JP2015228098A - Otp generating system and mobile communication terminal - Google Patents
Otp generating system and mobile communication terminal Download PDFInfo
- Publication number
- JP2015228098A JP2015228098A JP2014113008A JP2014113008A JP2015228098A JP 2015228098 A JP2015228098 A JP 2015228098A JP 2014113008 A JP2014113008 A JP 2014113008A JP 2014113008 A JP2014113008 A JP 2014113008A JP 2015228098 A JP2015228098 A JP 2015228098A
- Authority
- JP
- Japan
- Prior art keywords
- otp generation
- application
- secure element
- time password
- otp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、携帯通信端末上でワンタイムパスワード(OTP:One Time Password)を生成して表示するOTP生成システムに関する。 The present invention relates to an OTP generation system for generating and displaying a one-time password (OTP: One Time Password) on a mobile communication terminal.
近年、不正アクセスの問題の急増や、セキュリティについての意識の向上に伴い、認証の際にワンタイムパスワードを利用することが推奨されている。ワンタイムパスワードは、一度使用したり、一定の時間が経過したりすると無効になる、使い捨てのパスワードである。ワンタイムパスワードの普及に伴い、多くの利用者(ユーザ)が所有している携帯通信端末の画面上にワンタイムパスワードを表示するための様々な方式が提案されている。 In recent years, it has been recommended to use a one-time password for authentication as the problem of unauthorized access increases rapidly and security awareness increases. A one-time password is a one-time password that becomes invalid once used or after a certain period of time has passed. With the spread of one-time passwords, various methods have been proposed for displaying one-time passwords on the screens of mobile communication terminals owned by many users (users).
携帯通信端末の画面上にワンタイムパスワードを表示する方式としては、大きく分けて、オンラインでワンタイムパスワードを表示又は取得する方式と、オフラインでワンタイムパスワードを生成する方式がある。
オンラインでワンタイムパスワードを表示又は取得する方式としては、ワンタイムパスワードを表示するWebページにアクセスする方式や、ワンタイムパスワードを提供するサーバからネットワーク経由でワンタイムパスワードを取得する方式がある。
Methods for displaying a one-time password on the screen of a mobile communication terminal can be broadly divided into a method for displaying or acquiring a one-time password online and a method for generating a one-time password offline.
As a method of displaying or acquiring a one-time password online, there are a method of accessing a Web page that displays a one-time password, and a method of acquiring a one-time password via a network from a server that provides the one-time password.
オフラインでワンタイムパスワードを生成する方式としては、携帯通信端末自体にワンタイムパスワードを生成する機能を搭載して実施する方式がある。例えば、特許文献1に記載の技術では、携帯通信端末は、パスワードと署名対象データを入力する入力装置と、ワンタイムパスワードと暗号化された署名対象データを生成するデータつきワンタイムパスワード生成器と、ワンタイムパスワードと暗号化された署名対象データ(これを暗号化署名データと呼ぶ)、及びユーザ名を送信する送信装置と、を備えている。また、署名サーバは、ワンタイムパスワードと暗号化署名データ、及びユーザ名を受信する受信装置と、ワンタイムパスワードによりユーザ認識した後に暗号化署名データを復号し署名/暗号化を実行するワンタイムパスワード署名生成器と、署名/暗号化されたデータを目的のユーザ又はホストへ送信する署名/暗号化データ送信器とを備えている。
As a method for generating a one-time password offline, there is a method in which a function for generating a one-time password is installed in the mobile communication terminal itself. For example, in the technique described in
しかし、オンラインでワンタイムパスワードを表示又は取得する場合、ワンタイムパスワードを表示するWebページ又はサーバ側のソフトウェアの改ざん、通信データの改ざん、及び通信傍受等の危険性(リスク)を考慮して、サーバや通信機器を含むシステム全体でセキュリティ対策を講じなければならず、携帯通信端末だけで有効な対策を講じることができないという問題がある。また、技術の性質上、常に良好な通信環境でなければ、オンラインでワンタイムパスワードを表示又は取得することができないという問題がある。更に、オンラインでワンタイムパスワードを表示又は取得する都度、頻繁に通信を行う必要があるため、通信負荷や通信コストが増大するという問題がある。したがって、携帯通信端末を用いる場合、オンラインでワンタイムパスワードを表示又は取得することは好ましくない。 However, when displaying or obtaining a one-time password online, taking into consideration the risks (risks) of tampering with web page or server-side software that displays the one-time password, tampering with communication data, and communication interception, There is a problem that security measures must be taken for the entire system including servers and communication devices, and effective measures cannot be taken only with portable communication terminals. In addition, due to the nature of the technology, there is a problem that the one-time password cannot be displayed or acquired online unless the communication environment is always good. Furthermore, since it is necessary to frequently communicate each time a one-time password is displayed or acquired online, there is a problem that communication load and communication cost increase. Therefore, when using a mobile communication terminal, it is not preferable to display or obtain a one-time password online.
一方、オフラインでワンタイムパスワードを生成する場合、一般的な携帯通信端末のメモリ内に、ワンタイムパスワードの生成に使用する鍵を保管するため、不正アクセスやウイルス等による漏えいや改ざん等に対してソフトウェアのみで対策を講じ、安全性を担保しなければならないという問題がある。また、携帯通信端末やサーバとは別に、ワンタイムパスワードを生成する専用端末を使用することも考えられるが、この場合、別途、専用端末を用意する必要があるため、コストや管理が問題となる。したがって、携帯通信端末上でワンタイムパスワードの生成用の鍵を安全に保管し、携帯通信端末上で安全にワンタイムパスワードを生成する方式が求められている。 On the other hand, when generating a one-time password offline, the key used to generate the one-time password is stored in the memory of a general mobile communication terminal, so that it can be protected against unauthorized access, viruses, etc. There is a problem that security must be secured by taking measures only with software. In addition, it may be possible to use a dedicated terminal that generates a one-time password separately from the mobile communication terminal or server. However, in this case, it is necessary to prepare a dedicated terminal separately, which causes cost and management problems. . Therefore, there is a need for a method for securely storing a key for generating a one-time password on a mobile communication terminal and generating a one-time password safely on the mobile communication terminal.
本発明は、上記の問題を鑑み、携帯通信端末上でワンタイムパスワードの生成用の鍵であるOTP生成鍵を安全に保管し、携帯通信端末上で安全にワンタイムパスワードを生成して表示するOTP生成システムを提供することを目的とする。 In view of the above problems, the present invention securely stores an OTP generation key, which is a key for generating a one-time password, on a mobile communication terminal, and generates and displays a one-time password safely on the mobile communication terminal. An object is to provide an OTP generation system.
上記の課題を解決するため、本発明の一態様に係るOTP生成システムでは、セキュアエレメントを有する携帯通信端末が、セキュアエレメントに書き込み可能な書込サーバから、ワンタイムパスワードの生成用の鍵であるOTP生成鍵をセキュアエレメントに書き込まれたとき、このセキュアエレメントに書き込まれたOTP生成鍵を用いて、セキュアエレメント内でワンタイムパスワードを生成し、生成したワンタイムパスワードを表示する。セキュアエレメントの詳細については後述する。 In order to solve the above problems, in the OTP generation system according to one aspect of the present invention, a mobile communication terminal having a secure element is a key for generating a one-time password from a write server that can write to the secure element. When the OTP generation key is written in the secure element, a one-time password is generated in the secure element using the OTP generation key written in the secure element, and the generated one-time password is displayed. Details of the secure element will be described later.
具体的には、上記のOTP生成システムでは、書込サーバは、ワンタイムパスワードを生成するためのアプリケーションソフトウェアであるOTP生成用アプリと、ワンタイムパスワードの生成用の鍵であるOTP生成鍵とを携帯通信端末のセキュアエレメントに書き込み可能である。一般サーバは、ユーザ操作に応じてOTP生成用アプリを実行するためのアプリケーションソフトウェアであるUIアプリを携帯通信端末に提供する。携帯通信端末は、一般サーバからUIアプリを取得し、ユーザ操作によりUIアプリを実行したとき、OTP生成用アプリとOTP生成鍵とがセキュアエレメントに書き込まれていなければ、書込サーバに対して、セキュアエレメントへのOTP生成用アプリ及びOTP生成鍵の書き込みを要求し、OTP生成用アプリとOTP生成鍵とがセキュアエレメントに書き込まれていれば、自動的にOTP生成用アプリを実行し、OTP生成鍵を用いて、セキュアエレメント内でワンタイムパスワードを生成し、生成したワンタイムパスワードを表示する。 Specifically, in the above OTP generation system, the writing server includes an OTP generation application that is application software for generating a one-time password and an OTP generation key that is a key for generating a one-time password. It is possible to write in the secure element of the mobile communication terminal. The general server provides the mobile communication terminal with a UI application that is application software for executing an OTP generation application in response to a user operation. When the mobile communication terminal acquires the UI application from the general server and executes the UI application by a user operation, if the OTP generation application and the OTP generation key are not written in the secure element, Requests the OTP generation application and OTP generation key to be written to the secure element, and if the OTP generation application and OTP generation key are written to the secure element, the OTP generation application is automatically executed to generate the OTP. Using the key, generate a one-time password in the secure element and display the generated one-time password.
