server device 4 to request verification of the one-time password.

ステップS17では、照合要求手段233は、認証サーバ装置4から照合要求への応答を受信するまで待機する。照合要求への応答を受信すると(ステップS17―はい)、ステップS18に進み、照合要求手段233は、受信した照合結果を表示部22に表示させ、処理を終了する。受信した照合結果が照合OKであれば、その後、サービス提供装置5から所望のサービスの提供を受けることができる。   In step S <b> 17, the verification request unit 233 stands by until a response to the verification request is received from the authentication server device 4. When a response to the verification request is received (step S17—Yes), the process proceeds to step S18, where the verification request means 233 displays the received verification result on the display unit 22 and ends the process. If the received collation result is collation OK, it is possible to receive a desired service from the service providing apparatus 5 thereafter.

一方、ステップS14で認証失敗によるNG応答であれば(ステップS14−いいえ)、ステップS18に進み、照合要求手段233は、受信した認証失敗の応答を表示部22に表示させ、処理を終了する。   On the other hand, if it is an NG response due to authentication failure in step S14 (step S14-No), the process proceeds to step S18, where the verification request means 233 displays the received authentication failure response on the display unit 22 and ends the process.

なお、図示しないが、ステップS13及びステップS17において一定の時間待機しても認証サーバ装置4からの応答を受信できない場合は、タイムアウトし、処理を中止する。   Although not shown, if a response from the authentication server device 4 cannot be received even after waiting for a certain time in step S13 and step S17, a time-out occurs and the process is stopped.

次に、認証サーバ装置4の処理フローを、図8を参照しつつ詳細に説明する。
図8に示すように、携帯端末2から認証要求を受信すると、認証サーバ装置4は処理を開始する。まず、ステップS21で、端末認証手段421は、携帯端末2から受信した端末ID241と認証情報242が、端末情報DB411に登録されているかどうか端末認証処理を行う。ここでは、端末情報DB411に登録されている端末IDと認証情報の組み合わせが一致すれば認証成功とし、組合せが不一致であれば認証失敗として認証結果を出力する。ステップS22では、出力された認証結果を判定する。 Next, the processing flow of the authentication server device 4 will be described in detail with reference to FIG.
As shown in FIG. 8, when an authentication request is received from the mobile terminal 2, the authentication server device 4 starts processing. First, in step S <b> 21, the terminal authentication unit 421 performs terminal authentication processing to check whether the terminal ID 241 and the authentication information 242 received from the mobile terminal 2 are registered in the terminal information DB 411. Here, if the combination of the terminal ID registered in the terminal information DB 411 and the authentication information matches, the authentication is successful, and if the combination does not match, the authentication result is output as an authentication failure. In step S22, the output authentication result is determined.

認証成功であれば(ステップS22−はい)、ステップS23に進み、OTP生成手段422は、記憶部41に記憶したワンタイムパスワードDB412を参照し、携帯端末2から受信した認証要求の中の媒体IDで特定される記憶媒体3に対し、この携帯端末2により現在書き込みがされていない領域のワンタイムパスワードの領域IDを選択する。OTP生成手段422は、携帯端末2に読み出させるワンタイムパスワードが格納された媒体領域を選定すると、現在の認証キーを読み出し、携帯端末2が読み出した後に書き込ませるワンタイムパスワード及び認証キーを生成する。そして、ステップS24では、OTP送信手段423は、生成したワンタイムパスワードを携帯端末2に送信する。詳細には、選定した領域IDと読み出した現在の認証キー、生成したワンタイムパスワードと認証キーを含んだOK応答を携帯端末2に送信する。また、OTP送信手段423は、生成したワンタイムパスワードと認証キー、媒体ID及び端末IDを作業領域に一時記憶させる。その後、ステップS25では、携帯端末3から照合要求を受信するまで待機する。   If the authentication is successful (step S22—Yes), the process proceeds to step S23, where the OTP generation unit 422 refers to the one-time password DB 412 stored in the storage unit 41, and the medium ID in the authentication request received from the mobile terminal 2 The area ID of the one-time password of the area that is not currently written by the portable terminal 2 is selected for the storage medium 3 specified in (1). When the OTP generation unit 422 selects a medium area in which a one-time password to be read by the portable terminal 2 is selected, the OTP generation unit 422 reads the current authentication key and generates a one-time password and an authentication key to be written after the portable terminal 2 reads the authentication key. To do. In step S <b> 24, the OTP transmission unit 423 transmits the generated one-time password to the mobile terminal 2. Specifically, an OK response including the selected region ID, the read current authentication key, the generated one-time password and the authentication key is transmitted to the mobile terminal 2. Further, the OTP transmission unit 423 temporarily stores the generated one-time password, authentication key, medium ID, and terminal ID in the work area. Thereafter, in step S25, the process waits until a collation request is received from the mobile terminal 3.

