JP2023076701A - 利用者認証システム - Google Patents
利用者認証システム Download PDFInfo
- Publication number
- JP2023076701A JP2023076701A JP2023062429A JP2023062429A JP2023076701A JP 2023076701 A JP2023076701 A JP 2023076701A JP 2023062429 A JP2023062429 A JP 2023062429A JP 2023062429 A JP2023062429 A JP 2023062429A JP 2023076701 A JP2023076701 A JP 2023076701A
- Authority
- JP
- Japan
- Prior art keywords
- otp
- user
- otps
- time
- generating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims description 22
- 238000004891 communication Methods 0.000 description 11
- 230000003287 optical effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
【課題】時刻同期式のペアのOTPの一致を検出し利用者を認証する。【解決手段】時刻同期式のペアのOTPの一致を検出し利用者を認証する認証装置を利用するシステムにおいて、OTPの一方を生成する第1手段およびペアの暗号鍵の一方を生成する第2手段を有する生成機構が生成するOTPの一方とペアをなすOTPの他方を生成する第3手段および暗号鍵の他方を生成する第4手段を有する認証装置を備える。【選択図】図1
Description
本発明は、利用者認証システムに関する。
従来、時刻同期式OTP(One Time Password)方法が知られている。例えば、特開平04-037341号公報に記載の技術は、第1局が公開情報Yj、時刻tおよび第1生成手順502、503を利用して、時刻同期式ワンタイムパスワードWi、情報Xijおよび暗号鍵Kijを生成して、第2局が時刻同期式ワンタイムパスワードWi、情報Xijおよび時刻tの受渡情報と、第2生成手順505、507を利用して時刻同期式ワンタイムパスワードWiと暗号鍵Kjiを生成して、生成した時刻同期式ワンタイムパスワードWiを用いて第1局の時刻同期式ワンタイムパスワードWiを認証する技術が開示されている。
ところで、従来の技術は、時刻同期式のペアのOTPの一致を検出し利用者を認証することができないと言った問題があった。
そこで、本発明の目的は、時刻同期式のペアのOTPの一致を検出し利用者を認証することができるシステムおよび方法を提供することにある。
上記課題を解決するために本発明のシステムは、時刻同期式のペアのOTPの一致を検出し利用者を認証する認証装置を利用するシステムにおいて、前記OTPの一方を生成する第1手段およびペアの暗号鍵の一方を生成する第2手段を有する生成機構が生成する前記OTPの一方とペアをなす前記OTPの他方を生成する第3手段および前記暗号鍵の他方を生成する第4手段を有する前記認証装置を備えることを特徴とする。
本発明によれば、システムおよび方法は、時刻同期式のペアのOTPの一致を検出し利用者を認証することができる。
以下、本発明の一実施の形態について詳細に説明する。
図1は実施形態のワンタイムパスワード認証システムの構成図である。
例えば、ワンタイムパスワード認証システムは、インターネット10、OTPによりWeb(Webクライアント2)の利用者を認証するWebサーバ1、Webサーバ1と接続する利用者のWebクライアント2およびOTPトークン(ワンタイムパスワード生成機構)をなす利用者のOTP装置3から構成され、Webサーバ1は、インターネット10を介してWebクライアント2にOTP要求を送信する。
例えば、ワンタイムパスワード認証システムは、インターネット10、OTPによりWeb(Webクライアント2)の利用者を認証するWebサーバ1、Webサーバ1と接続する利用者のWebクライアント2およびOTPトークン(ワンタイムパスワード生成機構)をなす利用者のOTP装置3から構成され、Webサーバ1は、インターネット10を介してWebクライアント2にOTP要求を送信する。
OTP要求を受信したWebクライアント2は、利用者にログイン識別子(アカウント)および時差を入力させ、入力後、利用者がWebクライアント2にOTP装置3をかざして、NFCペアリング手段20が行なわれた場合に、Webクライアント2の時刻に時差を反映して求めた同期時刻を、NFCペアリング手段20を介してOTP装置3に通知する。
NFCペアリング手段20が行なわれたOTP装置3は、受信した同期時刻と、OTPシードおよびOTP生成手順を利用してOTPを生成し、同期時刻、シークレット鍵およびセッション鍵生成手順を利用してセッション鍵を生成し(例えば、シークレット鍵の後方に同期時刻を連結した情報をハッシュ関数に通してハッシュ値を求め、そのハッシュ値をセッション鍵に変換するなど)、NFCペアリング手段20を介してOTPおよびセッション鍵をWebクライアント2に応答する。
OTPおよびセッション鍵を受信したWebクライアント2は、インターネット10を介してアカウントおよびOTPをWebサーバ1に応答する(OTP要求の応答)。
アカウントおよびOTPを受信したWebサーバ1は、アカウントとペアのトークン識別子を割出し、Webサーバ1の時刻にトークン識別子と対応する時差を反映して求めた同期時刻と、トークン識別子と対応するOTPシードと、OTP生成手順を利用してOTPを生成し、受信したOTPと生成したOTPが一致することを確認して利用者を認証し、同期時刻と、トークン識別子と対応するシークレット鍵と、セッション鍵生成手順を利用してセッション鍵を生成する。