更に、書込サーバは、定期的に、セキュアエレメントからOTP生成鍵を削除し、新たに発行したOTP生成鍵をセキュアエレメントに書き込むことで、セキュアエレメントに書き込まれたOTP生成鍵を更新すると好ましい。 Furthermore, it is preferable that the writing server periodically updates the OTP generation key written in the secure element by deleting the OTP generation key from the secure element and writing the newly issued OTP generation key in the secure element.
本発明の一態様によれば、携帯通信端末のセキュアエレメントにワンタイムパスワードの生成用の鍵であるOTP生成鍵を書き込むことにより、携帯通信端末のセキュアエレメント内でOTP生成鍵を安全に保管し、安全にワンタイムパスワードを生成して表示することができる。これにより、ソフトウェアとハードウェアの双方によるセキュリティが実現できる。 According to one aspect of the present invention, by writing an OTP generation key, which is a key for generating a one-time password, in a secure element of a mobile communication terminal, the OTP generation key is safely stored in the secure element of the mobile communication terminal. Can securely generate and display a one-time password. Thereby, security by both software and hardware can be realized.
<実施形態>
以下に、本発明の一実施形態について添付図面を参照して説明する。
[システム構成]
図1を参照して、本実施形態に係るOTP生成システムの構成例について説明する。
本実施形態に係るOTP生成システムは、携帯通信端末10と、アプリサーバ20と、TSMサーバ30と、入力端末40と、認証サーバ50を備える。
<Embodiment>
Hereinafter, an embodiment of the present invention will be described with reference to the accompanying drawings.
[System configuration]
A configuration example of the OTP generation system according to the present embodiment will be described with reference to FIG.
The OTP generation system according to the present embodiment includes a
携帯通信端末10は、少なくともセキュアエレメント(SE:Secure Element)を有し、ワンタイムパスワード(OTP:One Time Password)の生成及び表示を実施する通信端末である。セキュアエレメント(SE)については、「NFCポータルサイト|用語集」(URL:http://www.nfc−world.com/glossary/index.html)等に説明が開示されている。セキュアエレメント(SE)は、外部からの悪意を持った解析攻撃に耐えられるように設計され、データを安全に格納するメモリや、暗号ロジック回路(機能)を内蔵した半導体製品である。
The
アプリサーバ20は、アプリケーションストアのようにインターネット上に公開された一般的なWebサーバ等のサーバ装置である。ここでは、アプリサーバ20は、携帯通信端末10からのダウンロード要求に応じて、ユーザ操作可能なユーザインタフェース(UI)用のアプリケーションソフトウェアであるUIアプリを提供する。携帯通信端末10は、ユーザ操作により、ダウンロードしたUIアプリを実行することでワンタイムパスワード(OTP)を生成する機能を制御(起動、停止等)する。なお、携帯通信端末10は、UIアプリを実行することでユーザインタフェース(UI)を表示し、このユーザインタフェース(UI)上にワンタイムパスワード(OTP)を表示するようにしても良い。また、実際には、携帯通信端末10は、アイコンのクリック等によりUIアプリを実行したときに、ユーザインタフェース(UI)を表示することなく、直接、ワンタイムパスワード(OTP)を生成する機能を制御(起動、停止等)しても良い
TSMサーバ30は、信頼性の高いサービス事業者(TSM:Trusted Service Manager)の管理下にあり、無線通信経由の制御(OTA:Over The Air)により、携帯通信端末10のセキュアエレメント(SE)へのデータの書き込みが可能なサーバ装置である。すなわち、TSMサーバ30は、一般的なWebサーバとは異なり、携帯通信端末10のセキュアエレメント(SE)へのアクセス権限を有する信頼性の高い専用のサーバ装置である。実際には、TSMサーバ30は、通信機能と、セキュアエレメント(SE)への書き込み機能を有する書き込み装置でも良い。携帯通信端末10のセキュアエレメント(SE)に書き込まれるデータについては、安全性を担保するために、携帯通信端末10が自分でダウンロードして書き込むのではなく、TSMサーバ30からのOTAによる配信や制御を受けて書き込まれる。従って、携帯通信端末10のユーザは、セキュアエレメント(SE)へのデータの書き込みに直接関与することはできない。更に、TSMサーバ30は、OTAにより、過去に自身が携帯通信端末10のセキュアエレメント(SE)に書き込んだデータを消去するようにしても良い。
The
ここでは、TSMサーバ30は、携帯通信端末10と認証サーバ50の双方に対して、ワンタイムパスワード(OTP)を生成するためのアプリケーションソフトウェアであるOTP生成用アプリを提供する。OTP生成用アプリは、ワンタイムパスワード(OTP)を生成する機能の中核となるアプリケーションソフトウェアであり、ユーザが直接実行することはできず、UIアプリからのみ実行可能である。すなわち、UIアプリは、ユーザ操作に応じてOTP生成用アプリを実行するためのアプリケーションソフトウェアである。ユーザは、UIアプリを介して間接的にOTP生成用アプリを実行する。また、TSMサーバ30は、携帯通信端末10と認証サーバ50の双方に対して、ワンタイムパスワード(OTP)の生成用の鍵であるOTP生成鍵及び個別化データを発行して配布する。なお、実際には、TSMサーバ30は、図示しない外部サーバ等から取得したOTP生成鍵及び個別化データを、携帯通信端末10と認証サーバ50の双方に配布しても良い。OTP生成鍵及び個別化データは、ワンタイムパスワード(OTP)の生成方式に応じて決定される。例えば、OTP生成鍵は、OTP秘密キー又はOTPシード値等である。個別化データは、秘密のパスフレーズ及びシーケンス番号(iteration count)等である。OTP生成鍵と個別化データは、ワンタイムパスワード(OTP)生成時には同時に使用されるため、互いに紐付いている。上記のOTP生成用アプリ、OTP生成鍵及び個別化データは、ワンタイムパスワード(OTP)の生成に関係する重要なデータであり、漏えいや改ざんを防止するため、セキュアエレメント(SE)に保管することが好ましい。
Here, the
このとき、TSMサーバ30は、OTAにより、上記のOTP生成用アプリ、OTP生成鍵及び個別化データを、携帯通信端末10のセキュアエレメント(SE)に書き込む。OTP生成用アプリは、上記のUIアプリを介してのみ実行可能であるものとする。また、認証サーバ50にもセキュアエレメント(SE)が存在する場合、TSMサーバ30は、携帯通信端末10のセキュアエレメント(SE)と同様に制御(書き込み、消去等)するものとする。
At this time, the
TSMサーバ30は、一台のサーバ装置でなく複数台のサーバ装置により構成されていても良い。実際には、TSMサーバ30は、通信事業者(キャリア)が担当する「MNO−TSM」(Mobile Network Operator − TSM)の管理下にあるサーバ装置と、個々のサービス事業者又はサービスを仲介する仲介事業者が担当する「SP−TSM」(Service Provider − TSM)の管理下にあるサーバ装置とにより構成されていても良い。例えば、「MNO−TSM」の管理下にあるサーバ装置が上記のOTP生成用アプリを提供し、「SP−TSM」の管理下にあるサーバ装置が上記のOTP生成鍵及び個別化データを発行して配布するようにしても良い。
The