携帯端末3から照合要求を受信すると(ステップS25−はい)、ステップS26に進み、OTP照合手段424は、受信したワンタイムパスワードとワンタイムパスワードDB412に記憶したワンタイムパスワードを照合する。そして、OTP照合手段424は、ステップS27では照合結果を出力し、携帯端末2に通知する。また、OTP照合手段424は、OTP送信手段423が作業領域に一時記憶させたワンタイムパスワード、認証キーを正式にワンタイムパスワードDB412に記憶する。   When a verification request is received from the portable terminal 3 (step S25—Yes), the process proceeds to step S26, where the OTP verification unit 424 verifies the received one-time password and the one-time password stored in the one-time password DB 412. In step S27, the OTP collation unit 424 outputs the collation result and notifies the portable terminal 2 of the collation result. Further, the OTP collation unit 424 officially stores the one-time password and the authentication key temporarily stored in the work area by the OTP transmission unit 423 in the one-time password DB 412.

詳細には、照合結果が照合OKかつ携帯端末2から照合要求に含まれて受信した新たなワンタイパスワードの書き込み結果が書き込み成功であれば、認証サーバ装置4は、ワンタイムパスワードDB412内の該当する媒体ID、領域IDに対応するワンタイムパスワードに新しいワンタイムパスワードを格納し、同様に、認証キーには新しい認証キー、送信先に端末IDを格納するとともに有効フラグを有効にセットする。   More specifically, if the verification result is OK and the writing result of the new one-tie password received in the verification request from the portable terminal 2 is successful, the authentication server device 4 corresponds to the one in the one-time password DB 412. The new one-time password is stored in the one-time password corresponding to the medium ID and the area ID. Similarly, the new authentication key is stored in the authentication key, the terminal ID is stored in the transmission destination, and the valid flag is set to be valid.

一方、照合結果が照合NGや携帯端末2から照合要求に含まれて受信した新たなワンタイパスワードの書き込み結果が書き込み失敗なら、認証サーバ装置4は記憶部41に媒体ID、領域IDと紐付けて処理が失敗した旨をログとして記録し、ワンタイムパスワードDB412内の該当する媒体ID、領域IDに対応する有効フラグを無効にセットする。   On the other hand, if the collation result is a collation NG or a new one-tie password write result received in the collation request from the mobile terminal 2, the authentication server device 4 associates the storage unit 41 with the medium ID and area ID. The fact that the process has failed is recorded as a log, and the valid flag corresponding to the corresponding medium ID and area ID in the one-time password DB 412 is set to invalid.

なお、照合結果が照合OKだった場合、携帯端末2から照合要求に含まれて受信した書き込み結果が書き込み成功以外のとき(例えば、書き込みが失敗または処理が中断)、該当する領域IDに対する新たなワンタイムパスワードを再度生成し、携帯端末2経由で記憶媒体3に書き込み、さらにその書き込み結果を携帯端末2経由で認証サーバ装置4に返送させ、認証サーバ装置4内のワンタイムパスワードDB412に書き込んでもよい。   In addition, when the collation result is collation OK, when the write result received in the collation request from the portable terminal 2 is other than the write success (for example, the write is unsuccessful or the process is interrupted), a new one for the corresponding area ID Even if the one-time password is generated again and written to the storage medium 3 via the portable terminal 2, the writing result is returned to the authentication server device 4 via the portable terminal 2, and written to the one-time password DB 412 in the authentication server device 4. Good.

ステップS28では、照合結果を判定し、照合結果が照合OKであれば(ステップS28−はい)、ステップS29に進み、サービス提供装置5に対し、所定のサービスを利用者に提供するようにサービス提供指示を通知する。一方、照合結果が照合NGであればステップS28−いいえ)、処理を終了する。   In step S28, the collation result is determined, and if the collation result is OK (step S28-Yes), the process proceeds to step S29, and the service provision apparatus 5 is provided with a service so as to provide a predetermined service to the user. Notify instructions. On the other hand, if the collation result is collation NG (step S28—No), the process is terminated.