この結果、利用者の認証後のWebサーバ1およびWebクライアント2の双方は、セッション鍵を利用した暗号化Web通信(暗号化Webページを用いた通信。後述する暗号化したIP電話機の通話の伝送を含む)を行うこととなる。
さらに、相互認証を実施するワンタイムパスワード認証システムは、Webサーバ1が利用者を認証後にセッション鍵で暗号化されたOTPをWebクライアント2に送信し、それを受信したWebクライアント2がOTPを復号化しOTP装置3で生成したOTPと一致することを確認してWebサーバ1を認証する。
また、Webサーバ1が利用者を認証後にセッション鍵で暗号化されたOTPをWebクライアント2に送信し、それを受信したWebクライアント2がOTP装置3に送信し、それを受信したOTP装置3がOTPを復号化しOTP装置3で生成したOTPと一致することを確認してWebサーバ1を認証し、認証結果をWebクライアント2に送信してもよい。
Webサーバ1、Webクライアント2、OTP装置3などの装置は、CPU、ROM、RAM、記憶装置、通信部、入出力部(ディスプレイ、キーボードなど)などを有するコンピュータ部を備える。Webクライアント2およびOTP装置3は、NFCペアリング実施部を備える。
Webサーバ1およびWebクライアント2は、同期する時刻を刻むUTC時刻手段を備える。
Webサーバ1およびOTP装置3は、共通のOTP生成手順、共通のセッション鍵生成手順および共通のハッシュ関数を備える。
Webサーバ1およびOTP装置3は、共通のOTP生成手順、共通のセッション鍵生成手順および共通のハッシュ関数を備える。
Webサーバ1は、利用者のアカウントとトークン識別子のペアと、トークン識別子と対応付けられた時差、OTPシードおよびシークレット鍵を記憶する利用者登録情報を備える。また、利用者を認証する認証サーバ1aおよびWebクライアント2と暗号化Web通信(暗号化Webページを用いた通信)を行うWebサーバ1bなどの二つのサーバで構成されていてもよい。
OTP装置3は、トークン識別子、OTPシードおよびシークレット鍵を記憶する利用者登録情報を備える。また、スマートフォンなどを構成し、Webクライアント2の機能を複合していてもよい。また、OTP生成機能およびセッション鍵生成機能を備える集積回路(LSI)で構成されたスマートカードの形態をとっていてもよい。
<認証サーバ1aおよびWebサーバ1bの構成の場合>
利用者登録処理として、Webクライアント2は、利用者が入力したトークン識別子をWebサーバ1bに送信し、トークン識別子を受信したWebサーバ1bは、利用者にアカウントを割当て、アカウントを含む利用者情報を自己に記憶し、Webクライアント2にアカウントを応答して利用者に通知させるとともに、アカウントおよびトークン識別子のペアを認証サーバ1aに送信し、認証サーバ1aは、該ペアをWebサーバ1bごとの利用者登録情報として自己に記憶する。この結果、利用者は、一つのOTP装置3を複数のWebサイトで利用することができる。
利用者登録処理として、Webクライアント2は、利用者が入力したトークン識別子をWebサーバ1bに送信し、トークン識別子を受信したWebサーバ1bは、利用者にアカウントを割当て、アカウントを含む利用者情報を自己に記憶し、Webクライアント2にアカウントを応答して利用者に通知させるとともに、アカウントおよびトークン識別子のペアを認証サーバ1aに送信し、認証サーバ1aは、該ペアをWebサーバ1bごとの利用者登録情報として自己に記憶する。この結果、利用者は、一つのOTP装置3を複数のWebサイトで利用することができる。
さらに、Webクライアント2からOTP要求の応答を受けたWebサーバ1bは、受信したアカウントとOTPを含む利用者認証要求を認証サーバ1aに送信し、利用者認証要求を受信した認証サーバ1aは、利用者の認証を実施し、セッション鍵を生成し、セッション鍵をWebサーバ1bに応答する、この結果、利用者の認証後のWebサーバ1bおよびWebクライアント2の双方は、セッション鍵を利用した暗号化Web通信(暗号化Webページを用いた通信)を行うこととなる。
さらに、OTP装置3の紛失や破損時の交換措置として、認証サーバ1aは、自己の利用者登録情報の旧トークン識別子に該当する全てのペアを対象に旧トークン識別子を、新たなOTP装置3のトークン識別子に置換え該ペアを一新する。
さらに、利用者によりアカウントが変更されたWebサーバ1bは、変更された新旧のアカウントを認証サーバ1aに送信し、認証サーバ1aは、自己の利用者登録情報の旧アカウントとトークン識別子のペアの内の旧アカウントを新アカウントに置換え該ペアを一新する。
上記実施形態において、ワンタイムパスワード認証システムは、ブラウザソフトウェアの機能(プラグインを利用するなど)として、上記Webクライアント2の機能が提供されることが望ましい。
また、上記OTP要求をログインWebページとすると、ログインWebページによりアカウントと時差が入力され送信ボタンが押下されると、ブラウザソフトウェアにより時差がOTPに置換えられアカウントとOTPがWebサーバ1に応答されることとなる。
また、NFCペアリング手段20の替りに、USBコネクタ接続手段、IrDA通信手段、ブルートゥース(登録商標)通信手段などを利用してもよい。
また、時差を利用者の暗証情報として活用することができ、時差を4桁の時間や日数などとし、OTP装置3をスマートカード(集積回路を含むキャッシュカード、クレジットカード、電子マネーカードなど)とすると、銀行ATM(Automated Teller Machine)などのWebクライアント2の操作方法と親和性が保てる。