入力端末40は、ワンタイムパスワード(OTP)を入力するための端末装置である。例えば、携帯通信端末10は、ワンタイムパスワード(OTP)を生成して表示する。携帯通信端末10のユーザは、携帯通信端末10に表示されたワンタイムパスワード(OTP)を参照し、入力端末40に表示された入力画面にワンタイムパスワード(OTP)を入力する。入力端末40は、入力されたワンタイムパスワード(OTP)を認証サーバ50に通知する。なお、入力端末40と認証サーバ50との間の通信は、無線通信/有線通信を問わない。入力端末40は、少なくとも入力装置と表示装置を備える。入力装置は、KVM(キーボード・ビデオ・マウス)、キーパッド(keypad)、各種の情報伝達媒体の読取装置、若しくは外部の入力装置や記憶装置等から情報を取得するためのインターフェース(I/F:Interface)等である。表示装置は、LCD(液晶ディスプレイ)やPDP(プラズマディスプレイ)、有機ELディスプレイ(organic electroluminescence display)、若しくは外部の表示装置や記憶装置等に情報を出力するためのインターフェース(I/F)等である。但し、実際には、入力装置と表示装置が一体化したタッチパネル(touch panel)やコンソール(console)を備えていても良い。
The
認証サーバ50は、ワンタイムパスワード(OTP)を基に認証を行うサーバ装置である。認証サーバ50は、入力端末40から通知されたワンタイムパスワード(OTP)を基に認証を行う。このとき、認証サーバ50は、携帯通信端末10と同様のOTP生成用アプリ、OTP生成鍵及び個別化データを有する。認証サーバ50は、これらのOTP生成用アプリ、OTP生成鍵及び個別化データを、TSMサーバ30から入手しても良い。認証サーバ50がセキュアエレメント(SE)を有する場合、TSMサーバ30は、OTAにより、これらのOTP生成用アプリ、OTP生成鍵及び個別化データを、認証サーバ50のセキュアエレメント(SE)に書き込んでも良い。認証サーバ50は、これらのOTP生成用アプリ、OTP生成鍵及び個別化データを用いて、携帯通信端末10と同じワンタイムパスワード(OTP)を生成する。そして、生成したワンタイムパスワード(OTP)と、入力端末40から通知されたワンタイムパスワード(OTP)を照合し、両パスワードが一致すれば認証成功と判定し、両パスワードが一致しなければ認証失敗と判定する。
The
[処理手順]
本実施形態に係るOTP生成システムは、以下の手順で処理を行う。
図1に示すように、携帯通信端末10は、アプリサーバ20から、UIアプリをダウンロードし、UIアプリを実行する。携帯通信端末10は、UIアプリを実行するのが最初(初回)である場合、OTP生成用アプリ、OTP生成鍵及び個別化データを有していないため、TSMサーバ30に問い合わせる必要がある。携帯通信端末10は、UIアプリを実行し、TSMサーバ30に対して、ユーザ認証又は登録を要求する。TSMサーバ30は、携帯通信端末10にユーザ認証又は登録の結果を通知する。携帯通信端末10は、通知された結果を参照し、ユーザ認証又は登録に成功した場合、TSMサーバ30に、上記のOTP生成用アプリ、OTP生成鍵及び個別化データを要求する。TSMサーバ30は、要求に応じて、携帯通信端末10と認証サーバ50の双方に、同一のOTP生成用アプリ、OTP生成鍵及び個別化データを提供する。すなわち、携帯通信端末10と認証サーバ50におけるOTP生成用アプリ、OTP生成鍵及び個別化データを同期する。このとき、TSMサーバ30は、OTAにより、上記のOTP生成用アプリ、OTP生成鍵及び個別化データを、携帯通信端末10のセキュアエレメント(SE)に書き込む。携帯通信端末10は、OTP生成用アプリ、OTP生成鍵及び個別化データを取得した後、UIアプリを実行することで、間接的にセキュアエレメント(SE)内のOTP生成用アプリを実行し、OTP生成鍵及び個別化データを用いて、セキュアエレメント(SE)内でワンタイムパスワード(OTP)を生成する。認証サーバ50は、携帯通信端末10と並行して、OTP生成用アプリを実行し、OTP生成鍵及び個別化データを用いて、携帯通信端末10と同じタイミングでワンタイムパスワード(OTP)を生成する。携帯通信端末10のユーザは、携帯通信端末10に表示されたワンタイムパスワード(OTP)を入力端末40に入力する。入力端末40は、入力されたワンタイムパスワード(OTP)を認証サーバ50に通知する。認証サーバ50は、入力端末40から通知されたワンタイムパスワード(OTP)と、自身で生成したワンタイムパスワード(OTP)とを照合して認証を行う。認証サーバ50は、上記のワンタイムパスワード(OTP)を用いた認証に成功した場合、入力端末40に認証成功の旨を表示し、入力端末40を介して携帯通信端末10のユーザに対して、自身や他のサーバ装置のアクセス許可を与えたり、他のサーバ装置との通信を中継したり、サービスを提供したりする。
[Processing procedure]
The OTP generation system according to the present embodiment performs processing according to the following procedure.
As illustrated in FIG. 1, the
上記のように、携帯通信端末のセキュアエレメント(SE)にOTP生成用アプリ、OTP生成鍵及び個別化データを書き込み、UIアプリを介してOTP生成用アプリを実行し、OTP生成鍵及び個別化データを用いて、セキュアエレメント(SE)内でワンタイムパスワード(OTP)を生成するという構成は、既存のいかなるOTP生成システムにも無い独自の構成である。 As described above, the OTP generation application, the OTP generation key, and the personalized data are written in the secure element (SE) of the mobile communication terminal, the OTP generation application is executed via the UI application, and the OTP generation key and the personalized data are executed. The configuration of generating a one-time password (OTP) in the secure element (SE) using a unique configuration is a unique configuration not found in any existing OTP generation system.
[変形例]
上記の説明においては、OTP生成用アプリ、OTP生成鍵及び個別化データを、図1に示すように、TSMサーバ30から携帯通信端末10と認証サーバ50の双方に提供する方式としているが、実際には、図2に示すように、認証サーバ50からTSMサーバ30に登録し、TSMサーバ30から携帯通信端末10に提供する方式としても良い。
[Modification]
In the above description, the OTP generation application, the OTP generation key, and the individualized data are provided from the
この場合、OTP生成システムは、以下の手順で処理を行う。
図2に示すように、認証サーバ50は、TSMサーバ30に、OTP生成用アプリ、OTP生成鍵及び個別化データを登録する。携帯通信端末10は、アプリサーバ20から、UIアプリをダウンロードし、UIアプリを実行する。携帯通信端末10は、UIアプリを実行するのが最初(初回)である場合、OTP生成用アプリ、OTP生成鍵及び個別化データを有していないため、TSMサーバ30に問い合わせる必要がある。携帯通信端末10は、UIアプリを実行し、TSMサーバ30に対して、ユーザ認証又は登録を要求する。TSMサーバ30は、携帯通信端末10にユーザ認証又は登録の結果を通知する。携帯通信端末10は、通知された結果を参照し、ユーザ認証又は登録に成功した場合、TSMサーバ30に、上記のOTP生成用アプリ、OTP生成鍵及び個別化データを要求する。TSMサーバ30は、OTAにより、上記のOTP生成用アプリ、OTP生成鍵及び個別化データを、携帯通信端末10のセキュアエレメント(SE)に書き込む。これにより、携帯通信端末10と認証サーバ50におけるOTP生成用アプリ、OTP生成鍵及び個別化データを同期する。携帯通信端末10は、OTP生成用アプリ、OTP生成鍵及び個別化データを取得した後、UIアプリを実行することで、間接的にセキュアエレメント(SE)内のOTP生成用アプリを実行し、OTP生成鍵及び個別化データを用いて、セキュアエレメント(SE)内でワンタイムパスワード(OTP)を生成する。認証サーバ50は、携帯通信端末10と並行して、OTP生成用アプリを実行し、OTP生成鍵及び個別化データを用いて、携帯通信端末10と同じタイミングでワンタイムパスワード(OTP)を生成する。携帯通信端末10のユーザは、携帯通信端末10に表示されたワンタイムパスワード(OTP)を入力端末40に入力する。入力端末40は、入力されたワンタイムパスワード(OTP)を認証サーバ50に通知する。認証サーバ50は、入力端末40から通知されたワンタイムパスワード(OTP)と、自身で生成したワンタイムパスワード(OTP)とを照合して認証を行う。認証サーバ50は、上記のワンタイムパスワード(OTP)を用いた認証に成功した場合、入力端末40に認証成功の旨を表示し、入力端末40を介して携帯通信端末10のユーザに対して、自身や他のサーバ装置のアクセス許可を与えたり、他のサーバ装置との通信を中継したり、サービスを提供したりする。
In this case, the OTP generation system performs processing according to the following procedure.