一方、ステップS22で認証失敗であれば(ステップS22−いいえ)、ステップS30に進み、認証失敗によるNG応答を送信して、処理を終了する。   On the other hand, if the authentication fails in step S22 (step S22-No), the process proceeds to step S30, an NG response due to the authentication failure is transmitted, and the process ends.

なお、図示しないが、ステップS25において一定の時間待機しても携帯端末3から照合要求を受信できない場合は、タイムアウトし、処理を中止する。   Although not shown in the figure, if the collation request cannot be received from the portable terminal 3 even after waiting for a certain time in step S25, the process times out and the process is stopped.

以上から、本発明によれば、記憶媒体を介することで、認証サーバ装置又は携帯端末のいずれか一方にワンタイムパスワードを生成するパスワード生成器があればよい。また、本発明によれば、1つのワンタイムパスワード生成器で単なる記憶媒体を介するという構成であっても、異なる経路を用いて流通させることで、安全なワンタイムパスワードを実現できる。記憶媒体がNFCタグであれば、利用者の近接操作の都度授受される記憶媒体のワンタイムパスワードが、認証サーバ装置で正しく照合一致することで、ワンタイムパスワードを記憶する記憶媒体自体の信頼性を持続させることが可能になり、1つのワンタイムパスワード生成器という構成であってもセキュアなワンタイムパスワードを実現できる。   As described above, according to the present invention, it is only necessary to provide a password generator that generates a one-time password in either the authentication server device or the portable terminal through the storage medium. Further, according to the present invention, a safe one-time password can be realized by distributing it using a different route even if it is configured to use a single storage medium with a single one-time password generator. If the storage medium is an NFC tag, the reliability of the storage medium itself that stores the one-time password is verified by correctly verifying and matching the one-time password of the storage medium that is exchanged every time the user performs a proximity operation. Can be maintained, and a secure one-time password can be realized even with a single one-time password generator.

本発明は、上記実施の形態に限定されるものではなく、幾多の変更及び変形が可能である。例えば、本実施の形態では、新たなワンタイムパスワードを認証要求時のOK応答で送信する場合を説明したが、照合結果を送信する際に新たなワンタイムパスワードを送信してもよい。その場合、照合結果を受信後に記憶媒体3へワンタイムパスワード書き込み要求と書き込み結果を受信する処理が行われ、更に書き込み結果を認証サーバ装置4へ送信する処理が追加される。そして、認証要求時には領域IDを選定するだけで新たなワンタイムパスワードや認証キーを生成せずに、ワンタイムパスワード照合処理の後に照合結果を送信する前にOTP生成手段422が新たなワンタイムパスワードや認証キーを生成してもよい。   The present invention is not limited to the above-described embodiment, and many changes and modifications can be made. For example, in the present embodiment, the case where a new one-time password is transmitted as an OK response at the time of an authentication request has been described. However, a new one-time password may be transmitted when a verification result is transmitted. In this case, a process for receiving a one-time password write request and a write result to the storage medium 3 after receiving the verification result is performed, and a process for transmitting the write result to the authentication server device 4 is further added. Then, when an authentication request is made, the OTP generation unit 422 does not generate a new one-time password or authentication key by simply selecting an area ID, but before the verification result is transmitted after the one-time password verification process, the OTP generation unit 422 generates a new one-time password. Or an authentication key may be generated.

本実施の形態では、端末認証を行う場合を説明したが、端末認証を省略したり、端末認証に加えて利用者認証を行ったりしてもかまわない。   Although the case where terminal authentication is performed has been described in the present embodiment, terminal authentication may be omitted, or user authentication may be performed in addition to terminal authentication.

本実施の形態では、新たなワンタイムパスワードを認証サーバ装置4のOTP生成手段422において生成する場合を説明したが、携帯端末2にパスワード生成手段を持たせてもよい。その場合、認証サーバ装置4から受け取るOK応答は領域IDを含めばよく、媒体更新手段は、パスワード生成手段が生成したワンタイムパスワードを用いて記憶媒体3へワンタイムパスワードの上書きを行えばよい。また、照合要求手段は、パスワード生成手段が生成したワンタイムパスワードを認証要求と一緒に認証サーバ装置4へ送信すればよい。   In the present embodiment, the case where a new one-time password is generated in the OTP generation unit 422 of the authentication server device 4 has been described. However, the portable terminal 2 may have a password generation unit. In this case, the OK response received from the authentication server device 4 may include the area ID, and the medium update unit may overwrite the one-time password on the storage medium 3 using the one-time password generated by the password generation unit. Further, the verification request unit may transmit the one-time password generated by the password generation unit to the authentication server device 4 together with the authentication request.

