JP2018530235A - 使い捨て乱数を利用して認証する統合認証システム - Google Patents
使い捨て乱数を利用して認証する統合認証システム Download PDFInfo
- Publication number
- JP2018530235A JP2018530235A JP2018515133A JP2018515133A JP2018530235A JP 2018530235 A JP2018530235 A JP 2018530235A JP 2018515133 A JP2018515133 A JP 2018515133A JP 2018515133 A JP2018515133 A JP 2018515133A JP 2018530235 A JP2018530235 A JP 2018530235A
- Authority
- JP
- Japan
- Prior art keywords
- random number
- user
- disposable
- password
- seed value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/58—Random or pseudo-random number generators
- G06F7/582—Pseudo-random number generators
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/58—Random or pseudo-random number generators
- G06F7/588—Random number generators, i.e. based on natural stochastic processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
Abstract
本発明に係る使い捨て乱数を利用して認証する統合認証システムは、ユーザー端末からユーザーの認証を要求された認証サーバーがシード値を生成して前記ユーザー端末に送信し、使い捨ての乱数発生器が前記ユーザー端末の受信したシード値とユーザーのパスワードを位置情報として利用して前記使い捨て乱数生成器に保存された第1の乱数のセットを構成する乱数の中から、上記シード値と前記ユーザーパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成し、表示し、前記認証サーバーが前記シード値とパスワードDBに格納されたユーザーのパスワードを位置情報として利用して乱数セットDBに格納された第2の乱数のセットを構成する乱数の中から、上記シード値と上記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成し、前記第2の使い捨て乱数と前記ユーザー端末から送信さ受け取った第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証する。【選択図】図1
Description
本発明は、使い捨ての乱数を利用して認証する統合認証システムに関するものである。より詳細には、正当な権原がない第三者によってユーザー端末またはサーバーがハッキングされても取引パスワードが流出しないようにし、ユーザー認証要求ごとに取引パスワードを動的に変更させて、第三者による再利用を不可能にし、第三者がこの取引パスワードを事前に予測することができないようにすることで、ユーザー認証のセキュリティを大幅に強化することができる方法に関するものである。
一般的に、ユーザーは、ユーザー端末を介して特定のサービスを提供しているウェブサイトに接続するとき、自分のユーザー名とパスワードを入力してサーバーにユーザー認証を要求する。このとき、サーバーは、既に登録されたユーザーのIDとパスワードが一致することを確認することで接続するかどうかを決定することになる。ところが、もしユーザーのIDとパスワードが第三者に流出された状態で、第三者がユーザーのIDとパスワードを入力して認証を要求する場合には、サーバーは、第三者が正当な権原を持つユーザーであるかどうかを区別することができない、IDとパスワードが一致するかどうかだけを基準に接続を認証するため、実質的な認証のエラーの問題が発生する。
これらの認証のエラーの問題は、現在のインターネットのハッキングによって広範囲に出現しており、これによるインターネットユーザーの情報の盗用の問題が深刻なのが現実である。
すなわち、従来の方式によると、パスワードがユーザーによって変更されない限り、固定されるので、第三者がユーザーのコンピュータなどをハッキングしたり、サーバーに保存されたユーザーのパスワード(数字)をハッキングしたりして知っているとき、そのパスワードを再利用することにより、正当な権原なく、ユーザーのふりをすることができるという問題がある。
これらの固定パスワード方式の問題点を解決するために、毎回変わる数字を発生させる使い捨てパスワード(One Time Password、OTP)生成器が使用されている。
しかし、従来のOTP方式は、一方向ハッシュ関数と呼ばれる特定のルール(アルゴリズム)を使用してパスワードを生成しているため、正当な権原がない第三者にそのルール(アルゴリズム)が流出した場合には、パスワードで使用されている数字を予測することができるので、やはり個人情報の盗用が発生するという問題がある。
本発明は、正当な権原のない第三者によってユーザー端末またはサーバーがハッキングされても取引パスワードが流出しないようすることにより、ユーザー認証のセキュリティ性を大幅に向上させることを目的とする。
また、本発明は、ユーザーの認証要求ごとに取引パスワードを動的に変更させて、第三者による再利用を不可能にし、第三者がこの取引パスワードを事前に予測することができないようにすることで、ユーザー認証のセキュリティを大幅に強化することを目的とする。
また、本発明は、ユーザーがサーバーに接続する前に取引パスワードが生成されないようにすることで、サーバー運営者でさえも盗用が不可能であり、サーバー運営者側で内部統制のコストを減少させることを目的とする。
また、本発明は、ユーザーの認証要求ごとに取引パスワードを動的に変更させて、第三者による再利用を不可能にし、第三者がこの取引パスワードを事前に予測することができないようにすることで、ユーザー認証のセキュリティを大幅に強化することを目的とする。
また、本発明は、ユーザーがサーバーに接続する前に取引パスワードが生成されないようにすることで、サーバー運営者でさえも盗用が不可能であり、サーバー運営者側で内部統制のコストを減少させることを目的とする。
本発明の一側面による統合認証システムは、ユーザー端末、認証サーバーと使い捨て乱数生成器を含み、ユーザー端末からユーザーの認証を要求された認証サーバーがシード値(seed value)を生成して前記ユーザー端末に送信し、使い捨ての乱数生成器が前記ユーザー端末の受信したシード値とユーザーのパスワードを位置情報として利用して前記使い捨て乱数生成器に保存された第1の乱数の集合を構成する乱数の中から、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成して表示し、前記認証サーバーが前記シード値とパスワードDBに格納されたユーザーのパスワードを位置情報として利用して乱数の集合DBに格納された第2の乱数の集合を構成する乱数に中前記シード値と前記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成し、前記第2の使い捨て乱数と前記ユーザー端末から送信された第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証する。
