JP2017139563A - Code number inquiry system - Google Patents

Code number inquiry system Download PDF

Info

Publication number
JP2017139563A
JP2017139563A JP2016018063A JP2016018063A JP2017139563A JP 2017139563 A JP2017139563 A JP 2017139563A JP 2016018063 A JP2016018063 A JP 2016018063A JP 2016018063 A JP2016018063 A JP 2016018063A JP 2017139563 A JP2017139563 A JP 2017139563A
Authority
JP
Japan
Prior art keywords
token
card member
service server
password
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016018063A
Other languages
Japanese (ja)
Inventor
和樹 田中
Kazuki Tanaka
和樹 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2016018063A priority Critical patent/JP2017139563A/en
Publication of JP2017139563A publication Critical patent/JP2017139563A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To make it possible to inhibit a code number from being leaked from data transmitted to a card member requiring inquiry of the code number and limit a time in which the card member can access the code number.SOLUTION: A code number inquiry system 6 according to the embodiment includes a service server 3 that performs calculation using a function taking a token ID of a token 1 possessed by a card member 5, the current time, and a challenge code as parameters to search for a challenge code at the time when a value obtained from the function agrees with the card member 5's code number. The token 1 possessed by the card member 5, when a challenge code is input to the token 1, uses a function shared with the service server 3 to generate a code number from a token ID stored by the token, the current time, and the challenge code; and displays the generated code number on a display 13.SELECTED DRAWING: Figure 1

Description

本発明は,カード会員が忘れてしまった暗証番号をカード会員に照会する技術に関する。   The present invention relates to a technique for inquiring a card member about a password that the card member has forgotten.

カードを利用するカードシステムは,カード番号などを記憶したカードとカード会員の暗証番号の2つを用いて,カードシステムを利用するカード会員を認証するように構成されているのが一般的である。これらの少なくとも一つが欠けると,カードシステムはカード会員の認証に失敗し,カード会員はカードシステムを利用できない。このため,カード会員は,カードを紛失した場合,カードの再発行をカード発行会社に依頼し,暗証番号を忘れた場合,暗証番号照会をカード発行会社に依頼する。   A card system using a card is generally configured to authenticate a card member who uses the card system by using a card storing a card number and a card member's personal identification number. . If at least one of these is missing, the card system fails to authenticate the card member, and the card member cannot use the card system. For this reason, when the card member is lost, the card member requests the card issuing company to reissue the card, and when the card member forgets the code number, the card member requests the card issuing company to check the code number.

暗証番号照会については,従来,カード発行会社の店舗に出向いて暗証番号を照会してもらうか,または,暗証番号が印刷された郵送物の郵送をカード発行会社に依頼することが必要であった。しかし,上述の手法は利便性に欠けるため,利便性よくカード会員に暗証番号を照会できる様々な手法が特許文献により提案されている。   In the past, it has been necessary to visit the card issuer's store to ask for the PIN, or to ask the card issuer to send mail with the PIN printed. . However, since the above-described method is not convenient, various methods for conveniently inquiring a card member with a password are proposed by the patent literature.

利便性よく暗証番号を照会する手法として,暗証番号照会に電子メールを利用する手法が特許文献1で提案されている。また,カード会員で固有の情報を用いた認証を行えるようにしておき,カード会員固有の情報を用いた認証に成功すると,暗証番号照会をおこなう手法も提案されている。例えば,カード会員固有の情報を用いた認証として声紋認証に成功すると,カード会員に暗証番号を通知する発明が特許文献2で開示されている。また,暗証番号照会に係る発明でないが,特許文献3では,暗証番号を忘れた場合でも,カード会員固有の情報を用いた認証である指紋認証に成功すると取引が行えるシステムが開示されている。   Patent Document 1 proposes a method of using an e-mail for a personal identification number inquiry as a method for conveniently querying a personal identification number. In addition, a method has been proposed in which a card member can authenticate using unique information, and when the authentication using the card member specific information is successful, the PIN is referred. For example, Patent Document 2 discloses an invention in which a password is notified to a card member when the voiceprint authentication is successful as authentication using information unique to the card member. Further, although it is not an invention related to the personal identification number reference, Patent Document 3 discloses a system in which a transaction can be performed if fingerprint authentication, which is authentication using information unique to a card member, is successful even if the personal identification number is forgotten.

特開2003−242114号公報JP 2003-242114 A 特開2005−70907号公報JP-A-2005-70907 特開平11−338947号公報JP 11-338947 A

しかし,利便性よく暗証番号を照会するために,カード会員の暗証番号そのものを電子データでカード会員の端末装置に送信すると,不正プログラムなどによりカード会員の端末装置から暗証番号が漏えいする問題がある。暗証番号の漏えいを防止する一つの手法として,カード会員の端末装置に送信する暗証番号をスクランブル化(例えば,暗号化)することも考えられるが,暗証番号の照会を要求したカード会員が暗証番号を見ることのできる時間を限定できることがより望ましい。   However, there is a problem that if the card member's personal identification number itself is transmitted as electronic data to the card member's terminal device in order to inquire the personal identification number for convenience, the personal identification number may be leaked from the card member's terminal device due to illegal programs. . One way to prevent the security code from being leaked is to scramble (eg, encrypt) the security code sent to the cardholder's terminal device, but the card member who requested the security code inquires about the security code. It is more desirable to be able to limit the time that can be viewed.