本実施の形態では、ワンタイムパスワード認証に用いる領域IDを選択するときに、携帯端末2が現在書き込みをしていない領域のワンタイムパスワードの領域IDを選択する場合を説明したが、ワンタイムパスワードDB412の送信先と有効フラグの両方を判定して選択する以外にも、有効フラグが有効になっているものを選択候補にして選択するようにしてもよい。また、ワンタイムパスワードDB412の送信先及び有効フラグの状況を定期的に確認し、同一端末IDの送信先が一定の割合に達したり、有効フラグが無効の領域が一定の割合に達したりして、領域IDの選択候補に制限が生じていれば、認証サーバ装置4の管理者に対し警告を出力し、管理者が携帯した専用端末により、記憶媒体3のワンタイムパスワードをすべてリセットする書き込みをさせるようにしてもよい。   In the present embodiment, the case has been described where, when selecting an area ID used for one-time password authentication, the mobile terminal 2 selects the area ID of the one-time password of the area that is not currently written. In addition to determining and selecting both the transmission destination and the valid flag in the DB 412, it is also possible to select a candidate for which the valid flag is valid as a selection candidate. Also, the status of the transmission destination and valid flag of the one-time password DB 412 is periodically checked, the transmission destination of the same terminal ID reaches a certain ratio, or the area where the validity flag is invalid reaches a certain ratio. If there are restrictions on the area ID selection candidates, a warning is output to the administrator of the authentication server device 4, and writing is performed to reset all the one-time passwords of the storage medium 3 by a dedicated terminal carried by the administrator. You may make it make it.

本実施の形態では、複数の領域IDを用いて1つの記憶媒体に複数のワンタイムパスワードを使用可能としているが、1つのワンタイムパスワードでよい場合は、単数の領域ID又は固定の領域を用いてもよい。   In this embodiment, a plurality of one-time passwords can be used for one storage medium by using a plurality of area IDs. However, if a single one-time password is sufficient, a single area ID or a fixed area is used. May be.

本実施の形態では、認証サーバ装置4が携帯端末2から照合要求を受信する際、ワンタイムパスワードDB412に照合に使用するワンタイムパスワードがあり、OTP生成手段422が生成した新たなワンタイムパスワードは作業領域に一時記憶させている場合を説明したが、ワンタイムパスワードDBに領域ID毎に照合用と更新用の両方を記憶できるようにしてもよい。その場合、OTP生成手段422が生成した新たなワンタイムパスワードは更新用に記憶させ、照合処理の後に更新用から照合用へワンタイムパスワードをスライドさせ、記憶媒体3のワンタイムパスワード記憶領域322の現在状況が照合用に記憶されるようにする。また、ワンタイムパスワードDBに、領域ID毎にOTP生成手段422が生成したワンタイムパスワードを生成順がわかるように複数記憶させ、照合処理の後の時点で最新のものがワンタイムパスワード記憶領域322の現在状況となって次の照合に使用するようにしてもよい。   In the present embodiment, when the authentication server device 4 receives a verification request from the portable terminal 2, the one-time password DB 412 has a one-time password used for verification, and the new one-time password generated by the OTP generation unit 422 is Although the case where it is temporarily stored in the work area has been described, it is also possible to store both for verification and for update for each area ID in the one-time password DB. In that case, the new one-time password generated by the OTP generation unit 422 is stored for update, and after the verification process, the one-time password is slid from update to verification, and the one-time password storage area 322 of the storage medium 3 is stored. The current status is stored for verification. In addition, a plurality of one-time passwords generated by the OTP generation unit 422 for each area ID are stored in the one-time password DB so that the generation order can be understood, and the latest one-time password storage area 322 at the time after the verification process. May be used for the next verification.