本発明の他の側面による統合認証システムは、ユーザー端末、認証サーバーと使い捨て乱数生成器を含み、ユーザー端末からユーザーの認証を要求された認証サーバーはシード値(seed value)が含まれている隠蔽数の集合を生成して前記ユーザー端末に送信し、使い捨ての乱数生成器が前記ユーザー端末の受信した隠蔽数の集合から取得されたシード値とユーザーのパスワードを位置情報として利用して前記使い捨て乱数生成器に保存された第1の乱数の集合を構成する乱数の中で、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成して表示し、前記認証サーバーが前記シード値とパスワードDBに格納されたユーザーのパスワードを位置情報として利用して乱数の集合DBに格納された第2の乱数の集合を構成する乱数の中から、前記シード値と前記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成し、前記第2の使い捨て乱数と前記ユーザー端末から送信された第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証する。
本発明の他の側面による統合認証システムにおいて、前記シード値は、前記隠蔽数字の集合を構成する数字の中から、ユーザーに付与されたシード抽出用の位置番号に対応する数字を抽出して獲得されることを特徴とする。
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器は、前記シード値と前記ユーザーのパスワードの第1の演算規則を適用して第1の中間値を生成し、前記第1の中間値に第1の抽出ルールを適用して、第1の位置番号を抽出し、前記第1の乱数の集合を構成する乱数の中から、前記第1の位置番号に対応する乱数を抽出して、前記第1の使い捨て乱数を生成し、前記認証サーバーは、前記シード値と前記パスワードDBに格納されたユーザーのパスワードに第2の演算規則を適用して第2の中間値を生成し、前記第2の中間値に第2の抽出ルールを適用して第2の位置番号を抽出し、前記第2の乱数の集合を構成する乱数の中から前記第2の位置番号に対応する乱数を抽出して前記第2の使い捨て乱数を生成することを特徴とする。
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれの移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする。
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれ前記ユーザーの生体情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする。
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器は、前記第1の乱数の集合を構成する乱数の中から、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数に第1の変換規則を適用して、前記第1の使い捨て乱数を生成し、前記認証サーバーは、前記第2の乱数の集合を構成する乱数の中から、前記シード値と前記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数に第2の変換規則を適用して前記第2の使い捨て乱数を生成することを特徴とする。
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれの移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする。
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれ前記ユーザーの生体情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする。
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器は、前記第1の乱数の集合を構成する乱数の中から、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数を第1のハッシュ関数で暗号化して前記第1の使い捨て乱数を生成し、前記認証サーバーは、前記第2の乱数の集合を構成する乱数の中から、前記シード値と前記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出で、抽出された乱数を第2のハッシュ関数で暗号化して前記第2の使い捨て乱数を生成することを特徴とする。
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器は、前記ユーザー端末と物理的に区分されたハードウェアデバイスであるか、前記ユーザー端末にソフトウェア的に実装された機能モジュールであることを特徴とする。
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器は、前記ユーザーのパスワードが保存されていないことを特徴とする。
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器は、前記ユーザーのパスワードが保存されていないことを特徴とする。
本発明によると、正当な権原のない第三者によってユーザー端末またはサーバーがハッキングされても取引パスワードが流出しないようすることにより、ユーザー認証のセキュリティが大幅に向上する効果がある。
また、ユーザー認証要求ごとに取引パスワードを動的に変更させて、第三者による再利用を不可能にし、第三者がこの取引パスワードを事前に予測することができないようにすることで、ユーザー認証のセキュリティが大幅に強化される効果がある。
また、ユーザーがサーバーに接続する前に取引パスワードが生成されないので、サーバー運営者でさえも盗用が不可能だという効果があり、サーバー運営者側で内部統制のコストが減少される効果がある。
また、本発明は、ユーザーが認証を受けるための使い捨ての乱数生成器で生成された使い捨ての乱数を取引パスワードを利用するので、正当な権原がない第三者がオンライン盗聴やハッキングされても取引パスワードを盗用することができない効果がある。
また、正当な権原がない第三者が使い捨て乱数生成器を習得して使用しても、第三者ユーザーのパスワードを知ることができないので、第三者が習得した使い捨て乱数生成器は、認証サーバーが生成した乱数と同じ乱数を生成することができず、これにより、使い捨ての乱数生成器が紛失された場合でも、取引パスワードが盗用されない効果がある。
また、ユーザーのパスワードとユーザーの個人キーに対応する第2の乱数の集合を認証サーバーに保管せず、それぞれのパスワードDBと乱数の集合DBに分離保管するので、認証ハッキングされても取引パスワードが盗用されない効果がある。
また、使い捨ての乱数生成器で生成された乱数は、移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報を含んでいるので取引否認防止効果が発生する。つまり、シード値を送ってくれた認証サーバー(金融機関等)が取引していなかったと否定することができず、そのシード値と自分のユーザーのーパスワードを入力して発生した数字を認証サーバーに送ったユーザーも、自分がそのような行為をしていなかったと否定することができない。また、使い捨ての乱数生成器で生成された乱数は、受取人の識別情報を含んでいるので、ハッカーが使い捨て乱数生成器を不当に傍受自分の他の人の名前の通帳番号に転送を要求しても、受取人の識別情報が異なるため、ハッカーのための認証が拒否される効果がある。
また、使い捨て乱数生成器を使用するためには、ユーザーのパスワードが必要で、そのユーザーのパスワードは、ユーザーの記憶(脳)の中にだけ保持され、外部のどこにも残っていませんので、第三者がこれを盗用する方法がないので、使い捨て乱数生成器は、公認証明書を効果的に代替することができる。
また、特定の取引でトレーダーが正当なユーザーであるかどうかを認証することができるのみならず、ユーザーの身分を一般的に確認できる身分確認用としても利用することができるので、ユーザーのための統合的な認証が可能となる効果を奏する。
本明細書に開示されている本発明の概念による実施態様に対して特定の構造または機能の説明は、単に本発明の概念による実施態様を説明するための目的で例示されたものであり、本発明の概念による実施態様は、様々な形に実施されることができ、本明細書に説明された実施態様に限定されない。
本発明の概念による実施態様は、様々な変更を加えることができ、様々な態様を持つことができますので、実施態様を図面に例示し、本明細書で詳細に説明する。しかし、これは本発明の概念による実施態様を特定の開示態様に対して限定しようとするものではなく、本発明の思想及び技術範囲に含まれるすべての変更、均等物、または代替物を含んでいる。