そこで,本発明は,暗証番号の照会を要求したカード会員へ送信するデータから暗証番号が漏えいせず,更に,このカード会員が暗証番号を見ることのできる時間を限定できるようにすることを課題とする。   SUMMARY OF THE INVENTION Accordingly, it is an object of the present invention to prevent a personal identification number from being leaked from data transmitted to a card member who has requested a personal identification number inquiry, and to limit the time during which the personal identification number can be viewed by the card member. And

上述した課題を解決する第1の発明は,カード会員が所持する端末装置から暗証番号照会要求を受けると,前記カード会員が所持するトークンのトークンID,この時の時刻およびチャレンジコードをパラメータとする関数を使った演算を行い,前記関数から得られる値が前記カード会員の暗証番号と一致する時の前記チャレンジコードを探索し,探索した前記チャレンジコードを前記端末装置へ送信する処理を実行する暗証番号照会部を備えたサービスサーバと,数字の入力に用いる数字入力部と,前記数字入力部を用いて前記チャレンジコードが入力されると,前記サービスサーバと共通の前記関数を使って,自分自身が記憶しているトークンID,この時の時刻および前記チャレンジコードから暗証番号を生成し,生成した暗証番号をディスプレイに表示する処理を実行する暗証番号生成部を備えたトークンとを含むことを特徴とする暗証番号照会システムである。更に,第2の発明は,第1の発明に記載したサービスサーバである。   In the first invention for solving the above-described problem, when a password reference request is received from a terminal device possessed by a card member, the token ID of the token possessed by the card member, the time at this time, and the challenge code are used as parameters. A password that performs an operation using a function, searches for the challenge code when a value obtained from the function matches the password of the card member, and executes a process of transmitting the searched challenge code to the terminal device A service server having a number inquiry unit, a number input unit used for inputting numbers, and when the challenge code is input using the number input unit, using the function common to the service server, A password is generated from the token ID stored at the time, the time at this time and the challenge code, and the generated password is A personal identification number inquiry system, characterized in that it comprises a token including a personal identification number generation unit for executing processing for displaying on the display. Further, the second invention is the service server described in the first invention.

本発明によれば,暗証番号の照会を要求したカード会員が所持する端末装置には,暗証番号ではなく,暗証番号とは直接関わりのないチャレンジコードが送信されるため,カード会員へ送信するデータから暗証番号が漏えいしない。また,正しい暗証番号を生成できるトークンは,サービスサーバと同じ関数が設定され,かつ,サービスサーバがチャレンジコードを探索する時に用いたトークンIDを記憶しているトークンに限定される。更に,このトークンが正しい暗証番号を生成できる時刻は,サービスサーバがチャレンジコードを探索した時の時刻に限定される。   According to the present invention, since a challenge code not directly related to a personal identification number is transmitted to a terminal device possessed by the card member who has requested the personal identification number, data to be transmitted to the card member is not transmitted. PIN does not leak from. The token that can generate a correct password is limited to a token that has the same function as that of the service server and stores the token ID used when the service server searches for a challenge code. Furthermore, the time when this token can generate a correct password is limited to the time when the service server searches for the challenge code.

暗証番号照会システムの構成を示した図。The figure which showed the structure of the PIN code inquiry system. 暗証番号照会システムのブロック図。The block diagram of a PIN code inquiry system. 暗証番号照会システムで実行される処理を説明する図。The figure explaining the process performed with a PIN code inquiry system.

ここから,本発明の好適な実施形態を記載する。なお,以下の記載は本発明の技術的範囲を束縛するものでなく,理解を助けるために記述するものである。   From here, preferred embodiments of the present invention will be described. The following description is not intended to limit the technical scope of the present invention, but is provided to aid understanding.

図1に,本実施形態に係る暗証番号照会システム6の構成を示す。図1に示した暗証番号照会システム6は,カード50を所持するカード会員5が利用する端末装置2と,カード発行会社がカード会員5に配布したトークン1と,カード発行会社が運営しているサービスサーバ3とから少なくとも構成されている。図1において,端末装置2とサービスサーバ3はネットワーク4を介して接続するが,トークン1は,不正プログラムの感染防止を目的としスタンドアローンで動作する。   FIG. 1 shows the configuration of a password reference system 6 according to this embodiment. 1 is operated by the card issuing company, the terminal device 2 used by the card member 5 holding the card 50, the token 1 distributed to the card member 5 by the card issuing company, and the card issuing company. It comprises at least a service server 3. In FIG. 1, the terminal device 2 and the service server 3 are connected via a network 4, but the token 1 operates stand-alone for the purpose of preventing infection of unauthorized programs.