また、Webクライアント2が入力された文字列をハッシュ関数に通し、時差に変換する構成としてもよい。
また、利用者登録情報に記憶させたペアの登録秘密鍵として利用者ごとに異なるOTPシードとシークレット鍵を利用する構成としたが、シークレット鍵の替りにOTPシードを用いてセッション鍵を生成する構成としてもよく、その場合、Webサーバ1の利用者登録情報に記憶され、OTP生成時に利用者がWebクライアント2から入力する利用者ごとに異なる個別時差を設け、OTPおよびセッション鍵の生成に用いられる同期時刻の一方に個別時差を反映させる構成としてもよい。また、Webサーバ1およびWebクライアント2をWeb認証以外のエンティティとしてもよい。また、OTPが非可逆性を有してもよい。
また、複数のWebクライアント2を、IP電話機の通話を提供するVoIP手段を備え、セッション鍵により暗号化した通話(ビデオ通話を含む)を伝送するWebサーバ1とWebクライアント2間の通話路を利用する電話加入者(利用者)のIP電話機とし、Webサーバ1を、IP電話機の電話交換を行うIP電話交換手段と、IP電話課金手段を備え、該通話路を提供するIP電話交換機としてもよい。
以上の説明においては、通信制御プログラムを含む各種制御プログラムが、予めROMに格納されている場合について説明したが、制御プログラムを、コンピュータ部で読取可能な記憶媒体に記録するようにしてもよい。このような構成であれば、コンピュータ部によってプログラムが記憶媒体から読み取られ、読み取られたプログラムに従ってコンピュータ部が処理を実行すると、上記実施形態の各装置と同等の作用および効果が得られる。
ここで、記憶媒体とは、RAM、ROM等の半導体記憶媒体、FD、HDD等の磁気記憶型記憶媒体、CD、DVD、BD等の光学的読取方式記憶媒体、MO等の磁気記憶型/光学的読取方式記憶媒体であって、電子的、磁気的、光学的等の読み取り方法のいかんにかかわらず、コンピュータ部で読み取り可能な記憶媒体であれば、どのような記憶媒体であってもよい。
また、インターネット、LAN等のネットワークシステムを介して制御プログラムをダウンロードし、インストールして実行するように構成することも可能である。
1…Webサーバ,1a…認証サーバ,1b…Webサーバ,2…Webクライアント,3…利用者トークン,10…インターネット,20…NFCペアリング手段
ところで、従来の技術は、時刻同期式のペアのOTPの一方を生成する利用者認証装置を利用することができないと言った問題があった。
そこで、本発明の目的は、時刻同期式のペアのOTPの一方を生成する利用者認証装置を利用することができるシステムおよび方法を提供することにある。
上記課題を解決するため本発明のシステムは、時刻同期式のペアのOTPの一方を生成する利用者認証装置を利用するシステムであって、前記OTPの他方を生成する第1手段およびペアの暗号鍵の一方を生成する第2手段を有する生成機構が生成する前記暗号鍵の一方とペアをなす前記暗号鍵の他方を生成する第3手段と、前記OTPの一致を検出し利用者を認証する第4手段と、を有する前記利用者認証装置を備えることを特徴とする。
本発明によれば、システムおよび方法は、時刻同期式のペアのOTPの一方を生成する利用者認証装置を利用することができる。
ところで、従来技術は、時刻同期式のペアのOTPの一方を生成する利用者認証主体を利用することができないと言った問題があった。
そこで、本発明の目的は、時刻同期式のペアのOTPの一方を生成する利用者認証主体を利用することができるシステムおよび方法を提供することにある。
上記課題を解決するため本発明のシステムは、時刻同期式のペアのOTPの一方を生成する利用者認証主体を利用するシステムであって、前記OTPの他方を生成する第1手段と、ペアの暗号鍵の一方を生成する第2手段と、を有する生成機構が生成する前記暗号鍵の一方とペアをなす前記暗号鍵の他方を生成する第3手段と、前記OTPを利用して利用者を認証する第4手段と、を有する前記利用者認証主体を備えることを特徴とする。
本発明によれば、システムおよび方法は、時刻同期式のペアのOTPの一方を生成する利用者認証主体を利用することができる。
ところで、従来技術は、利用者認証主体が時刻同期式のペアのOTPの一方を生成することができないと言った問題があった。
そこで、本発明の目的は、利用者認証主体が時刻同期式のペアのOTPの一方を生成することができるシステムを提供することにある。
上記課題を解決するため本発明のシステムは、時刻同期式のペアのOTPの一方を生成する利用者認証主体を備えるシステムにおいて、前記利用者認証主体は、前記OTPの他方を生成する第1手段と、ペアの暗号鍵の一方を生成する第2手段と、を備える生成機構が生成する前記暗号鍵の一方とペアをなす前記暗号鍵の他方を生成する第3手段と、前記OTPを利用して利用者を認証する第4手段と、を備えることを特徴とする。
本発明によれば、システムは、利用者認証主体が時刻同期式のペアのOTPの一方を生成することができる。
Claims (5)
- 時刻同期式のペアのOTPの一致を検出し利用者を認証する認証装置を利用するシステムにおいて、
前記OTPの一方を生成する第1手段およびペアの暗号鍵の一方を生成する第2手段を有する生成機構が生成する前記OTPの一方とペアをなす前記OTPの他方を生成する第3手段および前記暗号鍵の他方を生成する第4手段を有する前記認証装置を備えることを特徴とするシステム。 - 請求項1に記載のシステムに用いることを特徴とする生成機構。
- プロセッサを、
請求項1に記載のシステムに用いる第1手段および第2手段として機能させるための制御プログラム。 - 請求項1に記載のシステムに用いる第1手段および第2手段を備えることを特徴とする集積回路。