第1または第2のなどの用語は、様々な構成要素を説明するために使用することができますが、前記の構成要素は、前記の用語によって限定されてはならない。前記の用語は、1つの構成要素を他の構成要素から区別するためにのみ、例えば、本発明の概念に基づく権利の範囲から逸脱しないまま、第1の構成要素は、第2の構成要素として命名することができ同様に、第2構成要素は、第1の構成要素としても命名されることができる。
どの構成要素が他の構成要素に「連結されて」いるとか、「接続されて」いると言及されたときには、そのほかの構成要素に直接連結されているか、または接続されている場合がありますが、中間に他の構成要素が存在する可能性もあると理解なければならない。一方、いくつかの構成要素が他の構成要素に”直接連結されて"いるとか、"直接接続されて"いると言及されたときには、中間に他の構成要素が存在しないことを理解されるべきである。構成要素間の関係を説明する他の表現、すなわち「〜の間に」と「すぐ〜の間に」または「〜に隣接する」と「〜に直接隣接する」なども同様に解釈されるべきである。
本明細書で使用される用語は、単に特定の実施態様を説明するために使用されたものであり、本発明を限定する意図ではない。単数の表現は、文脈上明らかに別の方法で意味ない限り、複数の表現を含んでいる。本明細書では、「含む」または「有する」などの用語は、本明細書に記載された特徴、数字、段階、動作、構成要素、部分品またはこれらを組み合わせたものが存在することを指定しようとするのであって、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部分品またはこれらを組み合わせたものの存在または付加可能性を予め排除しないものと理解されるべきである。
別の方法で定義されない限り、技術的または科学的な用語を含めてここで使用されるすべての用語は、本発明が属する技術分野で通常の知識を有する者によって一般的に理解されるのと同じ意味を表す。一般的に使用される事前に定義されているような用語は、関連技術の文脈上持つ意味と一致する意味を持つものと解釈されるべきであり、本明細書で明らかに定義しない限り、理想的または過度に形式的な意味に解釈されない。
以下では、添付された図面を参照して、本発明の好ましい実施態様を詳細に説明する。
図1は、本発明の第1の実施態様に係る統合認証システムを示した図である。
図1を参照すると、本発明の第1の実施態様に係る統合認証システムは、ユーザー端末(10)、使い捨て乱数生成器(20)、認証サーバー(31)、パスワードDB(40)と乱数の集合DB(50)を含んでいる。以下、該当部分で説明しますが、第1の乱数の集合の第2の乱数の集合は同一であり、第1の演算規則と第2の演算規則は同一であり、第1の中間値と第2の中間値は等しく、第1の抽出ルールと第2の抽出ルールは同一であり、第1の位置番号と第2の位置番号は同一であり、第1の変換規則と第2の変換規則は同一であり、第1のハッシュ関数と第2のハッシュ関数は同一である。また、本実施態様によると、第1の使い捨て乱数と第2の使い捨て乱数は同じである場合にだけ、ユーザーが正常に認証される。
図1を参照すると、本発明の第1の実施態様に係る統合認証システムは、ユーザー端末(10)、使い捨て乱数生成器(20)、認証サーバー(31)、パスワードDB(40)と乱数の集合DB(50)を含んでいる。以下、該当部分で説明しますが、第1の乱数の集合の第2の乱数の集合は同一であり、第1の演算規則と第2の演算規則は同一であり、第1の中間値と第2の中間値は等しく、第1の抽出ルールと第2の抽出ルールは同一であり、第1の位置番号と第2の位置番号は同一であり、第1の変換規則と第2の変換規則は同一であり、第1のハッシュ関数と第2のハッシュ関数は同一である。また、本実施態様によると、第1の使い捨て乱数と第2の使い捨て乱数は同じである場合にだけ、ユーザーが正常に認証される。
ユーザー端末(10)は、ユーザーがネットワークを利用した取引を実行するための装置であり、取引実行の過程で、認証サーバー(31)に認証を要求し、認証サーバー(31)からシード値を受けて表示し、使い捨て乱数生成器(20)が生成して表示する第1の使い捨て乱数をユーザーから入力を受け、認証サーバー(31)に転送するなどの機能を実行する。これらのユーザー端末(10)は、一般的なパーソナルコンピュータ、ラップトップコンピュータなどだけではなく、所定の演算と通信機能を備えたスマートフォンなどのモバイル端末であることができる。
使い捨ての乱数生成器(20)は、第1の使い捨て乱数を生成して、ユーザーに表示する機能を実行する。
例えば、使い捨て乱数生成器(20)は、ユーザーインターフェースモジュール(210)、第1の使い捨て乱数生成モジュール(220)とストレージモジュール(230)を含んで構成されることができる。
ユーザーインターフェースモジュール(210)は、ユーザーによる情報の入力をサポートし、第1の使い捨て乱数生成モジュール(220)によって生成された第1の使い捨て乱数をユーザーに表示する機能を実行する。
第1の使い捨て乱数生成モジュール(220)は、認証サーバー(31)によって生成されたシード値とユーザーのパスワードを位置情報として利用して保存モジュール(230)に格納された第1の乱数の集合を構成する乱数の中でシード値とユーザーのパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成し、これをユーザーに表示する機能を実行する。シード値は、認証サーバー(31)によって生成され、ユーザー端末(10)に転送されて表示され、ユーザーによってユーザーインターフェイスモジュール(210)を介して使い捨ての乱数生成器(20)に入力される。ここで、ユーザーのパスワードはユーザーが記憶している情報である。
ストレージモジュール(230)は、第1の使い捨て乱数を生成するための募集した第1の乱数の集合が保存されており、それ以外のユーザーに関連する情報、例えば、ユーザーのパスワードは保存されていない。第1の乱数の集合は、ユーザーごとに一意に生成され、付与された情報であり、第1の乱数の集合と同じ情報である第2の乱数の集合は認証サーバー(31)がアクセスすることができる乱数の集合DB(50)に保存されている。
認証サーバー(31)は、シード値とパスワードDB(40)に保存されたユーザーのパスワードを位置情報として利用して乱数の集合DB(50)に格納された第2の乱数の集合を構成する乱数の中でシード値とパスワードDB(40)に保存されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成し、第2の使い捨て乱数とユーザー端末(10)から送られて第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証する機能を実行する。
例えば、認証サーバー(31)は、通信モジュール(310)、シード値生成モジュール(320)、第2の使い捨て乱数生成モジュール(340)と認証モジュール(350)を含んで構成されることができる。
通信モジュール(310)は、ユーザー端末を含む外部装置との通信をサポートする機能を実行する。
シード値生成モジュール(320)は、第1の使い捨て乱数と第2の使い捨て乱数を生成するためのシード値を生成する機能を実行する。
第2の使い捨て乱数生成モジュール(340)は、シード値とパスワードDB(40)に保存されたユーザーのパスワードを位置情報として利用して乱数の集合DB(50)に格納された第2の乱数の集合を構成する乱数の中でシード値とパスワードDB(40)に保存されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成する機能を実行する。
認証モジュール(350)は、第2の使い捨て乱数生成モジュール(340)によって生成された第2の使い捨て乱数とユーザー端末(10)から送られて第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証する機能を実行する。
パスワードDB(40)には、ユーザーが設定したユーザーのパスワードがユーザーのIDに対応されて保存されている。