1・・・認証システム
2・・・携帯端末
21・・・入力部
22・・・表示部
23・・・処理部
231・・・認証要求手段
232・・・媒体更新手段
233・・・照合要求手段
24・・・記憶部
241・・・端末ID
242・・・認証情報
25・・・第1通信部
26・・・第2通信部
3・・・記憶媒体
31・・・通信部
32・・・記憶部
321・・・媒体ID
322・・・ワンタイムパスワード記憶領域
33・・・処理部
4・・・認証サーバ装置
41・・・記憶部
411・・・端末情報DB
412・・・ワンタイムパスワードDB
42・・・処理部
421・・・端末認証手段
422・・・OTP生成手段
423・・・OTP送信手段
424・・・OTP照合手段
43・・・通信部
5・・・サービス提供装置

DESCRIPTION OF SYMBOLS 1 ... Authentication system 2 ... Portable terminal 21 ... Input part 22 ... Display part 23 ... Processing part 231 ... Authentication request means 232 ... Medium update means 233 ... Verification request Means 24 ... storage unit 241 ... terminal ID
242 ... Authentication information 25 ... First communication unit 26 ... Second communication unit 3 ... Storage medium 31 ... Communication unit 32 ... Storage unit 321 ... Medium ID
322 ... One-time password storage area 33 ... Processing unit 4 ... Authentication server device 41 ... Storage unit 411 ... Terminal information DB
412 ... One-time password DB
42 ... Processing unit 421 ... Terminal authentication unit 422 ... OTP generation unit 423 ... OTP transmission unit 424 ... OTP collation unit 43 ... Communication unit 5 ... Service providing device

Claims (4)

順次パスワードを生成するパスワード生成部を有し、利用者端末が記憶媒体から読み出したパスワードをサーバ装置にて照合する照合システムであって、
前記利用者端末は、前記記憶媒体に記憶されるパスワードを順次更新および読出しを行う媒体更新部と前記サーバ装置に照合要求をする照合要求部とを備え、
前記サーバ装置は、前記パスワードを順次記憶するパスワード記憶部と、前記照合要求部から取得したパスワードと前記パスワード記憶部のパスワードとを照合するパスワード照合部を備え、
前記パスワード照合部は、前記パスワード記憶部に記憶されているパスワードから最新に照合OKとなったパスワードの次に生成されたパスワードを用いて照合することを特徴とする照合システム。 A verification system that has a password generation unit that sequentially generates passwords, and that verifies the password read by the user terminal from the storage medium on the server device,
The user terminal includes a medium update unit that sequentially updates and reads passwords stored in the storage medium, and a verification request unit that makes a verification request to the server device,
The server device includes a password storage unit that sequentially stores the passwords, a password verification unit that verifies a password acquired from the verification request unit and a password of the password storage unit,
The password verification unit performs verification by using a password generated next to a password that has been successfully verified from the password stored in the password storage unit. 前記利用者端末の前記媒体更新部は、前記サーバ装置に指定された領域IDに対応する前記記憶媒体の領域のパスワードの更新および読出しを実行し、
前記サーバの前記パスワード記憶部は、照合OKとなった利用者端末と指定した領域IDを前記次に生成されたパスワードに対応付けて記憶し、
前記サーバ装置の前記パスワード照合部は、照合要求をした利用者端末とは対応していないパスワードを前記パスワード記憶部から選定し、当該パスワードに対応する領域IDを照合要求した利用者端末に指定し、かかる照合要求に対して当該選定したパスワードを用いて照合する請求項1に記載の照合システム。 The medium update unit of the user terminal updates and reads the password of the area of the storage medium corresponding to the area ID specified in the server device,
The password storage unit of the server stores a user terminal that has been verified and an area ID that is designated in association with the next generated password,
The password verification unit of the server device selects a password that does not correspond to the user terminal that requested the verification from the password storage unit, and designates the area ID corresponding to the password to the user terminal that requested the verification. The collation system according to claim 1, wherein the collation request is collated using the selected password. 前記媒体更新部は、前記パスワード照合部にて照合OKしたことを条件に、当該パスワードの次に生成されたパスワードにて更新する請求項1または請求項2の何れか1項に記載の照合システム。   3. The verification system according to claim 1, wherein the medium update unit updates with a password generated next to the password on condition that the password verification unit performs verification. . 前記パスワード生成部は、前記パスワード照合部にてパスワードの照合OKを条件に、次のパスワードを生成する請求項1または請求項2の何れか1項に記載の照合システム。

The verification system according to claim 1, wherein the password generation unit generates a next password on condition that password verification is OK in the password verification unit.