As illustrated in FIG. 2, the
なお、TSMサーバ30は、携帯通信端末10からユーザ認証又は登録の要求を受けて、ユーザ認証又は登録を行い、ユーザ認証又は登録に成功した時点で、自動的に、OTAにより、上記のOTP生成用アプリ、OTP生成鍵及び個別化データを、携帯通信端末10のセキュアエレメント(SE)に書き込むようにしても良い。
また、TSMサーバ30は、定期的(例えば1日おき)に、携帯通信端末10のセキュアエレメント(SE)に書き込まれたOTP生成鍵及び個別化データを更新するようにしても良い。すなわち、TSMサーバ30は、一定期間経過する毎に、携帯通信端末10のセキュアエレメント(SE)に書き込まれたOTP生成鍵及び個別化データを削除し、新たに発行したOTP生成鍵及び個別化データを携帯通信端末10のセキュアエレメント(SE)に書き込む。更に、TSMサーバ30は、同じタイミングで、新たに発行したOTP生成鍵及び個別化データを認証サーバ50にも提供する。これにより、認証サーバ50は、OTP生成鍵及び個別化データを更新する。なお、OTP生成鍵及び個別化データが認証サーバ50からTSMサーバ30へ提供される場合には、TSMサーバ30から認証サーバ50への提供は不要である。実際には、携帯通信端末10が、定期的(例えば1日おき)に、TSMサーバ30に対して、セキュアエレメント(SE)に書き込まれたOTP生成鍵及び個別化データの更新を要求するようにしても良い。また、実際には、OTP生成鍵及び個別化データと共に、OTP生成用アプリも更新するようにしても良い。
The
Further, the
また、TSMサーバ30は、携帯通信端末10の紛失や盗難等が発生した際に、携帯通信端末10のセキュアエレメント(SE)に書き込まれたOTP生成鍵及び個別化データを消去するようにしても良い。例えば、携帯通信端末10のユーザは、携帯通信端末10の紛失や盗難等が発生した場合、別の端末を用いてTSMサーバ30に対してユーザ認証を要求し、ユーザ認証に成功した場合、TSMサーバ30に対して、携帯通信端末10の紛失や盗難等が発生した旨を通知し、携帯通信端末10のセキュアエレメント(SE)に書き込まれたOTP生成用アプリ、OTP生成鍵及び個別化データの消去を要求する。
Further, when the
また、TSMサーバ30は、定期的に、又は無作為に、携帯通信端末10に対するユーザ認証を要求し、ユーザ認証に失敗した場合、又は要求してから一定時間ユーザ認証が実施されない場合に、携帯通信端末10のセキュアエレメント(SE)に書き込まれたOTP生成鍵及び個別化データを消去するようにしても良い。若しくは、TSMサーバ30は、書き込んでから予め設定した有効期間(例えば1週間)が経過したときに、携帯通信端末10のセキュアエレメント(SE)に書き込まれたOTP生成鍵及び個別化データを無条件に消去するようにしても良い。
Further, the
定期的に更新を行っている場合、OTP生成用アプリ、OTP生成鍵及び個別化データが消去された携帯通信端末10は、更新の対象から除外する。
また、TSMサーバ30は、携帯通信端末10の位置情報(GPS情報等)を常時監視し、携帯通信端末10が所定のエリア内に所在しているときにのみ、OTP生成鍵及び個別化データを携帯通信端末10のセキュアエレメント(SE)に書き込むようにしても良い。この場合、書き込んだ後、携帯通信端末10が所定のエリア外に移動したときには、携帯通信端末10のセキュアエレメント(SE)に書き込まれたOTP生成鍵及び個別化データを無条件に消去する。
When updating regularly, the
Further, the
また、入力端末40にワンタイムパスワード(OTP)を入力するとき、携帯通信端末10のユーザが手動操作で入力端末40にワンタイムパスワード(OTP)を入力する方式が好ましいが、実際には、近距離無線通信(NFC:Near Field Communication)又はこれに相当する近距離通信により携帯通信端末10から入力端末40にワンタイムパスワード(OTP)を直接入力する方式にしても良い。
In addition, when a one-time password (OTP) is input to the
また、入力端末40は、携帯通信端末10自体であっても良い。携帯通信端末10自体が入力端末40となる場合、携帯通信端末10はパスワード入力の間、入力の妨げとならないように、ワンタイムパスワード(OTP)を画面の隅に小さく常時表示するようにすると好ましい。例えば、上記のユーザインタフェース(UI)を介して認証サーバ50にアクセスするようにして、このユーザインタフェース(UI)に、パスワード入力欄と共にワンタイムパスワード(OTP)を表示しても良い。このとき、パスワード入力欄にワンタイムパスワード(OTP)を自動的に入力するようにしても良い。但し、実際にはこの例に限定されない。
The
また、ワンタイムパスワード(OTP)を利用する携帯通信端末10と認証サーバ50との間で時刻同期が必要な場合、携帯通信端末10は、UIアプリ又はOTP生成用アプリの実行中、常時/定期的に、認証サーバ50と時刻同期のための処理をする。若しくは、携帯通信端末10及び認証サーバ50は共に、TSMサーバ30又は図示しない同一の時刻サーバ(NTPサーバ)と時刻同期のための処理をしても良い。
In addition, when time synchronization is required between the
[ハードウェアの例示]
例えば、携帯通信端末10は、スマートフォンやタブレット端末、携帯電話機等である。また、入力端末40は、パスワード入力可能なラップトップやシンクライアント端末、店頭端末等、若しくは、携帯通信端末10と同じ端末である。また、アプリサーバ20、TSMサーバ30、及び認証サーバ50等のサーバ装置は、パソコン(PC)、アプライアンス(Appliance)、ワークステーション、メインフレーム、スーパーコンピュータ等の計算機である。サーバ装置は、中継機器や、物理マシン上に構築された仮想マシン(VM:Virtual Machine)でも良い。また、サーバ装置は、クラウドコンピューティングにより実現されていても良い。すなわち、クラウドサーバでも良い。
[Hardware example]
For example, the
また、セキュアエレメント(SE)は、SIMカード(Subscriber Identity Module Card)やUIMカード(User Identity Module Card)である。SIMカードは、携帯通信端末10で使用されている電話番号を特定するための固有のID情報が記録されたICカードである。UIMカードは、SIMカードをベースにして拡張されたICカードであり、携帯電話会社が発行する契約者情報を記録したICカードである。ここでいうUIMカードには、USIMカード(Universal Subscriber Identity Module Card)も含むものとする。なお、セキュアエレメント(SE)は、SDメモリカード(Secure Digital memory card)や端末本体内蔵の専用IC(On Chip)でも良い。
The secure element (SE) is a SIM card (Subscriber Identity Module Card) or a UIM card (User Identity Module Card). The SIM card is an IC card in which unique ID information for specifying a telephone number used in the
[携帯通信端末の構成]
図3に示すように、携帯通信端末10は、制御部11と、通信部12と、記憶部13と、セキュアエレメント(SE)14と、表示部15を備える。制御部11は、通信部12、記憶部13、セキュアエレメント(SE)14、及び表示部15の制御、及びデータ処理を行うためのプロセッサである。通信部12は、通信を行うためのアンテナ又は通信用インターフェース(I/F)である。記憶部13は、電子データを記憶するための一般的なメモリ及びストレージである。セキュアエレメント(SE)14は、セキュアエレメント(SE)を有する半導体製品である。表示部15は、ワンタイムパスワード(OTP)を表示するためのディスプレイ(モニタ)である。表示部15は、必要であれば、ビデオ表示回路(ビデオカード、グラフィックボード等)やデジタルシグナルプロセッサ(DSP:Digital Signal Pocessor)を有していても良い。
[Configuration of mobile communication terminal]
As illustrated in FIG. 3, the
制御部11は、UIアプリ要求部11aと、UIアプリ実行部11bと、ユーザ認証要求部11cと、OTP生成用アプリ要求部11dと、OTP生成鍵発行要求部11eと、個別化データ発行要求部11fと、OTP生成用アプリ実行部11gを備える。
UIアプリ要求部11aは、通信部12を介して、アプリサーバ20にUIアプリを要求し、応答としてUIアプリを取得し、取得したUIアプリを記憶部13のUIアプリ管理部13aに格納する。UIアプリ管理部13aは、記憶部13に設けられ、アプリサーバ20から取得したUIアプリを保管するための記憶領域である。例えば、UIアプリ要求部11aは、アプリサーバ20に対し、UIアプリのダウンロード要求を送信し、応答として、アプリサーバ20から、UIアプリをダウンロードし、ダウンロードしたUIアプリのデータを、記憶部13のUIアプリ管理部13aに記憶する。すなわち、UIアプリは、通常のダウンロードにより入手可能である。
The
The UI