サービスサーバ3は,ウェブサイトを利用して,カードに係る様々なサービスをカード会員5に提供している装置である。サービスサーバ3は,カードに係る様々なサービスの一つとして,カードシステム(例えば,現金自動預け払い機)で使用する暗証番号の暗証番号照会サービスをカード会員5に提供する。本実施形態において,サービスサーバ3は,照会要求を受けたカード会員5の暗証番号をカード会員5に通知する際,暗証番号そのものを端末装置2へ送信せず,トークン1側で暗証番号を生成するときに必要になるデータで,意味のない数字列であるチャレンジコードを端末装置2へ送信する。   The service server 3 is a device that provides various services related to the card to the card member 5 using a website. The service server 3 provides the card member 5 with a password reference service for a password used in a card system (for example, an automatic teller machine) as one of various services related to the card. In this embodiment, when the service server 3 notifies the card member 5 of the password of the card member 5 that has received the inquiry request, the service server 3 does not transmit the password itself to the terminal device 2 but generates the password on the token 1 side. The challenge code, which is a data string that is necessary for the operation and is a meaningless numeric string, is transmitted to the terminal device 2.

カード会員5が所持する端末装置2は,サービスサーバ3が提供しているサービスをカード会員5が利用する時に用いる装置である。カード会員5が暗証番号照会サービスを利用する際,端末装置2には,トークン1側で暗証番号を生成するときに必要になるデータで,意味のない数字列であるチャレンジコードがサービスサーバ3から送信される。   The terminal device 2 possessed by the card member 5 is a device used when the card member 5 uses the service provided by the service server 3. When the card member 5 uses the password reference service, the terminal device 2 receives a challenge code, which is a meaningless number string, from the service server 3 and is necessary for generating the password on the token 1 side. Sent.

カード会員5が所持するトークン1は,サービスサーバ3が生成したチャレンジコードを利用して暗証番号を生成できる装置になる。カード会員5が所持するトークン1は,カード会員5がトークン1に入力したチャレンジコードを利用して暗証番号を生成し,生成した暗証番号をトークン1のディスプレイ13に表示する。   The token 1 possessed by the card member 5 becomes a device that can generate a personal identification number using the challenge code generated by the service server 3. The token 1 possessed by the card member 5 generates a personal identification number using the challenge code input to the token 1 by the card member 5 and displays the generated personal identification number on the display 13 of the token 1.

図2に,本実施形態に係る暗証番号照会システム6のブロック図を示す。なお,図2では,本発明の説明に必要な機能のみを示している。   FIG. 2 shows a block diagram of the password reference system 6 according to the present embodiment. FIG. 2 shows only functions necessary for the description of the present invention.

サービスサーバ3は,CPU,メモリおよびネットワークインターフェースなどを備えたサーバで実現される装置である。サービスサーバ3は,サービスサーバ3として用いるサーバを動作させるコンピュータプログラムによって実現される機能として,ログイン認証部30および暗証番号照会部31を備えている。また,サービスサーバ3は,所定の単位時間で時刻を計測する時計回路32を備え,更に,カード会員DB33が接続されている。   The service server 3 is an apparatus realized by a server having a CPU, a memory, a network interface, and the like. The service server 3 includes a login authentication unit 30 and a password reference unit 31 as functions realized by a computer program that operates a server used as the service server 3. The service server 3 includes a clock circuit 32 that measures time in a predetermined unit time, and is further connected to a card member DB 33.

カード会員DB33は,カード会員5ごとに,カード会員5に係る情報を記憶したDBである。本実施形態では,カード会員5に係る情報として,カード会員5が保持しているカード50のカード番号に関連付けて,カード会員5の連絡先(ここでは,メールアドレス)と,カード会員5の暗証番号がカード会員DB33に記憶されている。   The card member DB 33 is a DB that stores information related to the card member 5 for each card member 5. In the present embodiment, as information related to the card member 5, the contact information (here, the e-mail address) of the card member 5 and the password of the card member 5 are associated with the card number of the card 50 held by the card member 5. The number is stored in the card member DB 33.

サービスサーバ3のログイン認証部30は,サービスサーバ3の利用開始時にカード会員5を認証するための機能である。カード会員5のログイン認証には,サービスサーバ3にアクセスしたカード会員5の特定に用いるID番号と,サービスサーバ3にアクセスしたカード会員5の正当性を確認する認証情報が必要になる。本実施形態では,カード会員5が所持するカード50のカード番号をこのID番号に用いている。また,本実施形態では,時刻同期方式のワンタイムパスワード(OTP: One-Time Password)の生成機能をトークン1に備えさせ,時刻同期方式のOTPをこの認証情報に用いている。なお,ログイン認証に用いる認証情報は,カード会員5がサービスサーバ3に設定したログインパスワードでもよい。   The login authentication unit 30 of the service server 3 is a function for authenticating the card member 5 at the start of use of the service server 3. For the login authentication of the card member 5, an ID number used for specifying the card member 5 accessing the service server 3 and authentication information for confirming the validity of the card member 5 accessing the service server 3 are required. In this embodiment, the card number of the card 50 possessed by the card member 5 is used as this ID number. In this embodiment, the token 1 is provided with a function for generating a time-synchronized one-time password (OTP), and the time-synchronized OTP is used for this authentication information. The authentication information used for login authentication may be a login password set by the card member 5 in the service server 3.