乱数の集合DB(50)には、第2の使い捨て乱数を生成するための募集した第2の乱数の集合が保存されている。第2の乱数の集合は、ユーザーごとに一意に生成され、付与された情報であり、第1の乱数の集合と同じ情報である。乱数の集合DB(50)には、ユーザーに付与された第2の乱数の集合がユーザーのIDに対応されて保存されている。
このようなシステム環境では、ユーザー端末(10)または認証サーバー(31)が第三者によってハッキングされても、第三者があたかもユーザーであることのように行為することを防止するために、すなわち、第三者の間違った認証を防止するために、 1)認証要求ごとのパスワードを動的に変更させて、第三者による再利用を不可能にしなければならず、2)第三者がパスワードを事前に予測することができないようにしなければならず、3)使い捨て乱数生成器(20)から動的に変更生成される使い捨て乱数を認証サーバー(31)がわかる必要があるため、認証サーバー(31)も、使い捨て乱数生成器(20)で生成される使い捨て乱数と同じ使い捨て乱数を生成することができなければならない。
このため、使い捨て乱数生成器(20)には、一連のランダム数字と、その数字から一定数の乱数を抽出する方法(アルゴリズム)が保存されている。使い捨ての乱数生成器(20)に格納された乱数を第1の乱数の集合と呼び、使い捨て乱数生成器(20)が、第1の乱数の集合から一定乱数を抽出するアルゴリズムを第1のアルゴリズムと称する。使い捨ての乱数生成器(20)は、ユーザーが別途所持するハードウェアデバイスで実装されるか、ユーザー端末(10)にソフトウェア的に実装されることができる。
また、認証サーバー(31)にも使用者側の使い捨て乱数生成器(20)と同じ使い捨て乱数を発生させることができる乱数及びその乱数から一定の乱数を抽出する方法(アルゴリズム)が保存されている。認証サーバー(31)に格納された乱数を第2の乱数の集合と呼び、認証サーバー(31)が、第2の乱数の集合から一定乱数を抽出するアルゴリズムを第2のアルゴリズムと称する。
認証サーバー(31)と使い捨て乱数生成器(20)は、同一の使い捨て乱数を生成する必要があるため、第1の乱数の集合と第2の乱数の集合は同一であり、第1のアルゴリズムは第2のアルゴリズムと同じである。乱数の集合DB(50)には、ユーザー固有の乱数の集合がすべて保存されており、ユーザーのIDを使用してユーザーを識別し、認証サーバー(31)は、このユーザーに割り当てられた乱数の集合である第2の乱数の集合を使用する。
図2は、本発明の第1の実施態様に係る統合認証システムの動作の流れを説明するための図である。
図2をさらに参照すると、段階S110では、ユーザー端末(10)が、認証サーバー(31)にユーザーの認証を要求する過程が行われる。例えば、このプロセスは、ユーザー端末(10)を介して認証サーバー(31)が提供する特定のサービスを、提供を受けようとするユーザーが、自分が所持しているユーザー端末(10)にIDを入力してユーザー認証を要請し、認証サーバー(31)がこの認証要求を受信することで実行されることができる。
段階S120では、ユーザー端末(10)からユーザーの認証を要求された認証サーバー(31)がシード値(seed value)を作成して、ユーザー端末(10)に転送する過程が行われる。例えば、認証サーバー(31)から生成されるシード値は乱数であることができ、この数字は擬似乱数生成器を使用して作成することができる。
段階S130は、使い捨て乱数生成器(20)は、ユーザー端末(10)が受信したシード値とユーザーによって入力されたユーザーのパスワードを位置情報として利用して使い捨ての乱数生成器(20)に格納された第1の乱数の集合を構成する乱数の中でシード値とユーザーによって入力されたユーザーのパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成して表示する過程が行われる。
一つの例として、使い捨て乱数生成器(20)は、ユーザー端末(10)と、物理的に区分されたハードウェアデバイスである場合、ステップS130は、ユーザーが自分の記憶しているユーザーのパスワードとユーザー端末(10)が、認証サーバー(31)から送信されて表示されるシード値を使い捨ての乱数生成器(20)に入力する場合には、使い捨ての乱数生成器(20)が、このシード値とユーザーのパスワードを位置情報として利用して第1の乱数の集合を構成する乱数の中から、シード値とユーザーのパスワードに対応する第1の使い捨て乱数を生成して表示するように構成されることができる。
他の例として、使い捨て乱数生成器(20)は、ユーザー端末(10)にソフトウェア的に実装された場合には、ユーザー端末(10)が、認証サーバー(31)からシード値を受けて表示し、ユーザー端末(10)に実装された使い捨て乱数生成器(20)つまり、使い捨て乱数生成用のアプリケーションが提供するインタフェース画面を介して、シード値、およびユーザーのパスワードが入力されると、使い捨て乱数生成器(20)が、このシード値とユーザーのパスワードを位置情報として利用して第1の乱数の集合を構成する乱数の中でシード値とユーザーのパスワードに対応する第1の使い捨て乱数を生成して表示するように構成されることができる。
段階S140では、ユーザー端末(10)が第1の使い捨て乱数を認証サーバー(31)に転送する過程が行われる。第1の使い捨て乱数は使い捨ての乱数生成器(20)によって生成され、表示され、ユーザーが第1の使い捨て乱数をユーザー端末(10)に入力すると、ユーザー端末(10)が第1の使い捨て乱数を認証サーバー(31)に転送するように構成されることができる。
段階S150で、認証サーバー(31)がシード値とパスワードDB(40)に保存されたユーザーのパスワードを位置情報として利用して乱数の集合DB(50)に格納された第2の乱数の集合を構成する乱数の中でシード値とパスワードDB(40)に保存されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成する過程が行われる。
段階S160で、認証サーバー(31)が、自分が作成した第2の使い捨て乱数とユーザー端末(10)から送られて第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証する過程が行われる。
以下では、本発明の第1の実施態様において、使い捨て乱数生成器(20)が第1の使い捨て乱数を生成し、認証サーバー(31)がこれに対応して第2の使い捨て乱数を生成する具体的な方法の例を説明する。
一つの例として、使い捨て乱数生成器(20)は、認証サーバー(31)によって生成されたシード値とユーザーによって入力されたユーザーのパスワードに第1の演算規則を適用して第1の中間値を生成し、第1の中間値に第1の抽出規則を適用して、第1の位置番号を抽出し、第1の乱数の集合を構成する乱数の中から、前記第1の位置番号に対応する乱数を抽出して第1の使い捨て乱数を生成することができる。例えば、第1の演算規則は合算、減算などの様々な演算方法であることができ、第1の抽出規則では、第1の中間値で第1の位置番号を抽出するための様々な方法が適用されることができる。また、認証サーバー(31)は、自身が生成したシード値とパスワードDB(40)に保存されたユーザーのパスワードに第2の演算規則を適用して第2の中間値を生成し、第2の中間値に第2の抽出ルールを適用して第2の位置番号を抽出し、第2の乱数の集合を構成する乱数の中から第2の位置番号に対応する乱数を抽出して第2の使い捨て乱数を生成することができる。第2の演算規則は、第1の演算規則と同一であり、第2の抽出規則は、第1の抽出規則と同じである。この例では、使い捨ての乱数生成器(20)と、認証サーバー(31)は、それぞれ移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報をさらに利用して、第1の使い捨て乱数と第2の使い捨て乱数を生成するように構成することもできる。例えば、送金取引の場合には、受取人の識別情報は、受取人の口座情報であることがあり、ショッピングモール決済取引の場合には、数追認識別情報は、ショッピングモール事業者番号情報であることができる。
また、例えば、使い捨て乱数生成器(20)と、認証サーバー(31)は、それぞれ前記ユーザーの生体情報をさらに利用して、第1の使い捨て乱数と第2の使い捨て乱数を生成するように構成することもできる。