UIアプリ実行部11bは、ユーザによる操作又は自動実行により、記憶部13のUIアプリ管理部13aからUIアプリのデータを読み出して、UIアプリを実行する。例えば、UIアプリ実行部11bは、ユーザからの実行指令又はUIアプリ要求部11aからのUIアプリのダウンロード完了通知を受けた時に、UIアプリを実行する。このとき、UIアプリ実行部11bは、UIアプリを、常駐ソフトウェアとして、停止指令又は強制終了があるまで常時実行し続けても良い。また、UIアプリ実行部11bは、UIアプリを実行することで、ユーザ認証要求部11c、OTP生成用アプリ要求部11d、OTP生成鍵発行要求部11e、個別化データ発行要求部11f、及びOTP生成用アプリ実行部11gを起動又は形成する。なお、UIアプリ実行部11bは、UIアプリを最初に実行したときには、ユーザ認証要求部11cのみ起動又は形成するようにしても良い。また、UIアプリ実行部11bは、UIアプリをデータ入手後に実行したときには、OTP生成用アプリ実行部11gのみ起動又は形成するようにしても良い。
The UI application execution unit 11b reads UI application data from the UI
ユーザ認証要求部11cは、通信部12を介して、TSMサーバ30にユーザ認証又は登録を要求する。このユーザ認証又は登録は、TSMサーバ30へのアクセス許可及びTSMサーバ30からのサービス提供の許可を受けるための処理である。このとき、ユーザ認証要求部11cは、ユーザID、端末ID、又はUIアプリのID等と共に認証用のパスワードを取得してTSMサーバ30に送信しても良い。すなわち、ユーザ認証又は登録は、携帯通信端末10又はUIアプリに対する認証又は登録であっても良い。また、ユーザの生体情報を用いた生体認証を行うようにしても良い。ユーザ認証要求部11cは、TSMサーバ30からユーザ認証又は登録の結果の通知を受信し、ユーザ認証又は登録に成功した場合、OTP生成用アプリ要求部11d、OTP生成鍵発行要求部11e、個別化データ発行要求部11f、及びOTP生成用アプリ実行部11gに起動指令を送る。若しくは、UIアプリ実行部11bに、OTP生成用アプリ要求部11d、OTP生成鍵発行要求部11e、個別化データ発行要求部11f、及びOTP生成用アプリ実行部11gの起動又は形成を許可する旨の指令を送っても良い。この場合、UIアプリ実行部11bは、この許可指令に応じて、OTP生成用アプリ要求部11d、OTP生成鍵発行要求部11e、個別化データ発行要求部11f、及びOTP生成用アプリ実行部11gを起動又は形成する。
The user
OTP生成用アプリ要求部11dは、通信部12を介して、TSMサーバ30にOTP生成用アプリを要求し、応答としてTSMサーバ30からOTAによりOTP生成用アプリをセキュアエレメント(SE)14のOTP生成用アプリ管理部14aに書き込まれる。OTP生成用アプリ管理部14aは、セキュアエレメント(SE)14に設けられ、TSMサーバ30から書き込まれるOTP生成用アプリを保管するための記憶領域である。書き込みの際に、セキュアエレメント(SE)14内にOTP生成用アプリ管理部14aが存在しない場合、TSMサーバ30がセキュアエレメント(SE)14内にOTP生成用アプリ管理部14aを作成しても良い。また、OTP生成用アプリ要求部11dは、UIアプリの実行中、定期的(例えば1日おき)に、TSMサーバ30にOTP生成用アプリの発行を要求し、OTP生成用アプリ管理部14aに書き込まれたOTP生成用アプリを更新するようにしても良い。
The OTP generation
OTP生成鍵発行要求部11eは、通信部12を介して、TSMサーバ30にOTP生成鍵の発行を要求し、応答としてTSMサーバ30からOTAによりOTP生成鍵がセキュアエレメント(SE)14のOTP生成鍵管理部14bに書き込まれる。OTP生成鍵管理部14bは、セキュアエレメント(SE)14に設けられ、TSMサーバ30から書き込まれるOTP生成鍵を保管するための記憶領域である。書き込みの際に、セキュアエレメント(SE)14内にOTP生成鍵管理部14bが存在しない場合、TSMサーバ30がセキュアエレメント(SE)14内にOTP生成鍵管理部14bを作成しても良い。また、OTP生成鍵発行要求部11eは、UIアプリの実行中、定期的(例えば1日おき)に、TSMサーバ30にOTP生成鍵の発行を要求し、OTP生成鍵管理部14bに書き込まれたOTP生成鍵を更新するようにしても良い。
The OTP generation key
個別化データ発行要求部11fは、通信部12を介して、TSMサーバ30に個別化データの発行を要求し、応答としてTSMサーバ30からOTAにより個別化データがセキュアエレメント(SE)14の個別化データ管理部14cに書き込まれる。個別化データ管理部14cは、セキュアエレメント(SE)14に設けられ、TSMサーバ30から書き込まれる個別化データを保管するための記憶領域である。書き込みの際に、セキュアエレメント(SE)14内に個別化データ管理部14cが存在しない場合、TSMサーバ30がセキュアエレメント(SE)14内に個別化データ管理部14cを作成しても良い。また、個別化データ発行要求部11fは、UIアプリの実行中、定期的(例えば1日おき)に、TSMサーバ30に個別化データの発行を要求し、個別化データ管理部14cに書き込まれた個別化データを更新するようにしても良い。
The individualized data issue request unit 11f requests the
なお、OTP生成鍵と個別化データを紐付けて保管する場合、例えば同一のデータベースのテーブルにおける同一のレコード内に、OTP生成鍵を格納するためのフィールドと、個別化データを格納するためのフィールドが設けられていても良い。この場合、OTP生成鍵を格納するためのフィールドがOTP生成鍵管理部14bであり、個別化データを格納するためのフィールドが個別化データ管理部14cである。
When storing the OTP generation key and the individualized data in association with each other, for example, a field for storing the OTP generation key and a field for storing the individualized data in the same record in the same database table. May be provided. In this case, the field for storing the OTP generation key is the OTP generation key management unit 14b, and the field for storing the individualized data is the individualization
更に、OTP生成用アプリとOTP生成鍵と個別化データを紐付けて保管する場合、例えば同一のデータベースのテーブルにおける同一のレコード内に、OTP生成用アプリを格納するためのフィールドと、OTP生成鍵を格納するためのフィールドと、個別化データを格納するためのフィールドが設けられていても良い。この場合、OTP生成用アプリを格納するためのフィールドがOTP生成用アプリ管理部14aである。
Further, when storing the OTP generation application, the OTP generation key, and the individualized data in association with each other, for example, a field for storing the OTP generation application in the same record in the same database table, and the OTP generation key And a field for storing individualized data may be provided. In this case, the field for storing the OTP generation application is the OTP generation
OTP生成用アプリ実行部11gは、UIアプリ実行部11bからの起動指令又は自動実行により、セキュアエレメント(SE)14のOTP生成用アプリ管理部14aからOTP生成用アプリのデータを読み出して、OTP生成用アプリを実行する。なお、OTP生成用アプリ実行部11gは、OTP生成用アプリを、常駐ソフトウェアとして、停止指令又は強制終了があるまで常時実行し続けても良い。OTP生成用アプリ実行部11gは、OTP生成用アプリの実行中、定期的(例えば10秒おき)に、セキュアエレメント(SE)14からOTP生成鍵及び個別化データを読み出し、OTP生成鍵及び個別化データを用いてワンタイムパスワード(OTP)を生成し、生成したワンタイムパスワード(OTP)を表示部15に表示する。
The OTP generation
[OTP生成用データ入手前のOTP生成処理]
図4を参照して、OTP生成用データ入手前(初回)のOTP生成処理の手順について説明する。
OTP生成用データ入手前のOTP生成処理(初期状態)のときには、携帯通信端末10は、UIアプリ、OTP生成用アプリ、OTP生成鍵及び個別化データを有していない。
[OTP generation process before obtaining data for OTP generation]
With reference to FIG. 4, the procedure of the OTP generation process before obtaining the OTP generation data (first time) will be described.