サービスサーバ3の暗証番号照会部31は,カード会員5に暗証番号照会サービスを提供するための機能である。サービスサーバ3の暗証番号照会部31は,暗証番号の照会に係る処理として,カード会員5が所持するトークン1のトークンID,この時の時刻およびチャレンジコードをパラメータとする関数を使った演算を行い,関数から得られる値がカード会員5の暗証番号になる時のチャレンジコードを探索する処理を実行する。更に,サービスサーバ3の暗証番号照会部31は,探索したチャレンジコードを所定の形式(ここでは,メール形式)で端末装置2に送信する処理を行う。   The password reference unit 31 of the service server 3 is a function for providing the card member 5 with a password reference service. The personal identification number inquiry unit 31 of the service server 3 performs an operation using a function having the token ID of the card member 5 possessed by the card member 5, the time and the challenge code as parameters, as processing relating to the personal identification number inquiry. , A process for searching for a challenge code when the value obtained from the function becomes the password of the cardholder 5 is executed. Further, the personal identification number inquiry unit 31 of the service server 3 performs processing for transmitting the searched challenge code to the terminal device 2 in a predetermined format (here, mail format).

チャレンジコードを探索する際,サービスサーバ3の暗証番号照会部31は,チャレンジコードを初期値(例えば,全ての桁数が「0」)から始めて、トークン1と共通の関数を用いて生成する値が、カード会員5の暗証番号に一致するまで、チャレンジコードを変更しながら、繰り返し値の生成を行うことになる。なお,トークン1と共通の関数から得られる値の桁数が暗証番号の桁数と異なる場合,トークン1と共通の関数から得られる値の不要な桁数をマスクするとよい。サービスサーバ3の暗証番号照会部31がチャレンジコードの探索に使う関数としては,例えば,ワンタイムパスワードと同じように一方向性ハッシュ関数を用いることができる。なお,暗証番号を生成する関数のパラメータの一つにトークンIDを用いるのは,サービスサーバ3と同じ関数が設定され,かつ,暗証番号照会を要求したカード会員5が所持するトークン1でのみ暗証番号を生成できるようにするためである。また,チャレンジコードを探索する時の時刻を用いるのは,トークン1側で暗証番号を生成できる時間をこの時刻内に限定できるようにするためである。   When searching for a challenge code, the password reference unit 31 of the service server 3 starts with an initial value (for example, all digits are “0”) and generates a value using a function common to the token 1 However, the value is repeatedly generated while changing the challenge code until it matches the personal identification number of the card member 5. When the number of digits of the value obtained from the function common to token 1 is different from the number of digits of the personal identification number, the unnecessary number of digits of the value obtained from the function common to token 1 may be masked. As a function used by the password reference unit 31 of the service server 3 for searching for a challenge code, for example, a one-way hash function can be used in the same way as a one-time password. It should be noted that the token ID is used as one of the parameters of the function for generating the personal identification number because the same function as that of the service server 3 is set, and the personal identification is performed only for the token 1 possessed by the card member 5 who requested the personal identification number inquiry. This is so that a number can be generated. The time when the challenge code is searched is used to limit the time during which the password can be generated on the token 1 side within this time.

端末装置2は,CPU,メモリおよびネットワークインターフェースなどを備えたコンピュータを用いて実現される装置である。図1では,端末装置2をスマートフォンとして図示しているが,端末装置2は,パーソナルコンピュータまたはタブレットコンピュータとすることもできる。   The terminal device 2 is a device realized using a computer including a CPU, a memory, a network interface, and the like. In FIG. 1, the terminal device 2 is illustrated as a smartphone, but the terminal device 2 may be a personal computer or a tablet computer.

本実施形態に係る端末装置2は,端末装置2として用いるコンピュータを動作させるコンピュータプログラムによって実現される機能として,所定のプロトコルに基づいてサービスサーバ3にアクセスし,サービスサーバ3からカードサービスの提供を受けるクライアント部20を備え,更に,データを表示するディスプレイ21を備えている。   The terminal device 2 according to the present embodiment accesses the service server 3 based on a predetermined protocol as a function realized by a computer program that operates a computer used as the terminal device 2, and provides the card service from the service server 3. A client unit 20 is provided, and a display 21 for displaying data is further provided.

端末装置2のクライアント部20は,端末装置2にインストールされた一つまたは複数のアプリケーションで実現することができる。本実施形態では,ウェブブラウザ200とメールクライアント201によりクライアント部20を実現している。ウェブブラウザ200は,HTTPプロトコルに基づいてサービスサーバ3にアクセスするためのアプリケーションである。また,メールクライアント201は,サービスサーバ3からチャレンジコードを受信するためのアプリケーションである。   The client unit 20 of the terminal device 2 can be realized by one or a plurality of applications installed in the terminal device 2. In the present embodiment, the client unit 20 is realized by the web browser 200 and the mail client 201. The web browser 200 is an application for accessing the service server 3 based on the HTTP protocol. The mail client 201 is an application for receiving a challenge code from the service server 3.

トークン1は,CPU,メモリなどを備えた物理デバイスで実現される装置である。本実施形態に係るトークン1は,トークン1毎に固有なデータであるトークンIDをメモリに記憶している。トークン1として用いる物理デバイスを動作させるコンピュータプログラムによって実現される機能として,暗証番号生成部11とOTP生成部10を備える。また,本実施形態に係るトークン1は,チャレンジコードの入力に用いられる数字入力部12(ここでは,テンキ―)と,チャレンジコードを少なくとも用いて生成した暗証番号などを表示するディスプレイ13と,サービスサーバ3の時計回路32と同じ単位時間で時刻を計測し,サービスサーバ3の時計回路32と時刻が同期している時計回路14を備えている。なお,図2では示していないが,スタンドアローンで動作できるように,トークン1はバッテリを内蔵している。   The token 1 is a device that is realized by a physical device including a CPU, a memory, and the like. The token 1 according to the present embodiment stores a token ID that is data unique to each token 1 in a memory. As a function realized by a computer program for operating a physical device used as the token 1, a personal identification number generator 11 and an OTP generator 10 are provided. In addition, the token 1 according to the present embodiment includes a number input unit 12 (here, a numeric keypad) used for inputting a challenge code, a display 13 for displaying a personal identification number generated using at least the challenge code, a service, A clock circuit 14 that measures time in the same unit time as the clock circuit 32 of the server 3 and is synchronized with the clock circuit 32 of the service server 3 is provided. Although not shown in FIG. 2, the token 1 has a built-in battery so that it can operate stand-alone.

上述したように,サービスサーバ3は,カード会員5の暗証番号,トークン1のトークンID,および,チャレンジコードを探索する時の時刻をパラメータとする関数を使って,チャレンジコードを探索するため,トークン1の暗証番号生成部11は,自分自身が記憶しているトークンIDおよびこの時に時計回路14から得た時刻である時刻,および,トークン1に入力されたトークンIDを用い,サービスサーバ3と共通の関数を使って暗証番号を生成し,生成した暗証番号をディスプレイ13に表示する処理を行う。   As described above, the service server 3 searches for a challenge code using a function whose parameters are the password of the card member 5, the token ID of the token 1, and the time when the challenge code is searched. 1 is used in common with the service server 3 by using the token ID stored in itself, the time obtained from the clock circuit 14 at this time, and the token ID input to the token 1. Using this function, a password is generated, and the generated password is displayed on the display 13.

トークン1のOTP生成部10は,ログイン認証で用いる時刻同期方式のOTPを生成する。具体的に,トークン1のOTP生成部10は,OTP生成する操作がなされると,トークンIDおよびこの時の時刻を含むメッセージを所定の関数(例えば,一方向性ハッシュ関数)により変換することで時刻同期方式のOTPを生成し,時刻同期方式のOTPをディスプレイに表示する処理を行う。   The OTP generation unit 10 of the token 1 generates a time synchronous OTP used for login authentication. Specifically, when an OTP generation operation is performed, the OTP generation unit 10 of the token 1 converts a message including the token ID and the time at this time by a predetermined function (for example, a one-way hash function). A time synchronous OTP is generated, and a process of displaying the time synchronous OTP on the display is performed.

ここから,本実施形態に係る暗証番号照会システム6で実行される処理について説明する。図3は,暗証番号照会システム6で実行される処理を説明する図である。   From here, the process performed by the personal identification number inquiry system 6 which concerns on this embodiment is demonstrated. FIG. 3 is a diagram for explaining processing executed by the personal identification number inquiry system 6.

カード会員5が暗証番号の照会をカード発行会社に依頼する際,カード会員5は,カード発行会社が運営しているサービスサーバ3にアクセスする操作を端末装置2にて行い,端末装置2はサービスサーバ3にアクセスする(S1)。なお,本実施形態において,サービスサーバ3にアクセスする操作は,端末装置2のウェブブラウザ200を起動させた後,ウェブブラウザ200のブックマークなどを利用して,アクセス先のURLにサービスサーバ3のURLを設定する操作になる。   When the card member 5 requests the card issuing company to ask for a password, the card member 5 performs an operation for accessing the service server 3 operated by the card issuing company on the terminal device 2, and the terminal device 2 performs service. The server 3 is accessed (S1). In this embodiment, the operation of accessing the service server 3 is performed by activating the web browser 200 of the terminal device 2 and then using the bookmark of the web browser 200 or the like to the URL of the service server 3 as the access destination URL. It becomes an operation to set.

サービスサーバ3は,端末装置2からアクセスがあると,カード番号および認証情報(ここでは,時刻同期方式のOTP)の入力フォームを含むログインページを端末装置2へ送信する(S2)。端末装置2のウェブブラウザ200は,サービスサーバ3から受信したログインページを端末装置2のディスプレイ21に表示する(S3)。   When accessed from the terminal device 2, the service server 3 transmits a login page including an input form of a card number and authentication information (here, OTP in the time synchronization method) to the terminal device 2 (S2). The web browser 200 of the terminal device 2 displays the login page received from the service server 3 on the display 21 of the terminal device 2 (S3).

端末装置2のディスプレイ21にログインページが表示されると,カード会員5は,時刻同期方式のOTPを生成する操作をトークン1にて行い,トークン1のOTP生成部10は時刻同期方式のOTPを生成しディスプレイ13に表示する(S4)。   When the login page is displayed on the display 21 of the terminal device 2, the card member 5 performs an operation for generating a time synchronization type OTP with the token 1, and the OTP generation unit 10 of the token 1 performs the time synchronization type OTP. Generated and displayed on the display 13 (S4).

カード会員5は,端末装置2のディスプレイ21に表示されているログインフォームに,カード会員5が所持するカードのカード番号と,トークン1のディスプレイに表示された時刻同期方式のOTPを入力した後(S5),ログイン要求する操作を行う。端末装置2のウェブブラウザ200は,ログイン要求する操作が行われると,カード番号と時刻同期方式のOTPをサービスサーバ3へ送信する(S6)。   The card member 5 inputs the card number of the card possessed by the card member 5 and the time-synchronized OTP displayed on the token 1 display in the login form displayed on the display 21 of the terminal device 2 ( S5) An operation for requesting login is performed. When an operation for requesting login is performed, the web browser 200 of the terminal device 2 transmits the card number and the time synchronization type OTP to the service server 3 (S6).

カード番号および時刻同期方式のOTPが端末装置2から送信されると,サービスサーバ3のログイン認証部30が起動し,ログイン認証部30はこれらを用いてカード会員5のログイン認証を行う(S7)。ログイン認証を行う際,サービスサーバ3のログイン認証部30は,カード会員5が所持するトークン1のトークンIDとこの時の時刻を用いて時刻同期方式のOTPを生成し,端末装置2から受信した時刻同期方式のOTPを照合する。なお,カード会員5が所持するトークン1のトークンIDは,端末装置2から送信されたカード番号に関連付けられた状態でカード会員DB33に記憶されている。   When the card number and the time synchronization type OTP are transmitted from the terminal device 2, the login authentication unit 30 of the service server 3 is activated, and the login authentication unit 30 performs login authentication of the card member 5 using these (S7). . When performing login authentication, the login authentication unit 30 of the service server 3 generates a time-synchronized OTP using the token ID of the token 1 possessed by the card member 5 and the time at this time, and receives it from the terminal device 2. Check OTP of time synchronization method. Note that the token ID of the token 1 possessed by the card member 5 is stored in the card member DB 33 in a state associated with the card number transmitted from the terminal device 2.

サービスサーバ3のログイン認証部30がカード会員5のログイン認証に成功すると,サービスサーバ3は,カードサービスをカード会員5に選択させるサービス選択ページを端末装置2へ送信する(S8)。端末装置2のウェブブラウザ200は,サービスサーバ3から受信したサービス選択ページを端末装置2のディスプレイ21に表示する(S9)。   When the login authentication unit 30 of the service server 3 succeeds in the login authentication of the card member 5, the service server 3 transmits a service selection page that allows the card member 5 to select the card service to the terminal device 2 (S8). The web browser 200 of the terminal device 2 displays the service selection page received from the service server 3 on the display 21 of the terminal device 2 (S9).

カード会員5が,サービス選択ページを用いて選択可能なカードサービスの中から,暗証番号照会サービスを選択すると(S10),端末装置2のウェブブラウザ200は暗証番号照会要求をサービスサーバ3へ送信する(S11)。   When the card member 5 selects a password reference service from the card services that can be selected using the service selection page (S10), the web browser 200 of the terminal device 2 transmits a password reference request to the service server 3. (S11).

端末装置2から暗証番号照会要求が送信されると,暗証番号照会部31が起動し,サービスサーバ3の暗証番号照会部31は,カード会員5が所持するトークン1のトークンID,この時の時刻およびチャレンジコードをパラメータとする関数から得られる値が,カード会員5の暗証番号と一致するチャレンジコードを探索する(S12)。なお,ログインしたカード会員5の暗証番号は,端末装置2から送信されたカード番号に関連付けられた状態でカード会員DB33に記憶されている。また,ログインしたカード会員5が所持するトークン1のトークンIDはこの時点で取得済みである。   When a personal identification number inquiry request is transmitted from the terminal device 2, the personal identification number inquiry unit 31 is activated, and the personal identification number inquiry unit 31 of the service server 3 includes the token ID of the token 1 possessed by the card member 5 and the time at this time. Then, a challenge code whose value obtained from the function using the challenge code as a parameter matches the password of the card member 5 is searched (S12). The password of the logged-in card member 5 is stored in the card member DB 33 in a state associated with the card number transmitted from the terminal device 2. Further, the token ID of the token 1 possessed by the logged-in card member 5 has already been acquired.

サービスサーバ3の暗証番号照会部31は,チャレンジコードを所定の形式で端末装置2に送信する(S13)。本実施形態では,端末装置2はメールクライアント201を備えているため,サービスサーバ3の暗証番号照会部31は,チャレンジコードを記した電子メールをカード会員5のメールアドレス宛てに送信する。   The personal identification number inquiry unit 31 of the service server 3 transmits the challenge code to the terminal device 2 in a predetermined format (S13). In the present embodiment, since the terminal device 2 includes the mail client 201, the personal identification number inquiry unit 31 of the service server 3 transmits an e-mail with a challenge code to the e-mail address of the card member 5.

端末装置2のメールクライアント201には,カード会員5のメールアドレスがメールアカウントに設定されており,端末装置2のメールクライアント201は,チャレンジコードを記した電子メールをサービスサーバ3から受信する(S14)。   In the mail client 201 of the terminal device 2, the mail address of the card member 5 is set in the mail account, and the mail client 201 of the terminal device 2 receives the e-mail with the challenge code from the service server 3 (S14). ).

端末装置2のメールクライアント201がこの電子メールを受信すると,カード会員5は,電子メールを端末装置2のディスプレイ21に表示させた後,トークン1の数字入力部12を操作して,この電子メールに記されているチャレンジコードをトークン1に入力する(S15)。   When the mail client 201 of the terminal device 2 receives this e-mail, the card member 5 displays the e-mail on the display 21 of the terminal device 2 and then operates the number input unit 12 of the token 1 to operate the e-mail. Is entered in token 1 (S15).

トークン1の暗証番号生成部11は,自分自身が記憶しているトークンIDおよびこの時に時計回路14から得た時刻,および,トークン1に入力されたトークンIDを用い,サービスサーバ3と共通の関数を使って暗証番号を生成し(S16),生成した暗証番号をディスプレイ13に表示する(S17)。上述しているように,サービスサーバ3が用いたトークンIDとトークン1のトークンIDが一致し,かつ,トークン1が暗証番号を生成する時の時刻が,サービスサーバ3がチャレンジコードを探索した時の時刻と変わらなければ,正しい暗証番号がトークン1のディスプレイ13に表示される。   The secret code number generation unit 11 of the token 1 uses the token ID stored in itself, the time obtained from the clock circuit 14 at this time, and the token ID input to the token 1, and functions common to the service server 3. Is used to generate a password (S16), and the generated password is displayed on the display 13 (S17). As described above, when the token ID used by the service server 3 matches the token ID of the token 1 and the time when the token 1 generates the password is the time when the service server 3 searches for the challenge code If the time is not changed, the correct password is displayed on the display 13 of the token 1.

このように,本実施形態に係るサービスサーバ3は,トークン1側で暗証番号を生成するときに必要になるデータで,意味のない数字列であるチャレンジコードのみを端末装置2へ送信するので,サービスサーバ3が端末装置2へ送信するデータからカード会員5の暗証番号は漏えいしない。また,トークン1が暗証番号を生成する際,トークン1が暗証番号を生成する時の時刻が,サービスサーバ3がチャレンジコードを探索した時の時刻と変わらなければ,偶然の一致を除き,正しい暗証番号を生成できない。更に,トークン1がチャレンジコードから暗証番号を生成する際,サービスサーバ3が用いたトークンIDとトークン1のトークンIDが一致していないと,偶然の一致を除き,正しい暗証番号を生成できない。   As described above, the service server 3 according to the present embodiment transmits only the challenge code, which is a meaningless numeric string, to the terminal device 2 because it is data that is required when generating the password on the token 1 side. The password of the card member 5 is not leaked from the data transmitted from the service server 3 to the terminal device 2. Further, when the token 1 generates the password, if the time when the token 1 generates the password is not different from the time when the service server 3 searches for the challenge code, the correct password is excluded except for coincidence. A number cannot be generated. Furthermore, when the token 1 generates the password from the challenge code, if the token ID used by the service server 3 does not match the token ID of the token 1, a correct password cannot be generated except for a coincidence.

すなわち,本実施形態に係る暗証番号照会システム6では,正しい暗証番号を生成できるトークン1は,サービスサーバ3と同じ関数が設定され,チャレンジコードを探索する時にサービスサーバ3が用いたトークンIDを記憶しているトークン1に限定される。また,正しい暗証番号を生成できる期間は,サービスサーバ3がチャレンジコードを生成した時の時刻に限定される。なお,ワンタイムパスワードで一般的に用いられる単位時間は30秒または1分であるが,サービスサーバ3とトークン1間で時刻の同期ずれが発生することを想定すると,サービスサーバ3およびトークン1が時刻を計測する際の単位時間は2分や3分が望ましいと考えられる。   That is, in the personal identification number inquiry system 6 according to the present embodiment, the token 1 that can generate a correct personal identification number is set with the same function as the service server 3, and stores the token ID used by the service server 3 when searching for a challenge code. It is limited to token 1 Further, the period during which the correct password can be generated is limited to the time when the service server 3 generates the challenge code. The unit time generally used for a one-time password is 30 seconds or 1 minute. Assuming that time synchronization will occur between the service server 3 and the token 1, the service server 3 and the token 1 It is considered that the unit time for measuring time is preferably 2 minutes or 3 minutes.

1 トークン
10 ワンタイムパスワード(OTP)生成部
11 暗証番号生成部
12 数字入力部
13 ディスプレイ
14 時計回路
2 端末装置
20 クライアント部
200 ウェブブラウザ
201 メールクライアント
3 サービスサーバ
30 ログイン認証部
31 暗証番号照会部
32 時計回路
33 カード会員DB
4 ネットワーク
5 カード会員
6 暗証番号照会システム
DESCRIPTION OF SYMBOLS 1 Token 10 One-time password (OTP) production | generation part 11 Security code generation part 12 Number input part 13 Display 14 Clock circuit 2 Terminal device 20 Client part 200 Web browser 201 Mail client 3 Service server 30 Login authentication part 31 Security code reference part 32 Clock circuit 33 Card member DB
4 Network 5 Card member 6 PIN reference system

Claims (2)

カード会員が所持する端末装置から暗証番号照会要求を受けると,前記カード会員が所持するトークンのトークンID,この時の時刻およびチャレンジコードをパラメータとする関数を使った演算を行い,前記関数から得られる値が前記カード会員の暗証番号と一致する時の前記チャレンジコードを探索し,探索した前記チャレンジコードを前記端末装置へ送信する処理を実行する暗証番号照会部を備えたサービスサーバと,
数字の入力に用いる数字入力部と,前記数字入力部を用いて前記チャレンジコードが入力されると,前記サービスサーバと共通の前記関数を使って,自分自身が記憶しているトークンID,この時の時刻および前記チャレンジコードから暗証番号を生成し,生成した暗証番号をディスプレイに表示する処理を実行する暗証番号生成部を備えたトークンと,
を含むことを特徴とする暗証番号照会システム。 When a password reference request is received from a terminal device possessed by a card member, an operation is performed using a function having the token ID of the token possessed by the card member, the time at this time, and a challenge code as parameters. A service server provided with a personal identification number inquiry unit for searching for the challenge code when a value to be matched with the personal identification number of the card member and executing the process of transmitting the retrieved challenge code to the terminal device;
When the challenge code is input using the number input unit for inputting numbers and the number input unit, the token ID stored by itself using the function common to the service server, A token having a password generation unit for generating a password from the time and the challenge code and displaying the generated password on a display;
A password reference system characterized by comprising: 請求項1に記載したサービスサーバ。
The service server according to claim 1.
JP2016018063A 2016-02-02 2016-02-02 Code number inquiry system Pending JP2017139563A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016018063A JP2017139563A (en) 2016-02-02 2016-02-02 Code number inquiry system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016018063A JP2017139563A (en) 2016-02-02 2016-02-02 Code number inquiry system

Publications (1)

Publication Number Publication Date
JP2017139563A true JP2017139563A (en) 2017-08-10

Family

ID=59566081

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016018063A Pending JP2017139563A (en) 2016-02-02 2016-02-02 Code number inquiry system

Country Status (1)

Country Link
JP (1) JP2017139563A (en)

Similar Documents

Publication Publication Date Title
CN104065653B (en) A kind of interactive auth method, device, system and relevant device
US9641521B2 (en) Systems and methods for network connected authentication
DK2885904T3 (en) PROCEDURE FOR USER-EASY AUTHENTICATION AND DEVICE USING A MOBILE APPLICATION FOR AUTHENTICATION
US20210234857A1 (en) Authentication system, authentication method, and application providing method
KR20160129839A (en) An authentication apparatus with a bluetooth interface
JP2013509840A (en) User authentication method and system
WO2015188426A1 (en) Method, device, system, and related device for identity authentication
WO2015034384A1 (en) Apparatus and method for authenticating a user via multiple user devices
JP2012212211A (en) Authentication cooperation system and authentication cooperation method
NO324315B1 (en) Method and system for secure user authentication at personal data terminal
EP3824592A1 (en) Public-private key pair protected password manager
JP4960738B2 (en) Authentication system, authentication method, and authentication program
WO2015188424A1 (en) Key storage device and method for using same
JP2008176383A (en) Method for creating one-time password, method for authenticating one-time password, one-time password creation apparatus, ic card with function to create one-time password, one-time password authentication apparatus, ic card program, and computer program
JP6378424B1 (en) User authentication method with enhanced integrity and security
JP2009301446A (en) Method and server for user authentication using a plurality of terminals, and program
JP6240102B2 (en) Authentication system, authentication key management device, authentication key management method, and authentication key management program
JP5317795B2 (en) Authentication system and authentication method
KR101836236B1 (en) User authentication method and apparatus using authentication between applications, program therefor
JP2017139563A (en) Code number inquiry system
JP6025118B2 (en) Electronic coupon usage method and electronic coupon usage system
JP2013097661A (en) Authentication device and authentication method
JP2009003498A (en) Onetime password authentication system
JP6080282B1 (en) Authentication processing system, authentication auxiliary server, and web display program
JP2007065789A (en) Authentication system and method