他の例として、使い捨て乱数生成器(20)は、第1の乱数の集合を構成する乱数の中で、認証サーバー(31)によって生成されたシード値とユーザーによって入力されたユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数に第1の変換規則を適用して第1の使い捨て乱数を生成することができる。また、認証サーバー(31)は、第2の乱数の集合を構成する乱数の中でシード値とパスワードDB(40)に保存されたユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数に第2の変換規則を適用して第2の使い捨て乱数を生成することができる。第1の変換規則と第2の変換規則は同じである。例えば、抽出された乱数が「114101」である場合には、この数字に2を乗じた数(229202)またはログ(LOG)をとり出てきたことが(5.0572894506634274641656910578661)の一部(例えば、057289)を、第1および第2のOTPとして使用することができている。この例でも、使い捨て乱数生成器(20)と、認証サーバー(31)は、それぞれ移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報をさらに利用して、第1の使い捨て乱数と第2の使い捨て乱数を生成するように構成することもできる。また、例えば、使い捨て乱数生成器(20)と、認証サーバー(31)は、それぞれ前記ユーザーの生体情報をさらに利用して、第1の使い捨て乱数と第2の使い捨て乱数を生成するように構成することもできる。
別の例として、セキュリティ強化のために、第1の使い捨て乱数と第2の使い捨て乱数は暗号化されることができる。このため、使い捨て乱数生成器(20)は、第1の乱数の集合を構成する乱数の中で、認証サーバー(31)によって生成されたシード値とユーザーによって入力されたユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数を第1のハッシュ関数で暗号化して第1の使い捨て乱数を生成することができ、抽出された乱数にユーザー情報を付加した後、暗号化することもできる。また、認証サーバー(31)は、第2の乱数の集合を構成する乱数の中から、自分が作成したシード値とパスワードDB(40)に保存されたユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数を第2のハッシュ関数で暗号化して第2の使い捨て乱数を生成することができ、抽出された乱数にユーザー情報を付加した後、暗号化することもできる。第1のハッシュ関数と第2のハッシュ関数は同一である。
図3は、本発明の第2の実施態様に係る統合認証システムを示した図である。以下では、第1の実施態様と比較して、第2の実施態様の持つ特徴的な部分に焦点を合わせて説明し、第1の実施態様に適用される様々な例が、第2の実施態様にも適用されることができるという点を明らかにしておく。
図3を参照すると、本発明の第2の実施態様に係る統合認証システムは、ユーザー端末(10)が、使い捨て乱数生成器(20)、認証サーバー(32)、パスワードDB(40)と乱数の集合DB(50)を含んでいる。第2の実施態様は、第1の実施態様と比較して、認証サーバー(32)が隠蔽数字の集合の生成モジュール(330)をさらに含むという点で違いがある。隠蔽数字の集合の生成モジュール(330)は、シード値(seed value)が含まれている隠蔽数字の集合を生成する機能を実行する。
図4は、本発明の第2の実施態様に係る統合認証システムの動作の流れを説明するための図である。
図4をさらに参照すると、段階S210では、ユーザー端末(10)が、認証サーバー(32)にユーザーの認証を要求する過程が行われる。
段階S220では、ユーザー端末(10)からユーザーの認証を要求された認証サーバー(32)はシード値(seed value)が含まれている隠蔽数字の集合を作成して、ユーザー端末(10)に転送する過程が行われる。シード値を隠蔽数字の集合に含まれていて送信すれば、第三者はシード値が何なのかを知ることができないので、安全性が強化される。
段階S230は、使い捨て乱数生成器(20)は、ユーザー端末(10)が受信した隠蔽数字の集合から取得されたシード値とユーザーによって入力されたユーザーのパスワードを位置情報として利用して使い捨ての乱数生成器(20)に格納された第1の乱数の集合を構成する乱数の中でシード値とユーザーによって入力されたユーザーのパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成して表示する過程が行われる。例えば、段階S230は隠蔽数字の集合を構成する数字の中から、ユーザーに付与されたシード抽出用の位置番号に対応する数字を抽出してシード値を取得するように構成されることができる。具体的な例として、約束された位置の値、すなわち、シード抽出用の位置番号が「7」、「9」、「5」、「6」である場合は、認証サーバー(32)は、ユーザー端末(10)に送信した隠蔽数字の集合が「3701235468」であれば、シード値は、7番目に位置する数字「5」と9番目に位置する数字「6」と5番目に位置する数字「2」と6番目に位置する数字「3」、つまり「5623」はシード値となるものである。
段階S240では、ユーザー端末(10)が第1の使い捨て乱数を認証サーバー(32)に送信する過程が行われる。第1の使い捨て乱数は使い捨ての乱数生成器(20)によって生成され、表示され、ユーザーが第1の使い捨て乱数をユーザー端末(10)に入力すると、ユーザー端末(10)が第1の使い捨て乱数を認証サーバー(32)に転送するように構成されることができる。
段階S250で、認証サーバー(32)がシード値とパスワードDB(40)に保存されたユーザーのパスワードを位置情報として利用して乱数の集合DB(50)に格納された第2の乱数の集合を構成する乱数の中でシード値とパスワードDB(40)に保存されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成する過程が行われる。
段階S260で、認証サーバー(32)が、自分が作成した第2の使い捨て乱数とユーザー端末から受信した第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証する過程が行われる。
先に明らかにしたように、第1の実施態様に適用される様々な例が、第2の実施態様にも適用することができる。例えば、第1の実施態様に適用される使い捨ての乱数生成器(20)が第1の使い捨て乱数を生成し、認証サーバー(31)がこれに対応して第2の使い捨て乱数を生成する具体的な方法の例が、第2の実施態様にも適用することができる。
以上で詳細に説明したように、本発明によると、正当な権原がない第三者によってユーザー端末またはサーバーがハッキングされても取引パスワードが流出しないようすることにより、ユーザー認証のセキュリティが大幅に向上する効果がある。
また、ユーザー認証要求ごとに取引パスワードを動的に変更させて、第三者による再利用を不可能にし、第三者がこの取引パスワードを事前に予測することができないようにすることで、ユーザー認証のセキュリティが大幅に強化される効果がある。
また、ユーザーがサーバーに接続する前に取引パスワードが生成されないので、サーバー運営者でさえも盗用が不可能だという効果があり、サーバー運営者側で内部統制のコストが減少される効果がある。
また、本発明は、ユーザーが認証を受けるための使い捨ての乱数生成器で生成された使い捨ての乱数を取引パスワードを利用するので、正当な権原がない第三者が来たライン盗聴やハッキングをしても取引パスワードを盗用することができない効果がある。
また、正当な権原がない第三者が使い捨て乱数生成器を習得して使用しても、第三者ユーザーのパスワードを知ることができないので、第三者が習得した使い捨て乱数生成器は、認証サーバーが生成した乱数と同じ乱数を生成することができず、これにより、使い捨ての乱数生成器が紛失された場合でも、取引パスワードが盗用されない効果がある。
また、ユーザーのパスワードとユーザーの個人キーに対応する第2の乱数の集合を認証サーバーに保管せず、それぞれのパスワードDBと乱数の集合DBに分離保管するので、認証サーバーがハッキングされても取引パスワードが盗用されない効果がある。