In the OTP generation process (initial state) before obtaining the OTP generation data, the
ステップS101では、UIアプリ要求部11aは、通信部12を介して、アプリサーバ20からUIアプリをダウンロードする。例えば、UIアプリ要求部11aは、通信部12を介して、アプリサーバ20に対し、UIアプリのダウンロード要求を送信する。アプリサーバ20は、UIアプリのダウンロード要求に応じて、携帯通信端末10に、UIアプリのデータを送信する。UIアプリ要求部11aは、アプリサーバ20から受信したUIアプリのデータを、記憶部13のUIアプリ管理部13aに保管する。このように、UIアプリは、通常のダウンロードにより入手可能である。
In step S <b> 101, the UI
ステップS102では、UIアプリ実行部11bは、ユーザによる実行操作又は自動実行により、記憶部13のUIアプリ管理部13aからUIアプリのデータを読み出して、UIアプリを実行する。このとき、UIアプリ実行部11bは、セキュアエレメント(SE)14にOTP生成用アプリ、OTP生成鍵及び個別化データが保管されていないため、ユーザ認証要求部11cに起動指令を送る。
In step S102, the UI application execution unit 11b reads UI application data from the UI
ステップS103では、ユーザ認証要求部11cは、通信部12を介して、TSMサーバ30に対するユーザ認証又は登録を行う。例えば、ユーザ認証要求部11cは、通信部12を介して、TSMサーバ30にユーザ認証又は登録を要求する。TSMサーバ30は、携帯通信端末10からのユーザ認証又は登録の要求に応じて、ユーザ認証又は登録を実行し、実行結果を携帯通信端末10に通知する。ユーザ認証要求部11cは、TSMサーバ30からの実行結果の通知を受け、ユーザ認証又は登録に成功した場合、直接、又はUIアプリ実行部11bを介して、OTP生成用アプリ要求部11d、OTP生成鍵発行要求部11e、個別化データ発行要求部11f、及びOTP生成用アプリ実行部11gに起動指令を送る。
In step S <b> 103, the user
ステップS104では、OTP生成用アプリ要求部11dは、通信部12を介して、TSMサーバ30からOTP生成用アプリを取得する。例えば、OTP生成用アプリ要求部11dは、通信部12を介して、TSMサーバ30に対し、OTP生成用アプリを要求する。TSMサーバ30は、OTP生成用アプリの要求に応じて、OTAにより、携帯通信端末10のセキュアエレメント(SE)14のOTP生成用アプリ管理部14aに、OTP生成用アプリのデータを書き込む。
In step S <b> 104, the OTP generation
ステップS105では、OTP生成鍵発行要求部11eは、通信部12を介して、TSMサーバ30からOTP生成鍵を取得する。例えば、OTP生成鍵発行要求部11eは、通信部12を介して、TSMサーバ30に対し、OTP生成鍵の発行を要求する。TSMサーバ30は、携帯通信端末10からのOTP生成鍵の発行の要求に応じて、OTP生成鍵を発行し、OTAにより、セキュアエレメント(SE)14のOTP生成鍵管理部14bにOTP生成鍵を書き込み、セキュアエレメント(SE)14の個別化データ管理部14cに個別化データを書き込む。
In step S <b> 105, the OTP generation key
ステップS106では、個別化データ発行要求部11fは、通信部12を介して、TSMサーバ30から個別化データを取得する。例えば、個別化データ発行要求部11fは、通信部12を介して、TSMサーバ30に対し、個別化データの発行を要求する。TSMサーバ30は、携帯通信端末10からの個別化データの発行の要求に応じて、個別化データを発行し、OTAにより、セキュアエレメント(SE)14の個別化データ管理部14cに個別化データを書き込み、セキュアエレメント(SE)14の個別化データ管理部14cに個別化データを書き込む。
In step S <b> 106, the individualized data issue request unit 11 f acquires personalized data from the
ステップS107では、OTP生成用アプリ実行部11gは、OTP生成用アプリを実行し、OTP生成鍵及び個別化データを用いて、セキュアエレメント(SE)14内でワンタイムパスワード(OTP)を生成する。例えば、OTP生成用アプリ実行部11gは、セキュアエレメント(SE)14のOTP生成用アプリ管理部14aからOTP生成用アプリのデータを読み出して、OTP生成用アプリを実行する。OTP生成用アプリ実行部11gは、OTP生成用アプリの実行中、定期的(例えば10秒おき)に、セキュアエレメント(SE)14のOTP生成鍵管理部14bからOTP生成鍵を読み出し、セキュアエレメント(SE)14の個別化データ管理部14cから個別化データを読み出し、読み出したOTP生成鍵及び個別化データを用いてワンタイムパスワード(OTP)を生成する。
In step S107, the OTP generation
ステップS108では、OTP生成用アプリ実行部11gは、生成したワンタイムパスワード(OTP)を表示部15に表示する。例えば、OTP生成用アプリ実行部11gは、OTP生成用アプリを実行し、生成したワンタイムパスワード(OTP)を表示部15に出力する。表示部15は、このワンタイムパスワード(OTP)を表示する。このとき、表示部15は、上記のユーザインタフェース(UI)上にワンタイムパスワード(OTP)を表示しても良い。ユーザは、表示部15に表示されたワンタイムパスワード(OTP)を入力端末40に入力する。
In step S108, the OTP generation
ステップS109では、UIアプリ実行部11bは、ユーザによる停止操作又は自動停止により、UIアプリを停止する。このとき、UIアプリの停止に伴い、OTP生成用アプリも停止する。表示部15は、UIアプリの停止と共に、上記のユーザインタフェース(UI)及びワンタイムパスワード(OTP)の表示を終了する。
[変形例]
実際には、図4のステップS103〜ステップS106は同時に実施しても良い。例えば、図4のステップS103において、TSMサーバ30は、ユーザ認証要求部11cからユーザ認証又は登録の要求を受けたときに、ユーザ認証又は登録を行い、ユーザ認証又は登録に成功した時点で、携帯通信端末10に実行結果を通知する代わりに、図4のステップS104〜ステップS106のように、OTP生成用アプリ、OTP生成鍵及び個別化データを、携帯通信端末10のセキュアエレメント(SE)に書き込むようにしても良い。すなわち、ユーザ認証要求部11c、OTP生成用アプリ要求部11d、OTP生成鍵発行要求部11e、及び個別化データ発行要求部11fは一体化していても良い。
In step S109, the UI application execution unit 11b stops the UI application by a stop operation or automatic stop by the user. At this time, the OTP generation application is also stopped along with the stop of the UI application. The
[Modification]
Actually, step S103 to step S106 of FIG. 4 may be performed simultaneously. For example, in step S103 of FIG. 4, the
[OTP生成用データ入手後のOTP生成処理]
図5を参照して、OTP生成用データ入手後(2回目以降)のOTP生成処理の手順について説明する。
OTP生成用データ入手後のOTP生成処理のときには、携帯通信端末10は、UIアプリ、OTP生成用アプリ、OTP生成鍵及び個別化データを有している。
[OTP generation processing after obtaining data for OTP generation]
With reference to FIG. 5, the procedure of the OTP generation process after obtaining the data for OTP generation (after the second time) will be described.
When performing the OTP generation process after obtaining the OTP generation data, the
ステップS201では、UIアプリ実行部11bは、ユーザによる実行操作又は自動実行により、記憶部13のUIアプリ管理部13aからUIアプリのデータを読み出して、UIアプリを実行する。このとき、UIアプリ実行部11bは、既にセキュアエレメント(SE)14にOTP生成用アプリ、OTP生成鍵及び個別化データが保管されているため、UIアプリの実行中、定期的にOTP生成用アプリ実行部11gに起動指令を送る。
In step S201, the UI application execution unit 11b reads UI application data from the UI
ステップS202では、OTP生成用アプリ実行部11gは、OTP生成用アプリを実行し、OTP生成鍵及び個別化データを用いて、セキュアエレメント(SE)14内でワンタイムパスワード(OTP)を生成する。例えば、OTP生成用アプリ実行部11gは、セキュアエレメント(SE)14のOTP生成用アプリ管理部14aからOTP生成用アプリのデータを読み出して、OTP生成用アプリを実行する。OTP生成用アプリ実行部11gは、OTP生成用アプリの実行中、定期的(例えば10秒おき)に、セキュアエレメント(SE)14のOTP生成鍵管理部14bからOTP生成鍵を読み出し、セキュアエレメント(SE)14の個別化データ管理部14cから個別化データを読み出し、読み出したOTP生成鍵及び個別化データを用いてワンタイムパスワード(OTP)を生成する。
In step S202, the OTP generation
ステップS203では、OTP生成用アプリ実行部11gは、生成したワンタイムパスワード(OTP)を表示部15に表示する。例えば、OTP生成用アプリ実行部11gは、OTP生成用アプリを実行し、生成したワンタイムパスワード(OTP)を表示部15に出力する。表示部15は、このワンタイムパスワード(OTP)を表示する。このとき、表示部15は、上記のユーザインタフェース(UI)上にワンタイムパスワード(OTP)を表示しても良い。ユーザは、表示部15に表示されたワンタイムパスワード(OTP)を入力端末40に入力する。
In step S203, the OTP generation
ステップS204では、UIアプリ実行部11bは、ユーザによる停止操作又は自動停止により、UIアプリを停止する。このとき、UIアプリの停止に伴い、OTP生成用アプリも停止する。表示部15は、UIアプリの停止と共に、上記のユーザインタフェース(UI)及びワンタイムパスワード(OTP)の表示を終了する。
In step S204, the UI application execution unit 11b stops the UI application by a stop operation or automatic stop by the user. At this time, the OTP generation application is also stopped along with the stop of the UI application. The
[変形例]
実際には、図5のステップS201において、UIアプリ実行部11bがUIアプリを実行したときにはユーザ認証を毎回行い、ユーザ認証に成功した場合にのみ、ステップS202に移行するようにしても良い。例えば、UIアプリ実行部11bは、UIアプリを実行したときには、毎回、ユーザ認証要求部11cに起動指令を送る。ユーザ認証要求部11cは、通信部12を介して、TSMサーバ30に対するユーザ認証を行う。例えば、ユーザ認証要求部11cは、通信部12を介して、TSMサーバ30にユーザ認証を要求する。TSMサーバ30は、携帯通信端末10からのユーザ認証の要求に応じて、ユーザ認証を実行し、実行結果を携帯通信端末10に通知する。ユーザ認証要求部11cは、TSMサーバ30からの実行結果の通知を受け、ユーザ認証に成功した場合、直接、又はUIアプリ実行部11bを介して、OTP生成用アプリ実行部11gに起動指令を送る。
[Modification]
Actually, in step S201 of FIG. 5, when the UI application execution unit 11b executes the UI application, user authentication may be performed every time, and only when the user authentication is successful, the process may proceed to step S202. For example, the UI application execution unit 11b sends an activation command to the user
また、図5のステップS202において、OTP生成用アプリ実行部11gは、複数のOTP生成用アプリを並行して実行し、複数のワンタイムパスワード(OTP)を生成して表示するようにしても良い。例えば、1つの入力端末40に複数のワンタイムパスワード(OTP)を入力することや、異なる入力端末40に入力される複数のワンタイムパスワード(OTP)を同時に生成することが考えられる。この場合、図5のステップS201において、UIアプリ実行部11bがUIアプリを実行したときに、ユーザインタフェース(UI)に対するユーザ操作により、複数のOTP生成用アプリの中から、実行するOTP生成用アプリを選択/指定できるようにしても良い。
In step S202 of FIG. 5, the OTP generation
[本実施形態の効果]
本実施形態によれば、以下のような効果を奏する。
(1)本実施形態に係るOTP生成システムでは、セキュアエレメントを有する携帯通信端末が、セキュアエレメントに書き込み可能なTSMサーバから、ワンタイムパスワードの生成用の鍵であるOTP生成鍵をセキュアエレメントに書き込まれたとき、このセキュアエレメントに書き込まれたOTP生成鍵を用いて、セキュアエレメント内でワンタイムパスワードを生成し、生成したワンタイムパスワードを表示する。
[Effect of this embodiment]
According to this embodiment, there are the following effects.