- 時刻同期式のペアのOTPの一致を検出し利用者を認証する認証装置を利用する方法において、
前記認証装置は、前記OTPの一方を生成する第1過程およびペアの暗号鍵の一方を生成する第2過程を含む生成機構が生成する前記OTPの一方とペアをなす前記OTPの他方を生成する第3過程および前記暗号鍵の他方を生成する第4過程を含むことを特徴とする方法。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019130749 | 2019-07-13 | ||
| JP2019130749 | 2019-07-13 | ||
| JP2020171593A JP2021015615A (ja) | 2019-07-13 | 2020-10-10 | 利用者認証システム |
| JP2021122075A JP2022008284A (ja) | 2019-07-13 | 2021-07-27 | 利用者認証システム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021122075A Division JP2022008284A (ja) | 2019-07-13 | 2021-07-27 | 利用者認証システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023076701A true JP2023076701A (ja) | 2023-06-01 |
| JP2023076701A5 JP2023076701A5 (ja) | 2024-02-21 |
Family
ID=74531548
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020171593A Pending JP2021015615A (ja) | 2019-07-13 | 2020-10-10 | 利用者認証システム |
| JP2021122075A Pending JP2022008284A (ja) | 2019-07-13 | 2021-07-27 | 利用者認証システム |
| JP2023062429A Pending JP2023076701A (ja) | 2019-07-13 | 2023-04-07 | 利用者認証システム |
Family Applications Before (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020171593A Pending JP2021015615A (ja) | 2019-07-13 | 2020-10-10 | 利用者認証システム |
| JP2021122075A Pending JP2022008284A (ja) | 2019-07-13 | 2021-07-27 | 利用者認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (3) | JP2021015615A (ja) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6292896B1 (en) * | 1997-01-22 | 2001-09-18 | International Business Machines Corporation | Method and apparatus for entity authentication and session key generation |
| JP5260788B1 (ja) * | 2012-12-31 | 2013-08-14 | 利仁 曽根 | 時刻同期式ワンタイムパスワード認証方法 |
| JP5373991B1 (ja) * | 2013-04-22 | 2013-12-18 | 利仁 曽根 | ワンタイムパスワード方法 |
| JP5592549B1 (ja) * | 2013-09-12 | 2014-09-17 | 利仁 曽根 | ワンタイムパスワード方法 |
| JP5767377B2 (ja) * | 2014-08-05 | 2015-08-19 | 利仁 曽根 | ワンタイムパスワード方法 |
| KR101561499B1 (ko) * | 2014-11-27 | 2015-10-20 | 주식회사 미래테크놀로지 | 엔에프씨 인증카드를 이용한 인증방법 |
-
2020
- 2020-10-10 JP JP2020171593A patent/JP2021015615A/ja active Pending
-
2021
- 2021-07-27 JP JP2021122075A patent/JP2022008284A/ja active Pending
-
2023
- 2023-04-07 JP JP2023062429A patent/JP2023076701A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022008284A (ja) | 2022-01-13 |
| JP2021015615A (ja) | 2021-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11711219B1 (en) | PKI-based user authentication for web services using blockchain | |
| CN108092776B (zh) | 一种基于身份认证服务器和身份认证令牌的系统 | |
| US20240129304A1 (en) | Biometric electronic signature authenticated key exchange token | |