また、使い捨ての乱数生成器で生成された乱数は、移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報を含んでいるので取引否認防止効果が発生する。つまり、シード値送った認証サーバー(金融機関等)が取引していなかったと否定することができず、そのシード値と自分のユーザーのパスワードを入力して発生した数字を認証サーバーに送ったユーザーも、自分がそのような行為をしていなかった否定できない。また、使い捨ての乱数生成器で生成された乱数は、受取人の識別情報を含んでいるので、ハッカーが使い捨て乱数生成器を不当に傍受自分の大砲通帳番号に転送を要求しても、受取人の識別情報が異なるため、ハッカーのための認証が拒否される効果がある。
また、使い捨て乱数生成器を使用するためには、ユーザーのパスワードが必要で、そのユーザーのパスワードは、ユーザーの記憶(脳)の中にだけ保持され、外部のどこにも残っていませんので、第三者がこれを盗用する方法がないので、使い捨て乱数生成器は、公認証明書を効果的に置き換えることができる。
また、特定の取引でトレーダーが正当なユーザーであるかどうかを認証することができるのみならず、ユーザーの身分を一般的に確認できる身分確認用としても利用することができるので、ユーザーのための統合的な認証が可能となる効果がある。
10:ユーザー端末
20:使い捨て乱数生成器
31、32:認証サーバー
40:パスワードDB
50:乱数の集合DB
210:ユーザーインターフェースモジュール
220:第1の使い捨て乱数生成モジュール
230:ストレージモジュール
310:通信モジュール
320:シード値生成モジュール
330:隠蔽数字の集合の生成モジュール
340:第2の使い捨て乱数生成モジュール
350:認証モジュール
20:使い捨て乱数生成器
31、32:認証サーバー
40:パスワードDB
50:乱数の集合DB
210:ユーザーインターフェースモジュール
220:第1の使い捨て乱数生成モジュール
230:ストレージモジュール
310:通信モジュール
320:シード値生成モジュール
330:隠蔽数字の集合の生成モジュール
340:第2の使い捨て乱数生成モジュール
350:認証モジュール
Claims (11)
- ユーザー端末、認証サーバーと使い捨ての乱数生成器を含む統合認証システムであって、ユーザー端末からユーザーの認証を要求された認証サーバーがシード値(seed value)を生成して前記ユーザー端末に送信し、使い捨ての乱数生成器が前記ユーザー端末の受信したシード値とユーザーのパスワードを位置情報として利用して前記使い捨て乱数生成器に保存された第1の乱数の集合を構成する乱数の中から、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成して表示し、前記認証サーバーが前記シード値とパスワードDBに格納されたユーザーのパスワードを位置情報として利用して乱数の集合DBに格納された第2の乱数の集合を構成する乱数の中から、前記シード値と前記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成し、前記第2の使い捨て乱数と前記ユーザー端末から受信した第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証し、前記使い捨て乱数生成器は、前記ユーザーのパスワードが保存されておらず、前記第1の乱数の集合と、前記第1の乱数の集合と同じ前記第2の乱数の集合は、ユーザーごとに一意に生成され、付与された情報であり、前記シード値は、擬似乱数生成器を介して生成された乱数である、統合認証システム。
- ユーザー端末、認証サーバーと使い捨ての乱数生成器を含む統合認証システムであって、ユーザー端末からユーザーの認証を要求された認証サーバーがシード値(seed value)の含まれている隠蔽数字の集合を生成して前記ユーザー端末に送信し、使い捨ての乱数生成器が前記ユーザー端末の受信した隠蔽数字の集合から取得されたシード値とユーザーのパスワードを位置情報として利用して前記使い捨て乱数生成器に保存された第1の乱数の集合を構成する乱数の中から、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成して表示し、前記認証サーバーが前記シード値とパスワードDBに格納されたユーザーのパスワードを位置情報として利用して乱数の集合DBに格納された第2の乱数の集合を構成する乱数の中から、前記シード値と前記パスワードDBに保存されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成し、前記第2の使い捨て乱数と前記ユーザー端末から受信した第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証し、前記使い捨て乱数生成器は、前記ユーザーのパスワードが保存されておらず、前記第1の乱数の集合と、前記第1の乱数の集合と同じ前記第2の乱数の集合は、ユーザーごとに一意に生成され、付与された情報であり、前記シード値は、擬似乱数生成器を使用して作成された乱数である、統合認証システム。
- 請求項2において、前記シード値は、前記隠蔽数字の集合を構成する数字の中から、ユーザーに付与されたシード抽出用の位置番号に対応する数字を抽出して獲得されることを特徴とする、統合認証システム。
- 請求項1又は請求項2において、前記使い捨て乱数生成器は、前記シード値と前記ユーザーのパスワードの第1の演算規則を適用して第1の中間値を生成し、前記第1の中間値に第1の抽出ルールを適用して第1の位置番号を抽出し、前記第1の乱数の集合を構成する乱数の中から、前記第1の位置番号に対応する乱数を抽出して、前記第1の使い捨て乱数を生成し、前記認証サーバーは、前記シード値と、前記パスワードDBに格納されたユーザーのパスワードに第2の演算規則を適用して第2の中間値を生成し、前記第2の中間値に第2の抽出ルールを適用して第2の位置番号を抽出し、前記第2の乱数の集合を構成乱数の中、前記第2の位置番号に対応する乱数を抽出して前記第2の使い捨て乱数を生成することを特徴とする、統合認証システム。
- 請求項4において、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれの移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする、統合認証システム。
- 請求項4において、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれ前記ユーザーの生体情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする、統合認証システム。
- 請求項1又は請求項2において、前記使い捨て乱数生成器は、前記第1の乱数の集合を構成する乱数の中から、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数に第1変換規則を適用して、前記第1の使い捨て乱数を生成し、前記認証サーバーは、前記第2の乱数の集合を構成する乱数の中から、前記シード値と前記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数に第2の変換規則を適用して前記第2の使い捨て乱数を生成することを特徴とする、統合認証システム。
- 請求項7において、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれの移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする、統合認証システム。
- 請求項7において、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれ前記ユーザーの生体情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする、統合認証システム。
- 請求項1又は請求項2において、前記使い捨て乱数生成器は、前記第1の乱数の集合を構成する乱数の中から、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数を第1のハッシュ関数で暗号化して前記第1の使い捨て乱数を生成し、前記認証サーバーは、前記第2の乱数の集合を構成する乱数の中から、前記シード値と前記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数を第2のハッシュ関数で暗号化して前記第2の使い捨て乱数を生成することを特徴とする、統合認証システム。