(1) In the OTP generation system according to the present embodiment, a portable communication terminal having a secure element writes an OTP generation key, which is a key for generating a one-time password, from a TSM server that can write to the secure element. When this occurs, a one-time password is generated in the secure element using the OTP generation key written in the secure element, and the generated one-time password is displayed.
このように、携帯通信端末のセキュアエレメントに、ワンタイムパスワードの生成に用いられるOTP生成鍵を格納し、セキュアエレメント内でワンタイムパスワードを生成し、生成されたワンタイムパスワードを表示する。ワンタイムパスワードを生成するためのOTP生成鍵は、セキュアエレメント内で管理されるため、端末内から流出する危険性が無い。 In this way, the OTP generation key used for generating the one-time password is stored in the secure element of the mobile communication terminal, the one-time password is generated in the secure element, and the generated one-time password is displayed. Since the OTP generation key for generating the one-time password is managed in the secure element, there is no risk of leaking from the terminal.
(2)本実施形態に係るOTP生成システムでは、TSMサーバは、ワンタイムパスワードを生成するためのアプリケーションソフトウェアであるOTP生成用アプリと、ワンタイムパスワードの生成用の鍵であるOTP生成鍵とを携帯通信端末のセキュアエレメントに書き込み可能である。アプリサーバは、ユーザ操作に応じてOTP生成用アプリを実行するためのアプリケーションソフトウェアであるUIアプリを携帯通信端末に提供する。携帯通信端末は、アプリサーバからUIアプリを取得し、ユーザ操作によりUIアプリを実行したとき、OTP生成用アプリとOTP生成鍵とがセキュアエレメントに書き込まれていなければ、TSMサーバに対して、セキュアエレメントへのOTP生成用アプリ及びOTP生成鍵の書き込みを要求し、OTP生成用アプリとOTP生成鍵とがセキュアエレメントに書き込まれていれば、自動的にOTP生成用アプリを実行し、OTP生成鍵を用いて、セキュアエレメント内でワンタイムパスワードを生成し、生成したワンタイムパスワードを表示する。 (2) In the OTP generation system according to the present embodiment, the TSM server includes an OTP generation application that is application software for generating a one-time password and an OTP generation key that is a key for generating a one-time password. It is possible to write in the secure element of the mobile communication terminal. The application server provides the mobile communication terminal with a UI application that is application software for executing an OTP generation application in response to a user operation. When the mobile communication terminal acquires the UI application from the application server and executes the UI application by a user operation, if the OTP generation application and the OTP generation key are not written in the secure element, the mobile communication terminal is secured to the TSM server. If the OTP generation application and the OTP generation key are requested to be written to the element, and the OTP generation application and the OTP generation key are written in the secure element, the OTP generation application is automatically executed, and the OTP generation key Is used to generate a one-time password in the secure element and display the generated one-time password.
このように、携帯通信端末のセキュアエレメントに、ワンタイムパスワードの生成に用いられるOTP生成用アプリとOTP生成鍵を格納し、UIアプリを介してOTP生成用アプリを実行することで、セキュアエレメント内でワンタイムパスワードを生成し、生成されたワンタイムパスワードを表示する。ワンタイムパスワードを生成するためのOTP生成用アプリやOTP生成鍵は、セキュアエレメント内で管理されるため、端末内から流出する危険性が無い。また、OTP生成用アプリはセキュアエレメント内でワンタイムパスワードを生成する。これにより、ソフトウェアとハードウェアの双方によるセキュリティが実現できる。 As described above, the OTP generation application and the OTP generation key that are used to generate the one-time password are stored in the secure element of the mobile communication terminal, and the OTP generation application is executed via the UI application. Generate a one-time password with, and display the generated one-time password. Since the application for OTP generation and the OTP generation key for generating the one-time password are managed in the secure element, there is no risk of leaking from the terminal. The OTP generation application generates a one-time password in the secure element. Thereby, security by both software and hardware can be realized.
(3)TSMサーバは、定期的に、セキュアエレメントからOTP生成鍵を削除し、新たに発行したOTP生成鍵をセキュアエレメントに書き込むことで、セキュアエレメントに書き込まれたOTP生成鍵を更新する。このとき、携帯通信端末が、定期的に、TSMサーバに対して、セキュアエレメントに書き込まれたOTP生成鍵及び個別化データの更新を要求するようにしても良い。 (3) The TSM server periodically deletes the OTP generation key from the secure element and writes the newly issued OTP generation key to the secure element, thereby updating the OTP generation key written in the secure element. At this time, the mobile communication terminal may periodically request the TSM server to update the OTP generation key and the personalized data written in the secure element.
このように、TSMサーバからの制御により、携帯通信端末のセキュアエレメントに書き込まれたOTP生成鍵を常に最新の状態に保つことができる。
以上、本発明の実施形態を詳述してきたが、実際には、上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の変更があっても本発明に含まれる。
In this way, the OTP generation key written in the secure element of the mobile communication terminal can always be kept up-to-date by the control from the TSM server.
As mentioned above, although embodiment of this invention was explained in full detail, actually, it is not restricted to said embodiment, Even if there is a change of the range which does not deviate from the summary of this invention, it is included in this invention.
10… 携帯通信端末
11… 制御部
11a… UIアプリ要求部
11b… UIアプリ実行部
11c… ユーザ認証要求部
11d… OTP生成用アプリ要求部
11e… OTP生成鍵発行要求部
11f… 個別化データ発行要求部
11g… OTP生成用アプリ実行部
12… 通信部
13… 記憶部
14… セキュアエレメント(SE)
15… 表示部
20… アプリサーバ(一般サーバ)
30… TSMサーバ(書込サーバ)
40… 入力端末
50… 認証サーバ
DESCRIPTION OF
15 ...
30 ... TSM server (write server)
40 ...
Claims (6)
ワンタイムパスワードの生成用の鍵であるOTP生成鍵を前記セキュアエレメントに書き込み可能な書込サーバと、を備え、
前記携帯通信端末は、前記書込サーバから前記セキュアエレメントに書き込まれた前記OTP生成鍵を用いて、前記セキュアエレメント内でワンタイムパスワードを生成し、前記生成したワンタイムパスワードを表示することを特徴とするOTP生成システム。 A mobile communication terminal having a secure element;
A write server capable of writing an OTP generation key, which is a key for generating a one-time password, into the secure element;
The mobile communication terminal generates a one-time password in the secure element using the OTP generation key written to the secure element from the writing server, and displays the generated one-time password. OTP generation system.