| US11088847B2 (en) | Authority transfer system, control method therefor, and storage medium | |
| CN106575416B (zh) | 用于向装置验证客户端的系统和方法 | |
| US9979719B2 (en) | System and method for converting one-time passcodes to app-based authentication | |
| US9124433B2 (en) | Remote authentication and transaction signatures | |
| US8627424B1 (en) | Device bound OTP generation | |
| US9225717B1 (en) | Event-based data signing via time-based one-time authentication passcodes | |
| KR102177848B1 (ko) | 액세스 요청을 검증하기 위한 방법 및 시스템 | |
| US20110219427A1 (en) | Smart Device User Authentication | |
| JP2015528149A (ja) | 企業トリガ式2chk関連付けの起動 | |
| JP2015526784A (ja) | 問い合わせ型トランザクションによる強化された2chk認証セキュリティ | |
| KR20130107188A (ko) | 사운드 코드를 이용한 인증 서버 및 인증방법 | |
| US11777743B2 (en) | Method for securely providing a personalized electronic identity on a terminal | |
| US9398024B2 (en) | System and method for reliably authenticating an appliance | |
| CN113711560A (zh) | 用于有效质询-响应验证的系统和方法 | |
| Yildiz et al. | Connecting self-sovereign identity with federated and user-centric identities via SAML integration | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| Shirvanian et al. | 2D-2FA: a new dimension in two-factor authentication | |
| CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
| Pampori et al. | Securely eradicating cellular dependency for e-banking applications | |
| Zhu et al. | Loxin—A solution to password-less universal login | |
| Polleit et al. | Defeating the secrets of otp apps | |
| Kaur et al. | A comparative analysis of various multistep login authentication mechanisms |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230407 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230429 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230529 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230723 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231102 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231106 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231217 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231225 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240209 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240409 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240414 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240413 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240416 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240423 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240429 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240521 |