- 請求項1又は請求項2において、前記使い捨て乱数生成器は、前記ユーザー端末と物理的に区分されたハードウェアデバイスであるか、前記ユーザー端末にソフトウェア的に実装された機能モジュールであることを特徴とする、統合認証システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150139016A KR101718948B1 (ko) | 2015-10-02 | 2015-10-02 | 일회용 난수를 이용하여 인증하는 통합 인증 시스템 |
| KR10-2015-0139016 | 2015-10-02 | ||
| PCT/KR2016/010860 WO2017057899A1 (ko) | 2015-10-02 | 2016-09-28 | 일회용 난수를 이용하여 인증하는 통합 인증 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018530235A true JP2018530235A (ja) | 2018-10-11 |
| JP6498358B2 JP6498358B2 (ja) | 2019-04-10 |
Family
ID=58427351
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018515133A Expired - Fee Related JP6498358B2 (ja) | 2015-10-02 | 2016-09-28 | 使い捨て乱数を利用して認証する統合認証システム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20180254904A1 (ja) |
| EP (1) | EP3358783A4 (ja) |
| JP (1) | JP6498358B2 (ja) |
| KR (1) | KR101718948B1 (ja) |
| CN (1) | CN108370316A (ja) |
| WO (1) | WO2017057899A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021065650A1 (ja) * | 2019-09-30 | 2021-04-08 | 積水メディカル株式会社 | 正規品自動認証方法 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3301880B1 (en) * | 2016-09-29 | 2019-03-20 | Université de Picardie Jules Verne | Authentication protocol using a one-time password |
| JP6942541B2 (ja) * | 2017-07-03 | 2021-09-29 | キヤノン株式会社 | 画像形成装置とその制御方法、及びプログラム |
| CN109842487A (zh) * | 2017-11-27 | 2019-06-04 | 国网河南省电力公司电力科学研究院 | 一种基于生物特征的随机数生成方法 |
| KR102105122B1 (ko) * | 2018-01-23 | 2020-04-28 | 황순영 | 고유식별자와 매칭되는 이름을 시드값으로 이용하여 일회용 암호를 생성하는 보안 인증 방법 |
| US11146540B2 (en) * | 2018-05-09 | 2021-10-12 | Datalogic Ip Tech S.R.L. | Systems and methods for public key exchange employing a peer-to-peer protocol |
| US10990356B2 (en) * | 2019-02-18 | 2021-04-27 | Quantum Lock Technologies LLC | Tamper-resistant smart factory |
| CN109861809B (zh) * | 2019-02-20 | 2022-03-18 | 中国电子科技集团公司第三十研究所 | 一种实用化的分组随机加解密方法 |
| CN110430218B (zh) * | 2019-08-23 | 2021-08-13 | 深圳数联天下智能科技有限公司 | 数据传输安全控制方法及装置、计算机设备和物联网系统 |
| KR102231785B1 (ko) * | 2020-10-08 | 2021-03-26 | 주식회사 올아이티탑 | 양자난수와 생체정보를 연계한 가상화폐거래의 보안인증 기술을 지원하는 탈착식 분리형 usb를 이용한 가상화폐거래방법 |
| KR102337263B1 (ko) * | 2021-02-26 | 2021-12-08 | (주)올잇코인 | 원자난수와 생체정보를 연계한 가상화폐거래의 보안인증 기술을 지원하는 탈착식 분리형 usb를 이용한 가상화폐거래방법 |
| KR102367416B1 (ko) * | 2021-03-03 | 2022-02-28 | (주)올잇코인 | 원자난수와 생체정보를 연계한 탈착식 분리형 usb를 이용한 금융거래방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002507025A (ja) * | 1998-03-09 | 2002-03-05 | ニュートン,ファレル | 入口及び出口キー利用のインターネット、イントラネット及び他のネットワーク通信保護システム |
| JP2006221440A (ja) * | 2005-02-10 | 2006-08-24 | Hitachi Software Eng Co Ltd | 認証方法 |
| JP2009003498A (ja) * | 2007-06-19 | 2009-01-08 | Dainippon Printing Co Ltd | ワンタイムパスワード認証システム |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4748774B2 (ja) * | 2004-06-02 | 2011-08-17 | キヤノン株式会社 | 暗号化通信方式及びシステム |
| KR100668387B1 (ko) * | 2004-06-16 | 2007-01-12 | 에스케이 텔레콤주식회사 | 일회용 암호방식을 이용한 통합 인증 시스템과 그 구축 방법 |
| US20060059344A1 (en) * | 2004-09-10 | 2006-03-16 | Nokia Corporation | Service authentication |
| KR100968941B1 (ko) | 2007-03-23 | 2010-07-14 | (주)에이티솔루션 | Otp를 이용한 금융거래 시스템 |
| CN101022337A (zh) * | 2007-03-28 | 2007-08-22 | 胡祥义 | 一种网络身份证的实现方法 |
| US8255696B2 (en) * | 2007-05-01 | 2012-08-28 | Microsoft Corporation | One-time password access to password-protected accounts |
| CN101420302A (zh) * | 2008-12-01 | 2009-04-29 | 成都市华为赛门铁克科技有限公司 | 安全认证方法和设备 |
| KR101050232B1 (ko) * | 2009-03-31 | 2011-07-19 | 루멘소프트 (주) | 양방향 통신이 가능한 매체에서의 일회용 비밀번호 생성 시스템 및 그 전달 방법 |
| KR101204980B1 (ko) * | 2011-03-21 | 2012-11-26 | 순천향대학교 산학협력단 | 임의성을 강화시킨 일회용 패스워드 등록 및 인증 방법과 시스템 |