ワンタイムパスワードを生成するためのアプリケーションソフトウェアであるOTP生成用アプリと、前記ワンタイムパスワードの生成用の鍵であるOTP生成鍵とを前記セキュアエレメントに書き込み可能な書込サーバと、
ユーザ操作に応じて前記OTP生成用アプリを実行するためのアプリケーションソフトウェアであるUIアプリを前記携帯通信端末に提供する一般サーバと、を備え、
前記携帯通信端末は、前記一般サーバから前記UIアプリを取得し、ユーザ操作により前記UIアプリを実行したとき、前記OTP生成用アプリと前記OTP生成鍵とが前記セキュアエレメントに書き込まれていなければ、前記書込サーバに対して、前記セキュアエレメントへの前記OTP生成用アプリ及び前記OTP生成鍵の書き込みを要求し、前記OTP生成用アプリと前記OTP生成鍵とが前記セキュアエレメントに書き込まれていれば、自動的に前記OTP生成用アプリを実行し、前記OTP生成鍵を用いて、前記セキュアエレメント内でワンタイムパスワードを生成し、前記生成したワンタイムパスワードを表示することを特徴とするOTP生成システム。 A mobile communication terminal having a secure element;
An OTP generation application that is application software for generating a one-time password; an OTP generation key that is a key for generating the one-time password; and a write server that can write to the secure element;
A general server that provides the mobile communication terminal with a UI application, which is application software for executing the OTP generation application in response to a user operation,
When the mobile communication terminal acquires the UI application from the general server and executes the UI application by a user operation, if the OTP generation application and the OTP generation key are not written in the secure element, If the write server is requested to write the OTP generation application and the OTP generation key to the secure element, and the OTP generation application and the OTP generation key are written to the secure element An OTP generation system that automatically executes the OTP generation application, generates a one-time password in the secure element using the OTP generation key, and displays the generated one-time password .
ワンタイムパスワードを表示するための表示部と、
前記セキュアエレメントにワンタイムパスワードの生成用の鍵であるOTP生成鍵が書き込まれていれば、前記OTP生成鍵を用いて、前記セキュアエレメント内でワンタイムパスワードを生成し、前記生成したワンタイムパスワードを前記表示部に表示する制御部と、を備えることを特徴とする携帯通信端末。 A secure element,
A display for displaying the one-time password;
If an OTP generation key that is a key for generating a one-time password is written in the secure element, a one-time password is generated in the secure element using the OTP generation key, and the generated one-time password is generated And a control unit that displays the information on the display unit.
ユーザ操作に応じて前記OTP生成用アプリを実行するためのアプリケーションソフトウェアであるUIアプリを保管する記憶部と、
ワンタイムパスワードを表示するための表示部と、
ユーザ操作により前記UIアプリを実行したとき、前記OTP生成用アプリと前記OTP生成鍵とが前記セキュアエレメントに書き込まれていれば、自動的に前記OTP生成用アプリを実行し、前記OTP生成鍵を用いて、前記セキュアエレメント内でワンタイムパスワードを生成し、前記生成したワンタイムパスワードを前記表示部に表示する制御部と、を備えることを特徴とする携帯通信端末。 A secure element in which an OTP generation application that is application software for generating a one-time password and an OTP generation key that is a key for generating the one-time password are written;
A storage unit that stores a UI application that is application software for executing the OTP generation application in response to a user operation;
A display for displaying the one-time password;
When the UI application is executed by a user operation, if the OTP generation application and the OTP generation key are written in the secure element, the OTP generation application is automatically executed, and the OTP generation key is set. And a controller that generates a one-time password in the secure element and displays the generated one-time password on the display unit.
前記制御部は、ユーザ操作により前記UIアプリを実行したとき、前記OTP生成用アプリ及び前記OTP生成鍵が前記セキュアエレメントに書き込まれていなければ、前記通信部を介して、前記書込サーバに対して、前記セキュアエレメントへの前記OTP生成用アプリ及び前記OTP生成鍵の書き込みを要求することを特徴とする請求項5に記載の携帯通信端末。 A communication unit for communicating with the write server that can write the OTP generation application and the OTP generation key to the secure element;
When the UI application is executed by a user operation and the OTP generation application and the OTP generation key are not written in the secure element, the control unit performs the communication with the writing server via the communication unit. The mobile communication terminal according to claim 5, further requesting writing of the OTP generation application and the OTP generation key to the secure element.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014113008A JP2015228098A (en) | 2014-05-30 | 2014-05-30 | Otp generating system and mobile communication terminal |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014113008A JP2015228098A (en) | 2014-05-30 | 2014-05-30 | Otp generating system and mobile communication terminal |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2015228098A true JP2015228098A (en) | 2015-12-17 |
Family
ID=54885540
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014113008A Pending JP2015228098A (en) | 2014-05-30 | 2014-05-30 | Otp generating system and mobile communication terminal |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2015228098A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018207404A1 (en) * | 2017-05-11 | 2018-11-15 | 株式会社エルブズ | Authentication system, authentication server, authentication method and authentication program |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001306518A (en) * | 2000-04-20 | 2001-11-02 | Nec Corp | Information-managing method and recording medium |
| JP2002278929A (en) * | 2001-03-21 | 2002-09-27 | Rsa Security Inc | One time password generating module, system and method for distributing the same, portable terminal, one time password managing server, web server, program, and recording medium recorded with program |
| JP2008040908A (en) * | 2006-08-08 | 2008-02-21 | Softbank Mobile Corp | Seed distribution system, portable terminal, seed distribution program, and seed distribution method |
| JP2008269232A (en) * | 2007-04-19 | 2008-11-06 | Lenovo Singapore Pte Ltd | Information processor, security system, and program for making computer execute |
| JP2009232012A (en) * | 2008-03-21 | 2009-10-08 | Hitachi Software Eng Co Ltd | Secret data communication system and program |
| JP2010507838A (en) * | 2006-05-01 | 2010-03-11 | ミ ラエ テクノロジー カンパニー リミテッド | Time-synchronous OTP generator and method for mobile phones |
-
2014
- 2014-05-30 JP JP2014113008A patent/JP2015228098A/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001306518A (en) * | 2000-04-20 | 2001-11-02 | Nec Corp | Information-managing method and recording medium |
| JP2002278929A (en) * | 2001-03-21 | 2002-09-27 | Rsa Security Inc | One time password generating module, system and method for distributing the same, portable terminal, one time password managing server, web server, program, and recording medium recorded with program |
| JP2010507838A (en) * | 2006-05-01 | 2010-03-11 | ミ ラエ テクノロジー カンパニー リミテッド | Time-synchronous OTP generator and method for mobile phones |
| JP2008040908A (en) * | 2006-08-08 | 2008-02-21 | Softbank Mobile Corp | Seed distribution system, portable terminal, seed distribution program, and seed distribution method |
| JP2008269232A (en) * | 2007-04-19 | 2008-11-06 | Lenovo Singapore Pte Ltd | Information processor, security system, and program for making computer execute |
| JP2009232012A (en) * | 2008-03-21 | 2009-10-08 | Hitachi Software Eng Co Ltd | Secret data communication system and program |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018207404A1 (en) * | 2017-05-11 | 2018-11-15 | 株式会社エルブズ | Authentication system, authentication server, authentication method and authentication program |
| JP6447949B1 (en) * | 2017-05-11 | 2019-01-09 | 株式会社エルブズ | Authentication system, authentication server, authentication method, and authentication program |
| JP2019012561A (en) * | 2017-05-11 | 2019-01-24 | 株式会社エルブズ | Authentication system, authentication server, method for authentication, and authentication program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104982005B (en) | Implement the computing device and method of the franchise cryptographic services in virtualized environment | |
| CN108140082B (en) | Multi-factor user authentication framework using asymmetric keys | |
| JP2022078093A (en) | Distributed, decentralized data aggregation | |
| US20200234274A1 (en) | Methods for locating an antenna within an electronic device | |
| JP6721924B2 (en) | Reminder terminal, control method thereof, and information recording medium | |
| JP6516342B2 (en) | Access data tampering prevention method and portable terminal | |
| US20150319173A1 (en) | Co-verification method, two dimensional code generation method, and device and system therefor | |
| US20160006745A1 (en) | Propagating authentication between terminals | |
| CN105531664A (en) | Mobile communication device and method of operating thereof | |
| CN105531710A (en) | Method of authorizing an operation to be performed on a targeted computing device | |
| KR20160100151A (en) | Processing for secure information | |
| EP2874345A1 (en) | Method for authenticating trusted platform-based open id, and apparatus and system therefor | |
| JP6118479B1 (en) | Server apparatus, service method, program, and non-transitory computer-readable information recording medium | |
| US9411966B1 (en) | Confidential data access and storage | |
| US10218505B1 (en) | Server based settings for client software with asymmetric signing | |
| JP2021152975A (en) | Information processing apparatus, control method, and program | |
| JP5730434B1 (en) | System and method for supporting information sharing using terminal | |
| JP2008123070A (en) | Thin client system, and display program for client terminal in thin client system | |
| JP2015228098A (en) | Otp generating system and mobile communication terminal | |
| JP6354382B2 (en) | Authentication system, authentication method, authentication apparatus, and program | |
| KR102244523B1 (en) | System and method for user certification in using web service | |
| KR102498688B1 (en) | Method and system for providing authentication service | |
| KR102244064B1 (en) | System and method for user certification in using application | |
| TW201828187A (en) | System, device and method for executing certificate operation on basis of token | |
| KR20170065929A (en) | System and method for providing financial service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170420 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180206 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180406 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180904 |