JP2013072762A 2013-03-29 2013-03-29 Verification system Active JP6286132B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013072762A JP6286132B2 (en) 2013-03-29 2013-03-29 Verification system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013072762A JP6286132B2 (en) 2013-03-29 2013-03-29 Verification system

Publications (2)

Publication Number Publication Date
JP2014197321A true JP2014197321A (en) 2014-10-16
JP6286132B2 JP6286132B2 (en) 2018-02-28

Family

ID=52358050

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013072762A Active JP6286132B2 (en) 2013-03-29 2013-03-29 Verification system

Country Status (1)

Country Link
JP (1) JP6286132B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282982A (en) * 1998-03-31 1999-10-15 Oki Electric Ind Co Ltd User card, communication terminal equipment, communication server, communication system and user authentication method for communication system
JP2004355332A (en) * 2003-05-29 2004-12-16 Kyocera Communication Systems Co Ltd Log-in management system and its method
JP2007323483A (en) * 2006-06-02 2007-12-13 Seiko Epson Corp Data transmission device and method, and data transmitting/receiving system and method
JP2008015877A (en) * 2006-07-07 2008-01-24 Fujitsu Ltd Authentication system and method
WO2013012120A1 (en) * 2011-07-15 2013-01-24 아이리텍 잉크 Authentication method and device using a single-use password including biometric image information

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282982A (en) * 1998-03-31 1999-10-15 Oki Electric Ind Co Ltd User card, communication terminal equipment, communication server, communication system and user authentication method for communication system
JP2004355332A (en) * 2003-05-29 2004-12-16 Kyocera Communication Systems Co Ltd Log-in management system and its method
JP2007323483A (en) * 2006-06-02 2007-12-13 Seiko Epson Corp Data transmission device and method, and data transmitting/receiving system and method
JP2008015877A (en) * 2006-07-07 2008-01-24 Fujitsu Ltd Authentication system and method
WO2013012120A1 (en) * 2011-07-15 2013-01-24 아이리텍 잉크 Authentication method and device using a single-use password including biometric image information

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
楫 勇一 ほか: "パスワード事前宣言による個人認証法−磁気カードを用いた安全な個人認証法", 電子情報通信学会技術研究報告, vol. 95, no. 423, JPN6014009143, 15 December 1995 (1995-12-15), JP, pages 21 - 28, ISSN: 0003728711 *

Also Published As

Publication number Publication date
JP6286132B2 (en) 2018-02-28

Similar Documents

Publication Publication Date Title
KR102242218B1 (en) User authentication method and apparatus, and wearable device registration method and apparatus
EP3499795A1 (en) Authentication system and method, and user equipment, authentication server, and service server for performing same method
US10771256B2 (en) Method for generating an electronic signature
EP3534584B1 (en) Service implementation method and apparatus
US20190394185A1 (en) Reminder terminal apparatus and authentication method
TR201810238T4 (en) The appropriate authentication method and apparatus for the user using a mobile authentication application.
EP3613188B1 (en) Personal identifier sign-in for organizational users
CN108734018B (en) Authentication method, device, system and computer readable storage medium
JP2015509632A (en) Login method, login device, terminal, and network server
KR101210260B1 (en) OTP certification device
CN107995200B (en) Certificate issuing method, identity authentication method and system based on smart card
US20150188916A1 (en) Vpn connection authentication system, user terminal, authentication server, biometric authentication result evidence information verification server, vpn connection server, and computer program product
JP6025117B2 (en) Electronic coupon usage method and electronic coupon usage system
JP2010033193A (en) Authentication system and authentication server device
JP2016012207A (en) Information processing system, information processing method, terminal device, and program
KR20140012315A (en) System and method for transfering coupon between near field communication terminals
US20150052544A1 (en) Information processing device, information processing method, information processing system, and computer program product
KR20160116971A (en) System and method for providing mobile payment service supporting convinient complex payment of user
JP6322976B2 (en) Information processing apparatus and user authentication method
JP6286132B2 (en) Verification system
JP7200776B2 (en) Information processing system and program
KR20140003270A (en) A method and an apparatus providing banking service interlocking with social network service application
JP6025118B2 (en) Electronic coupon usage method and electronic coupon usage system
EP3145117B1 (en) A method and a system for shared digital signing of a document
JP6520667B2 (en) INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING SYSTEM, AND PROGRAM

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160317

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170315

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170411

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170612

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171114

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180130

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180205

R150 Certificate of patent or registration of utility model

Ref document number: 6286132

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250