| KR101284481B1 (ko) * | 2011-07-15 | 2013-07-16 | 아이리텍 잉크 | 생체이미지 정보를 포함하는 일회용 비밀번호를 이용한 인증방법 및 장치 |
| KR101513694B1 (ko) | 2013-02-26 | 2015-04-22 | (주)이스톰 | Otp 인증 시스템 및 방법 |
-
2015
- 2015-10-02 KR KR1020150139016A patent/KR101718948B1/ko active IP Right Grant
-
2016
- 2016-09-28 WO PCT/KR2016/010860 patent/WO2017057899A1/ko active Application Filing
- 2016-09-28 CN CN201680058108.3A patent/CN108370316A/zh active Pending
- 2016-09-28 US US15/758,044 patent/US20180254904A1/en not_active Abandoned
- 2016-09-28 JP JP2018515133A patent/JP6498358B2/ja not_active Expired - Fee Related
- 2016-09-28 EP EP16852045.0A patent/EP3358783A4/en not_active Withdrawn
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002507025A (ja) * | 1998-03-09 | 2002-03-05 | ニュートン,ファレル | 入口及び出口キー利用のインターネット、イントラネット及び他のネットワーク通信保護システム |
| JP2006221440A (ja) * | 2005-02-10 | 2006-08-24 | Hitachi Software Eng Co Ltd | 認証方法 |
| JP2009003498A (ja) * | 2007-06-19 | 2009-01-08 | Dainippon Printing Co Ltd | ワンタイムパスワード認証システム |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021065650A1 (ja) * | 2019-09-30 | 2021-04-08 | 積水メディカル株式会社 | 正規品自動認証方法 |
| JPWO2021065650A1 (ja) * | 2019-09-30 | 2021-04-08 | ||
| JP7153807B2 (ja) | 2019-09-30 | 2022-10-14 | 積水メディカル株式会社 | 正規品自動認証方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017057899A1 (ko) | 2017-04-06 |
| KR101718948B1 (ko) | 2017-03-23 |
| EP3358783A1 (en) | 2018-08-08 |
| EP3358783A4 (en) | 2019-05-01 |
| US20180254904A1 (en) | 2018-09-06 |
| JP6498358B2 (ja) | 2019-04-10 |
| CN108370316A (zh) | 2018-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6498358B2 (ja) | 使い捨て乱数を利用して認証する統合認証システム | |
| US10904234B2 (en) | Systems and methods of device based customer authentication and authorization | |
| TWI667585B (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| US9641521B2 (en) | Systems and methods for network connected authentication | |
| US9577999B1 (en) | Enhanced security for registration of authentication devices | |
| US9215223B2 (en) | Methods and systems for secure identity management | |
| US10848304B2 (en) | Public-private key pair protected password manager | |
| CN106575281B (zh) | 用于实施托管的验证服务的系统和方法 | |
| US20170109751A1 (en) | System and method for carrying strong authentication events over different channels | |
| US20120221862A1 (en) | Multifactor Authentication System and Methodology | |
| GB2554082B (en) | User sign-in and authentication without passwords | |
| KR20220167366A (ko) | 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템 | |
| US20230006844A1 (en) | Dynamic value appended to cookie data for fraud detection and step-up authentication | |
| US20220300962A1 (en) | Authenticator App for Consent Architecture | |
| Campbell | Putting the Passe into passwords: how passwordless technologies are reshaping digital identity | |
| KR102313868B1 (ko) | Otp를 이용한 상호 인증 방법 및 시스템 | |
| KR20170053893A (ko) | 이종 기기 사이의 근거리 무선 통신을 이용한 모바일 인증 방법 | |
| Jama et al. | Cyber physical security protection in online authentication mechanisms for banking systems | |
| Saini | Comparative Analysis of Top 5, 2-Factor Authentication Solutions | |
| GB2607282A (en) | Custody service for authorising transactions | |
| CN117097508A (zh) | Nft跨设备安全管理的方法和装置 | |
| KR20130054020A (ko) | 출금 처리 방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180420 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180821 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190118 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190212 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190312 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6498358 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |