JP4584192B2 - Authentication system, authentication server, terminal, authentication method, program - Google Patents
Authentication system, authentication server, terminal, authentication method, program Download PDFInfo
- Publication number
- JP4584192B2 JP4584192B2 JP2006165951A JP2006165951A JP4584192B2 JP 4584192 B2 JP4584192 B2 JP 4584192B2 JP 2006165951 A JP2006165951 A JP 2006165951A JP 2006165951 A JP2006165951 A JP 2006165951A JP 4584192 B2 JP4584192 B2 JP 4584192B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- identification information
- user terminal
- password
- stored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 21
- 238000012795 verification Methods 0.000 claims description 27
- 230000005540 biological transmission Effects 0.000 claims description 7
- 230000015572 biosynthetic process Effects 0.000 claims description 2
- 238000003786 synthesis reaction Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 14
- 239000000284 extract Substances 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Description
本発明は、認証システムにかかり、特に、認証サーバにて端末の認証を行う認証システムに関する。 The present invention relates to an authentication system, and more particularly to an authentication system that authenticates a terminal with an authentication server.
インターネット上で認証システムを提供する場合、従来のID/パスワード方式ではパスワードの漏えいというセキュリティ上の問題があるため、特殊な計算能力を持たせたICカードや認証トークン発生機など認証専用の電子デバイスを用いる認証システムが利用されている。 When providing an authentication system on the Internet, the conventional ID / password method has a security problem of leaking passwords, so an electronic device dedicated to authentication such as an IC card or authentication token generator with special calculation capability An authentication system using is used.
ここで、ICカードを利用した高度なセキュリティを持つ認証方式の一例を、図8乃至図9を参照して説明する。図8は、従来例における認証システムの構成を示すブロック図であり、図9は、その認証動作を示すシーケンス図である。 Here, an example of an authentication method with high security using an IC card will be described with reference to FIGS. FIG. 8 is a block diagram showing the configuration of the authentication system in the conventional example, and FIG. 9 is a sequence diagram showing the authentication operation.
図8を参照すると、従来のICカードを使用した認証システムは、ユーザ端末210と、ICカードデバイス230と、ICカード240と、認証サーバ220と、ユーザ公開鍵格納先201と、ユーザ端末200と認証サーバ300とを相互に接続するインターネット100と、から構成されている。
Referring to FIG. 8, a conventional authentication system using an IC card includes a
図9を参照すると、認証を受けるユーザ端末210は、まず、認証サーバ220から認証用乱数を受信する(ステップG1)。続いて、ICカード240を使用するために、ユーザ端末210にてICカード240のPIN(PINコード)を入力し(ステップG2)、ICカード240でPINの検証を受ける(ステップG3)。続いて、PINの検証が通れば、ICカード240に認証用乱数を入力する(ステップG4)。そして、認証用乱数を受け取ったICカード240は、耐タンパー性領域に格納しているユーザ秘密鍵を使用して認証データを作成する(ステップG5)。続いて、ユーザ端末210は、作成された認証データをICカード240から受け取り(ステップG6)、認証IDと共に端末認証情報として認証サーバ220に送信する(ステップG7)。続いて、端末認証情報を受信した認証サーバ220は、端末認証情報から認証IDを取り出し(ステップG8)、認証IDを元にユーザ端末公開鍵格納先221からユーザ公開鍵を取得し(ステップG9)、端末認証情報内の認証データと、ユーザ端末210に送信した認証用乱数とユーザ公開鍵を使用して、認証データの検証を行なう(ステップG10)。その後、ユーザ端末210に認証結果を送信し(ステップG11)、ユーザ端末210は、その認証結果を受信する(ステップG12)。
Referring to FIG. 9, the
しかしながら、上記ICカードを用いた従来の認証方式では、高度なセキュリティを持った認証を行なうことができるものの、認証毎にICカードにPINを入力する必要があるためユーザにとって手間がかかり、利便性が低い、という問題がある。また、認証データをICカード内で作成するため、ICカード内に特別なプログラムとユーザ秘密鍵を格納している必要があるが、一般的にICカード内のプログラムとユーザ秘密鍵はシステム毎に異なり、プログラムとユーザ秘密鍵の書き換えは不可能なため、システム毎に特殊なICカードを使用することになり、システム導入コストが非常に高くなる、という問題がある。 However, although the conventional authentication method using the IC card can perform authentication with a high level of security, it is necessary for the user to input a PIN for each authentication, which is troublesome for the user and is convenient. There is a problem that is low. Further, since the authentication data is created in the IC card, it is necessary to store a special program and a user secret key in the IC card. Generally, the program and user secret key in the IC card are stored for each system. On the other hand, since the program and the user secret key cannot be rewritten, a special IC card is used for each system, and there is a problem that the system introduction cost becomes very high.
さらに、セキュリティの面においては、ICカードの場合は、PINコードが漏えいすると不正な使用者によって認証される可能性があり、ID/パスワード方式と同じくセキュリティ上の脅威が解消されておらず、特殊なICカードを作るためのコストに見合ったセキュリティ強度を持った認証システムが期待できない。また、ICカードや認証トークンでの認証は、認証を行なうクライアント端末を意識することができない。つまり、不正な使用者が正規のICカードや認証トークンを他のクライアント端末で使用した場合には、正規利用者が気づかないことや、不正利用への対応が迅速に行えない、などの問題が生じる。また、ICカードの特殊計算での認証方式には認証回数を含んでいないので、一度不正利用する手段を取得されると、その後、無限に不正利用される可能性がある、という問題が生じる。 Furthermore, in terms of security, in the case of an IC card, if the PIN code is leaked, there is a possibility that it will be authenticated by an unauthorized user. An authentication system with a security level commensurate with the cost of making a smart IC card cannot be expected. Also, authentication using an IC card or an authentication token cannot be made aware of the client terminal that performs authentication. In other words, if an unauthorized user uses a legitimate IC card or authentication token on another client terminal, there are problems such that the authorized user is unaware and cannot respond quickly to unauthorized use. Arise. In addition, since the authentication method in the IC card special calculation does not include the number of authentications, once a means for illegal use is acquired, there is a possibility that it may be used illegally infinitely thereafter.
さらに、上述した認証専用の電子デバイスを用いる場合には、高いセキュリティを持った認証システムを提供できるが、装置自体が高価であり、特殊な装置であるため汎用性も低い、という問題がある。 Furthermore, when the above-described electronic device dedicated to authentication is used, an authentication system with high security can be provided, but there is a problem that the device itself is expensive and is not a general device because it is a special device.
また、セキュリティを高めた認証システムの他の例として、上記特許文献1,2がある。特許文献1には、ユーザ側で生成したワンタイムパスワードを認証サーバに予め登録しておき、これを用いて認証を行う、という方法が開示されている。また、特許文献2には、ICカード内の情報と、端末メモリ内の情報と、を認証サーバに送信して、パスワードなしにログイン認証する方法が開示されている。
Further, as other examples of the authentication system with improved security, there are
しかし、特許文献1の方法では、端末に関係なくワンタイムパスワードを生成していることから、認証対象がユーザのみであり、ワンタイムパスワードさえ有していれば認証可能であり、上述同様にセキュリティが低い、という問題が生じる。また、特許文献2の方法では、ユーザ側からネットワーク上を送信されるICカード内の情報と端末メモリ内の情報とが盗聴されると、不正認証が行われてしまい、セキュリティが低い、という問題がある。
However, since the method of
このため、本発明は、上記従来例の有する不都合を改善し、特に、セキュリティを高く確保しつつ、導入コストが低廉であり、かつ、利便性の高い認証システムを提供することをその目的とする。 Therefore, the object of the present invention is to provide an authentication system that improves the disadvantages of the above-described conventional example, and in particular, provides a high security while ensuring low security and high convenience. .
そこで、本発明の一形態である認証システムは、
可搬媒体に記憶された第1の識別情報と、ユーザ端末に記憶された第2の識別情報と、に基づいて生成された使用回数制限パスワードを、第1及び第2の識別情報にて保護された状態でユーザ側記憶手段に記憶したユーザ端末と、
使用回数制限パスワードを、第1及び第2の識別情報に基づいて予め生成された認証用識別情報に関連付けてサーバ側記憶手段に記憶した認証サーバと、
を備えた認証システムであって、
ユーザ端末が、第1及び第2の識別情報を読み出す識別情報読出手段と、第1及び第2の識別情報を用いてユーザ側記憶手段から使用回数制限パスワードを読み出すパスワード読出手段と、第1及び第2の識別情報に基づいて認証用識別情報を生成して当該認証用識別情報と共に使用回数制限パスワードをネットワークを介して認証サーバに送信する認証情報送信手段と、を備え、
認証サーバが、ユーザ端末から受け取った認証用識別情報に基づいてサーバ側記憶手段に記憶されている使用回数制限パスワードを読み出し、ユーザ端末から受け取った使用回数制限パスワードとの照合を行う照合手段を備えた、
ことを特徴としている。
Therefore, an authentication system according to one aspect of the present invention is:
The first and second identification information protects the use limit password generated based on the first identification information stored in the portable medium and the second identification information stored in the user terminal. A user terminal stored in the user-side storage means in the
An authentication server that stores the use count limited password in the server-side storage unit in association with the identification information for authentication generated in advance based on the first and second identification information;
An authentication system comprising:
Identification information reading means for the user terminal to read the first and second identification information; password reading means for reading the use-restricted password from the user-side storage means using the first and second identification information; Authentication information transmitting means for generating authentication identification information based on the second identification information, and transmitting the use limit password together with the authentication identification information to the authentication server via the network,
The authentication server includes a verification unit that reads the use count limited password stored in the server-side storage unit based on the authentication identification information received from the user terminal and performs verification with the use count limited password received from the user terminal. The
It is characterized by that.
上記発明によると、まず、予め可搬媒体に記憶された第1の識別情報とユーザ端末に記憶された第2の識別情報とに基づいて使用回数制限パスワード(例えば、使用回数が1回に制限されたワンタイムパスワード)が生成され、ユーザ端末と認証サーバとに記憶されている。このとき、ユーザ端末のユーザ側記憶手段には、上記第1及び第2の識別情報を用いなければ読み出しができないよう当該第1及び第2の識別情報にて保護された状態で使用回数制限パスワードが記憶されている。そして、ユーザが認証を行う際には、可搬媒体から第1の識別情報を読み出すと共に、ユーザ端末から第2の識別情報を読み出して、これら2つの識別情報を用いて、ユーザ側記憶手段から使用回数制限パスワードを取得する。その後、第1及び第2の識別情報に基づいて認証用識別情報を生成し、この認証用識別情報と共に使用回数制限パスワードを認証サーバに送信する。すると、認証サーバでは、受け取った認証用識別情報に基づいて予めサーバ側記憶手段に記憶されている使用回数制限パスワードを読み出し、ユーザ端末から受け取った使用回数制限パスワードとの照合を行う。 According to the above-described invention, first, based on the first identification information stored in advance in the portable medium and the second identification information stored in the user terminal, the use frequency limit password (for example, the use frequency is limited to one time). Generated one-time password) is generated and stored in the user terminal and the authentication server. At this time, in the user-side storage means of the user terminal, the use-number-restricted password is protected by the first and second identification information so that it cannot be read unless the first and second identification information is used. Is remembered. When the user performs authentication, the first identification information is read from the portable medium, the second identification information is read from the user terminal, and the user-side storage means is used using these two identification information. Get the password for use limit. Thereafter, authentication identification information is generated based on the first and second identification information, and the use frequency limit password is transmitted to the authentication server together with the authentication identification information. Then, the authentication server reads the use frequency limit password stored in advance in the server-side storage unit based on the received authentication identification information, and compares it with the use frequency limit password received from the user terminal.
従って、本発明では、まず、認証時に、ユーザ端末から認証に必要な第1及び第2の識別情報が自動的に取得されるため、ユーザによる操作が容易となる。また、ユーザが所有する可搬媒体からの第1の識別情報と、ユーザが操作するユーザ端末からの第2の識別情報と、を読み出して、これに基づいて生成された使用回数制限パスワードを用いて認証を行っているため、2つが揃わないと認証を行うことができず、高いセキュリティを有する。さらには、ユーザ端末から認証サーバへは、認証用識別情報と使用回数制限パスワードとを送信しているため、使用回数制限パスワードが盗聴されても、後にその使用回数によって使用不可能となり、また、使用回数制限パスワードを取得するための第1及び第2の認証情報の不正取得を抑制できるため、より強固な認証システムを提供することができる。 Therefore, according to the present invention, first and second identification information necessary for authentication are automatically acquired from the user terminal at the time of authentication, so that the operation by the user is facilitated. Further, the first identification information from the portable medium owned by the user and the second identification information from the user terminal operated by the user are read out, and the use time limit password generated based on the first identification information is used. Therefore, if the two are not available, the authentication cannot be performed and the security is high. Furthermore, since the identification information for authentication and the use count limit password are transmitted from the user terminal to the authentication server, even if the use count limit password is wiretapped, it cannot be used later depending on the use count. Since unauthorized acquisition of the first and second authentication information for acquiring the use frequency limit password can be suppressed, a stronger authentication system can be provided.
そして、上記システムを構成する認証サーバは、
ユーザ端末にネットワークを介して接続され、当該ユーザ端末の認証を行う認証サーバであって、
可搬媒体に記憶された第1の識別情報と、ユーザ端末に記憶された第2の識別情報と、に基づいて生成された使用回数制限パスワードを、第1及び第2の識別情報に基づいて生成された認証用識別情報に関連付けて記憶したサーバ側記憶手段と、
ユーザ端末から送信された、予め使用回数制限パスワードが第1及び第2の識別情報にて保護された状態で記憶されたユーザ側記憶手段からユーザ端末にて第1及び第2の識別情報を用いて読み出された使用回数制限パスワードと、ユーザ端末にて第1及び第2の識別情報に基づいて生成された認証用識別情報と、を受け付ける認証情報受付手段と、
ユーザ端末から受け取った認証用識別情報に対応してサーバ側記憶手段に記憶されている使用回数制限パスワードを読み出して、ユーザ端末から受け付けた使用回数制限パスワードとの照合を行う照合手段と、
を備えたことを特徴としている。
And the authentication server which comprises the said system is
An authentication server connected to a user terminal via a network and authenticating the user terminal,
Based on the first identification information and the second identification information, the use limit password generated based on the first identification information stored in the portable medium and the second identification information stored in the user terminal. Server-side storage means stored in association with the generated identification information for authentication;
The first and second identification information is used at the user terminal from the user-side storage means that is transmitted from the user terminal and is stored in a state where the password for use count restriction is protected in advance by the first and second identification information. Authentication information accepting means for accepting the use frequency limit password read out and the authentication identification information generated on the user terminal based on the first and second identification information;
A verification unit that reads the usage limit password stored in the server-side storage unit corresponding to the authentication identification information received from the user terminal, and performs verification with the usage limit password received from the user terminal;
It is characterized by having.
このとき、認証用識別情報は、当該認証用識別情報から第1及び第2の識別情報を生成不可能なよう生成されている、ことを特徴としている。これにより、ネットワーク上を流れる情報から認証用の情報が漏れることをより厳格に抑制でき、セキュリティの向上を図ることができる。 At this time, the authentication identification information is generated from the authentication identification information so that the first and second identification information cannot be generated. Thereby, it is possible to more strictly prevent the authentication information from leaking from the information flowing on the network, thereby improving the security.
また、使用回数制限パスワードは、複数のパスワードを含んで構成されており、照合手段は、照合実行回数に応じてサーバ側記憶手段から1つの使用回数制限パスワードを読み出す、ことを特徴としている。さらに、使用回数制限パスワードを生成するパスワード生成手段を備え、このパスワード生成手段は、生成した使用回数制限パスワードをサーバ側記憶手段に記憶すると共に、ユーザ端末のユーザ側記憶手段に格納するために出力する、ことを特徴としている。これにより、一度に複数の使用回数制限パスワードが生成されると共に、使用回数に応じて適切なパスワードが選択されるため、より確実な認証を実現しつつ、利便性が向上しうる。そして、使用回数制限パスワードを認証サーバにて生成することで、ユーザ端末側に搭載される機能を減少させることができる。 The use frequency limit password includes a plurality of passwords, and the verification unit reads one use frequency limit password from the server-side storage unit in accordance with the verification execution count. In addition, a password generation means for generating a use count limit password is provided. The password generation means stores the generated use count limit password in the server side storage means and outputs it for storage in the user side storage means of the user terminal. It is characterized by that. As a result, a plurality of use-time-restricted passwords are generated at a time, and an appropriate password is selected according to the number of uses. Therefore, convenience can be improved while realizing more reliable authentication. And the function mounted in the user terminal side can be reduced by producing | generating a use frequency limit password in an authentication server.
また、ユーザ端末から受け付けた使用回数制限パスワードは、当該ユーザ端末にて認証サーバから提供された合成用情報と合成された情報であり、照合手段は、サーバ側記憶手段に記憶された使用回数制限パスワードに合成用情報を合成して照合に用いる、ことを特徴としている。これにより、使用回数制限パスワードに認証サーバから提供された合成用情報が合成されてネットワーク上に伝送されるため、盗聴されても不正認証を抑制できる。 In addition, the use frequency limit password received from the user terminal is information combined with the combining information provided from the authentication server at the user terminal, and the collating unit uses the use frequency limit stored in the server-side storage unit. It is characterized in that the information for composition is combined with the password and used for verification. As a result, the composition information provided from the authentication server is combined with the use frequency limit password and transmitted over the network, so that unauthorized authentication can be suppressed even if wiretapped.
さらに、予め認証サーバにて生成した認証用識別情報に関連付けて、第1及び第2の識別情報を記憶する記憶手段と、照合手段による照合結果に応じて、ユーザ端末から受け付けた認証用識別情報に関連付けられた第1及び第2の識別情報に対応するユーザ端末の認証を行う認証手段と、を備えたことを特徴としている。これにより、パスワードの認証後に、認証対象となったユーザ及びユーザ端末を特定することができる。 Further, a storage means for storing the first and second identification information in association with the authentication identification information generated in advance by the authentication server, and the authentication identification information received from the user terminal according to the collation result by the collation means And authentication means for authenticating the user terminal corresponding to the first and second identification information associated with. Thereby, the user and user terminal used as authentication object can be specified after password authentication.
また、本発明の他の形態であるプログラムは、
ユーザ端末にネットワークを介して接続され、
可搬媒体に記憶された第1の識別情報と、ユーザ端末に記憶された第2の識別情報と、に基づいて生成された使用回数制限パスワードを、第1及び第2の識別情報に基づいて生成された認証用識別情報に関連付けて記憶したサーバ側記憶手段を備え、
ユーザ端末の認証を行う認証サーバに、
ユーザ端末から送信された、予め使用回数制限パスワードが第1及び第2の識別情報にて保護された状態で記憶されたユーザ側記憶手段からユーザ端末にて第1及び第2の識別情報を用いて読み出された使用回数制限パスワードと、ユーザ端末にて第1及び第2の識別情報に基づいて生成された認証用識別情報と、を受け付ける認証情報受付手段と、
ユーザ端末から受け取った認証用識別情報に対応してサーバ側記憶手段に記憶されている使用回数制限パスワードを読み出して、ユーザ端末から受け付けた使用回数制限パスワードとの照合を行う照合手段と、
を実現させる、ことを特徴としている。
Moreover, the program which is the other form of this invention is:
Connected to the user terminal via the network,
Based on the first identification information and the second identification information, the use limit password generated based on the first identification information stored in the portable medium and the second identification information stored in the user terminal. Server-side storage means stored in association with the generated identification information for authentication;
To the authentication server that authenticates user terminals,
The first and second identification information is used at the user terminal from the user-side storage means that is transmitted from the user terminal and is stored in a state where the password for use count restriction is protected in advance by the first and second identification information Authentication information accepting means for accepting the use frequency limit password read out and the authentication identification information generated on the user terminal based on the first and second identification information;
A verification unit that reads the usage limit password stored in the server-side storage unit corresponding to the authentication identification information received from the user terminal, and performs verification with the usage limit password received from the user terminal;
It is characterized by realizing.
さらに、本発明の他の形態であり、上記認証システムを構成するユーザ端末は、
可搬媒体に記憶された第1の識別情報と、ユーザ端末に記憶された第2の識別情報と、に基づいて生成された使用回数制限パスワードを、第1及び第2の識別情報に基づいて予め生成された認証用識別情報に関連付けて記憶し、使用回数制限パスワードの照合を行う認証サーバに、ネットワークを介して接続されたユーザ端末であって、
使用回数制限パスワードを、第1及び第2の識別情報にて保護された状態で記憶したユーザ側記憶手段と、
第1の及び第2の識別情報を読み出す識別情報読出手段と、
第1及び第2の識別情報を用いてユーザ側記憶手段から使用回数制限パスワードを読み出すパスワード読出手段と、
第1及び第2の識別情報に基づいて認証用識別情報を生成して当該認証用識別情報と共に使用回数制限パスワードを、ネットワークを介して認証サーバに送信する認証情報送信手段と、
を備えたことを特徴としている。
Further, according to another aspect of the present invention, the user terminal constituting the authentication system is
Based on the first identification information and the second identification information, the use limit password generated based on the first identification information stored in the portable medium and the second identification information stored in the user terminal. A user terminal that is stored in association with authentication information generated in advance and that is connected to an authentication server that performs verification of a use-time-restricted password via a network,
User-side storage means for storing the use count limited password in a state protected by the first and second identification information;
Identification information reading means for reading the first and second identification information;
Password reading means for reading out the use frequency limit password from the user-side storage means using the first and second identification information;
Authentication information transmitting means for generating authentication identification information based on the first and second identification information, and transmitting the use count limited password together with the authentication identification information to the authentication server via the network;
It is characterized by having.
そして、認証情報送信手段は、認証用識別情報から第1及び第2の識別情報を生成不可能なよう当該認証用識別情報を生成する、ことを特徴としている。また、使用回数制限パスワードは、複数のパスワードを含んで構成されており、認証情報送信手段は、送信実行回数に応じてユーザ側記憶手段から1つの使用回数制限パスワードを読み出す、ことを特徴としている。また、認証情報送信手段は、使用回数制限パスワードに認証サーバから提供された合成用情報を合成して送信する、ことを特徴としている。 Then, the authentication information transmitting means generates the authentication identification information so that the first and second identification information cannot be generated from the authentication identification information. Further, the use frequency limit password is configured to include a plurality of passwords, and the authentication information transmitting unit reads one use frequency limit password from the user-side storage unit according to the transmission execution count. . Further, the authentication information transmitting means is characterized in that the combining information provided from the authentication server is combined with the use frequency limit password and transmitted.
また、本発明の他の形態であるプログラムは、
可搬媒体に記憶された第1の識別情報と、ユーザ端末に記憶された第2の識別情報と、に基づいて生成された使用回数制限パスワードを、第1及び第2の識別情報に基づいて予め生成された認証用識別情報に関連付けて記憶し、使用回数制限パスワードの照合を行う認証サーバに、ネットワークを介して接続され、使用回数制限パスワードを第1及び第2の識別情報にて保護された状態で記憶したユーザ側記憶手段を備えたユーザ端末に、
第1の及び第2の識別情報を読み出す識別情報読出手段と、
第1及び第2の識別情報を用いてユーザ側記憶手段から使用回数制限パスワードを読み出すパスワード読出手段と、
第1及び第2の識別情報に基づいて認証用識別情報を生成して当該認証用識別情報と共に使用回数制限パスワードを、ネットワークを介して認証サーバに送信する認証情報送信手段と、
を実現させる、ことを特徴としている。
Moreover, the program which is the other form of this invention is:
Based on the first identification information and the second identification information, the use limit password generated based on the first identification information stored in the portable medium and the second identification information stored in the user terminal. It is stored in association with previously generated identification information for authentication, and is connected to an authentication server that verifies the number-of-use restricted password via the network, and the number-of-use restricted password is protected by the first and second identification information. In the user terminal equipped with the user side storage means stored in the
Identification information reading means for reading the first and second identification information;
Password reading means for reading out the use frequency limit password from the user-side storage means using the first and second identification information;
Authentication information transmitting means for generating authentication identification information based on the first and second identification information, and transmitting the use count limited password together with the authentication identification information to the authentication server via the network;
It is characterized by realizing.
さらに、本発明の他の形態である認証方法は、
可搬媒体に記憶された第1の識別情報と、ユーザ端末に記憶された第2の識別情報と、に基づいて生成された使用回数制限パスワードを、第1及び第2の識別情報にて保護された状態でユーザ側記憶手段に記憶したユーザ端末と、
使用回数制限パスワードを、第1及び第2の端末識別情報に基づいて予め生成された認証用識別情報に関連付けてサーバ側記憶手段に記憶した認証サーバと、
を備え、ユーザ端末の認証を行う方法であって、
ユーザ端末が、第1及び第2の識別情報を読み出し、当該第1及び第2の識別情報を用いてユーザ側記憶手段から使用回数制限パスワードを読み出すと共に、第1及び第2の識別情報に基づいて認証用識別情報を生成して、当該認証用識別情報と共に使用回数制限パスワードとをネットワークを介して認証サーバに送信し、
認証サーバが、ユーザ端末から受け取った認証用識別情報に基づいてサーバ側記憶手段に記憶されている使用回数制限パスワードを読み出し、ユーザ端末から受け付けた使用回数制限パスワードとの照合を行う、
ことを特徴としている。
Furthermore, an authentication method according to another aspect of the present invention includes:
The first and second identification information protects the use limit password generated based on the first identification information stored in the portable medium and the second identification information stored in the user terminal. A user terminal stored in the user-side storage means in the
An authentication server that stores the use-time-restricted password in the server-side storage unit in association with authentication identification information generated in advance based on the first and second terminal identification information;
A method of authenticating a user terminal,
Based on the first and second identification information, the user terminal reads the first and second identification information, reads the use frequency limit password from the user-side storage means using the first and second identification information. Authentication identification information is generated, and the use limit password and the authentication identification information are transmitted to the authentication server via the network,
The authentication server reads the use frequency limit password stored in the server-side storage unit based on the authentication identification information received from the user terminal, and collates with the use frequency limit password received from the user terminal.
It is characterized by that.
上記構成の認証サーバ、ユーザ端末、プログラム、認証方法の発明であっても、上述した認証システムと同様に作用するため、上述した本発明の目的を達成することができる。 Even if it is invention of the authentication server of the said structure, a user terminal, a program, and an authentication method, since it acts similarly to the authentication system mentioned above, the objective of this invention mentioned above can be achieved.
本発明は、以上のように構成され機能するので、これによると、まず、認証時に、ユーザ端末から認証に必要な第1及び第2の識別情報が自動的に取得されるため、ユーザによる操作が容易となる。また、ユーザが所有する可搬媒体からの第1の識別情報と、ユーザが操作するユーザ端末からの第2の識別情報と、を読み出して、これに基づいて生成された使用回数制限パスワードを用いて認証を行っているため、2つが揃わないと認証を行うことができず、高いセキュリティを有する。さらには、ユーザ端末から認証サーバへは、認証用識別情報と使用回数制限パスワードとを送信しているため、使用回数制限パスワードが盗聴されても後に使用回数によって使用不可能であり、また、使用回数制限パスワードを取得するための第1及び第2の認証情報との不正取得を抑制できるため、より強固な認証システムを提供することができる、という従来にない優れた効果を有する。 Since the present invention is configured and functions as described above, according to this, first, first and second identification information necessary for authentication are automatically acquired from the user terminal at the time of authentication. Becomes easy. Further, the first identification information from the portable medium owned by the user and the second identification information from the user terminal operated by the user are read out, and the use time limit password generated based on the first identification information is used. Therefore, if the two are not available, the authentication cannot be performed and the security is high. Furthermore, since the identification information for authentication and the use frequency limit password are transmitted from the user terminal to the authentication server, even if the use frequency limit password is intercepted, it cannot be used later depending on the number of use. Since unauthorized acquisition with the first and second authentication information for acquiring the number-limited password can be suppressed, it has an unprecedented excellent effect that a stronger authentication system can be provided.
本発明は、ユーザが有する可搬媒体に記憶された第1の識別情報と、ユーザ端末に格納された第2の識別情報と、を用いてユーザ認証を行う認証システムである。以下、実施例にて、システムの構成及び動作を説明する。なお、以下では、可搬媒体としてICカードを一例に挙げて説明するが、可搬媒体はICカードであることに限定されない。また、認証に用いられるパスワード(使用回数制限パスワード)として、1度しか使用することができないワンタイムパスワードを一例に挙げているが、その使用可能回数は任意に設定可能である。但し、セキュリティの点からは、1度であることが望ましい。 The present invention is an authentication system that performs user authentication using first identification information stored in a portable medium possessed by a user and second identification information stored in a user terminal. Hereinafter, the configuration and operation of the system will be described in the embodiments. In the following, an IC card will be described as an example of a portable medium, but the portable medium is not limited to an IC card. In addition, as a password used for authentication (usage limit password), a one-time password that can be used only once is taken as an example, but the number of usable times can be arbitrarily set. However, from the point of security, it is desirable to be once.
本発明の第1の実施例を、図1乃至図6を参照して説明する。図1は、認証システム全体の構成を示すブロック図である。図2は、ユーザ端末の構成を示す機能ブロック図であり、図3は、認証サーバの構成を示す機能ブロック図である。図4は、認証サーバやユーザ端末に記憶される情報を示す図である。図5乃至図6は、システムの動作を示すシーケンス図である。 A first embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a block diagram showing the configuration of the entire authentication system. FIG. 2 is a functional block diagram showing the configuration of the user terminal, and FIG. 3 is a functional block diagram showing the configuration of the authentication server. FIG. 4 is a diagram illustrating information stored in the authentication server and the user terminal. 5 to 6 are sequence diagrams showing the operation of the system.
[構成]
図1に示すように、認証システムは、認証サーバ1と、ユーザ端末4と、を備えており、インターネットなどのネットワークNを介して接続されている。そして、認証サーバ1内の記憶装置には、認証ID関連情報格納先2と、発行済み認証トークン格納先3と、いった記憶部が形成されている。また、ユーザ端末4には、内蔵あるいは外付けの記憶装置に形成された記憶部である受領済み認証トークン格納先5と、ICカードデバイス6と、が接続されており、このICカードデバイス6には、ユーザが所有するICカード7が挿入される。以下、各構成について詳述する。
[Constitution]
As shown in FIG. 1, the authentication system includes an
<ICカード、ICカードデバイス>
ICカード7(可搬媒体)は、耐タンパー領域を持つ物理媒体を指し、その内部に、ユーザが利用するサービス毎の固有の識別情報であるサービスID7a(第1の識別情報)が格納されている。このサービスIDによって、ICカード7つまりこのICカード7を保持するユーザを一意に識別できる。なお、サービスIDが記憶されているICカード7は、必ずしもカード状の形態である必要はない。
<IC card, IC card device>
The IC card 7 (portable medium) refers to a physical medium having a tamper-resistant area, in which a
そして、ユーザ端末4に接続されたICカードデバイス6は、ユーザ端末4からの制御指令に応じて、上記ICカード7の耐タンパー領域に格納されているサービスID7aを自動的に取得する機能を備えている。なお、ICカードデバイス6は、ユーザ端末4に対して内蔵型、外付けのいずれでもよい。
The
<ユーザ端末、受領済み認証トークン格納先>
ユーザ端末4は、ユーザが操作するパーソナルコンピュータ等の情報処理端末であり、上述したICカードデバイス6を接続して備えている。また、ハードディスクドライブなどの記憶装置を内蔵、あるいは、外付けにて接続して備えており、受領済み認証トークン格納先5といった記憶部を形成している。
<User terminal, received authentication token storage location>
The
具体的に、ユーザ端末4のCPUといった演算装置には、所定のプログラムが組み込まれることにより、図2に示すように、認証トークン受付処理部41、基礎情報読取処理部42、ワンタイムパスワード取得処理部43、端末認証情報生成送信処理部44、カウンタ更新処理部45、が構築されている。また、ユーザ端末4の内部に備えられているROMなどの記憶部には、端末固有の識別情報である端末識別情報(第2の識別情報)が格納されている。以下、各処理部41〜45について詳述する。
Specifically, a predetermined program is incorporated in the arithmetic device such as the CPU of the
まず、基礎情報読取処理部42(識別情報読出手段)は、上述したICカードデバイス6からICカード7に記憶されたサービスIDを読み取り、取得する機能を有する。なお、サービスIDは、後述するようにユーザ端末4による認証を行う度、あるいは、後述するワンタイムパスワードを生成すべく認証サーバ1に提供する際に、ICカードデバイス6を介してICカード7から取得するとし、ユーザ端末4内部には格納しないこととする。また、基礎情報読取処理部42は、ユーザ端末4内部に記憶されている端末識別情報4aを取得する機能を有する。なお、端末識別情報は、ユーザ端末固有の情報であり、他の端末と一意に識別できる情報である。この端末識別情報も、ユーザ端末4にて認証を行う度、あるいは、後述するワンタイムパスワードを生成すべく認証サーバ1に提供する際に取得する。
First, the basic information reading processing unit 42 (identification information reading means) has a function of reading and acquiring the service ID stored in the
そして、基礎情報読取処理部42は、読み取ったサービスIDと端末識別情報とを、認証を行う際には、ワンタイムパスワード取得処理部43に渡し、ワンタイムパスワードをはじめに生成する際には、認証サーバ1に提供すべく認証トークン受付処理部41に渡す。
The basic information reading
認証トークン受付処理部41は、基礎情報読取処理部42から渡されたサービスID及び端末識別情報を、認証サーバ1に渡すべく出力する。例えば、暗号化して認証サーバ1にネットワークNを介して送信したり、あるいは、CD−ROMなどの記憶媒体に記録して認証サーバ1に渡す。また、認証トークン受付処理部41は、上記認証サーバ1に渡したサービスID及び端末識別情報に基づいて後述するように当該認証サーバ1にて生成された認証トークンの入力を受け付けて、受領済み認証トークン格納先5に格納する機能を有する。このとき、認証トークンは、例えば、認証サーバ1から暗号化されてネットワークNを介して送信されたり、あるいは、CD−ROMなどの記憶媒体を介して入力される。そして、認証トークン受付処理部41は、受け付けた認証トークンを、上記基礎情報読取処理部42にて取得されたサービスIDと端末識別情報とで保護した状態で、受領済み認証トークン格納先5(ユーザ側記憶手段)に格納する機能を備えている。具体的に、「サービスIDと端末識別情報とで保護した状態で」、とは、サービスIDと端末識別情報との2つの情報がなければ、受領済み認証トークン格納先5内の情報(認証トークン等)を読み出すことができないよう記憶されている状態のことをいう。なお、認証トークンは、認証サーバ1が連続的に生成する複数の乱数データの集合であり、ある乱数データが露見しても、それより先に生成された乱数が推測できないことが数学的に保障されているとする。そして、この認証トークンを構成する乱数の1つ1つをワンタイムパスワードと呼ぶこととする。つまり、認証トークンには、複数のワンタイムパスワードが含まれている。また、認証トークン受付処理部41は、認証トークンに含まれるワンタイムパスワードの数(パスワード数)を、カウンタ値として、受領済み認証トークン格納先5に認証トークンと共に記憶する。ここで、受領済み認証トークン格納先5内に格納される情報の様子を図5に示す。
The authentication token
次に、ワンタイムパスワード取得処理部42(パスワード読出手段)は、認証を行う際に基礎情報読取処理部42にて取得されたサービスIDと端末識別情報とを利用して、これら2つの情報が無いと取得することができない認証トークンを、受領済み認証トークン格納先5から取得する。このとき、カウンタ値としてのパスワード数も読み取り、この値に対応する順番のワンタイムパスワードを認証トークンから抽出して、今回の認証に用いるパスワードとして端末認証情報生成送信処理部44に渡す。
Next, the one-time password acquisition processing unit 42 (password reading means) uses the service ID and the terminal identification information acquired by the basic information reading
次に、端末認証情報生成処理部44(認証情報送信手段)は、上述したように基礎情報読取処理部42にて取得したサービスIDと端末識別情報とから、これらの組み合わせを識別する情報となる認証ID(認証用識別情報)を生成する機能を有する。このとき、認証IDは、例えば、サービスIDと端末識別情報とを連結し、この連結した値をHash計算することによって算出された情報である。このようにすることで、認証IDからは、サービスIDと端末識別情報とを生成(復元)することができない。そして、端末認証情報生成処理部44は、上記生成した認証IDと、ワンタイムパスワード取得処理部43にて取得されたワンタイムパスワードとを含む端末認証情報として、ネットワークNを介して認証サーバ1に送信する機能を備える。
Next, the terminal authentication information generation processing unit 44 (authentication information transmitting means) becomes information for identifying a combination of the service ID and the terminal identification information acquired by the basic information reading
また、カウンタ更新処理部45は、ワンタイムパスワードを送信する毎に、受領済み認証トークン格納先5内のパスワード数を、1ずつ減らす処理(デクリメント)を行う。これにより、次回の認証を行う際には、カウンタ値であるパスワード数が変化しているため、認証トークンから異なるワンタイムパスワードが抽出される。
Further, every time a one-time password is transmitted, the counter
<認証サーバ>
認証サーバ1は、ワークステーション・サーバ等の情報処理装置であり、ネットワークNを介してユーザ端末4に接続され、当該ユーザ端末4の認証を行う機能を有する。具体的には、CPUといった演算装置に所定のプログラムが組み込まれることで、図3に示すように、ユーザ情報取得処理部11、認証トークン・ID生成処理部12、端末認証情報受付処理部13、認証トークン取得処理部14、パスワード検証処理部15、ユーザ認証処理部16、カウンタ更新処理部17、が構築されている。また、上述したように、ハードディスクドライブなどの記憶装置には、認証ID関連情報格納先2、発行済み認証トークン格納先3、といった各記憶部が形成されている。以下、さらに詳述する。
<Authentication server>
The
ユーザ情報取得処理部11は、ユーザ端末4から、あるいは、記憶媒体を介して、ユーザのICカード7に記憶されたサービスIDと、ユーザ端末4に格納されている端末識別情報と、の入力を受け付ける機能を有する。
The user information
そして、認証トークン・ID生成処理部12(パスワード生成手段)は、上記受け付けたサービスIDと端末識別情報とから、認証トークンを生成する機能と、同様にサービスIDと認証トークンから、認証IDを生成する機能と、を有する。ここで、認証トークンとは、上述したように、連続的に生成された複数の乱数データの集合であり、その乱数の1つ1つがワンタイムパスワードとなる。また、認証IDは、上述同様に、サービスIDと端末識別情報の組み合わせを識別する情報であり、例えば、サービスIDと端末識別情報とを連結し、この連結した値をHash計算することによって算出される。 The authentication token / ID generation processing unit 12 (password generation means) generates an authentication ID from the received service ID and terminal identification information, and similarly generates an authentication ID from the service ID and the authentication token. And a function to perform. Here, as described above, the authentication token is a set of a plurality of continuously generated random number data, and each of the random numbers becomes a one-time password. As described above, the authentication ID is information for identifying a combination of a service ID and terminal identification information. For example, the authentication ID is calculated by concatenating the service ID and terminal identification information and performing a hash calculation on the concatenated value. The
また、認証トークン・ID生成処理部12は、まず、図4(b)に示すように、上述したように生成した認証ID2aに、サービスID2bと端末識別情報2cとを関連付けて、認証ID関連情報格納先2に格納する。また、図4(c)に示すように、上述したように生成した認証ID3aに、同じく生成した認証トークン3b及び当該認証トークンに含まれるワンタイムパスワードの数(パスワード数3c)を、発行済み認証トークン格納先3(サーバ側記憶手段)に格納する。
The authentication token / ID
さらに、認証トークン・ID生成処理部12は、上述したようにユーザ端末4の認証トークン受付処理部41にて受領済み認証トークン格納先5に格納されるよう、ユーザ端末4に対して出力する。このとき、例えば、暗号化されてネットワークNを介して出力されたり、記憶媒体に出力されるなどして、上述したようにユーザ端末4の受領済み認証トークン格納先5に認証トークンが格納される。
Further, the authentication token / ID
ここで、上記認証サーバ1による認証トークンの生成では、サービスIDと端末識別情報が使用されるため、サービスIDと端末識別情報の組み合わせが異なれば、異なる認証トークンが生成される。つまり、ユーザのICカード7と、ユーザ端末4との組み合わせに一意な認証トークンが生成され、同一のものが認証サーバ1とユーザ端末4とに格納されることとなる。このとき、パスワード数も同一の値が格納される。なお、ユーザ情報取得処理部11と認証トークン・ID生成処理部12とによる認証トークン等の生成処理は、はじめに一度だけ行われる。
Here, since the service ID and the terminal identification information are used in the generation of the authentication token by the
次に、端末認証情報受付処理部13(認証情報受付手段)は、上述したように、ユーザによる認証要求時に、ユーザ端末4の端末認証情報生成送信処理部44から送信された端末認証情報を受け付ける。
Next, as described above, the terminal authentication information reception processing unit 13 (authentication information reception means) receives the terminal authentication information transmitted from the terminal authentication information generation /
認証トークン取得処理部14(照合手段)は、受け付けた端末認証情報に含まれる認証IDとワンタイムパスワードを抽出し、抽出された認証IDをキーにして発行済み認証トークン格納先3を検索し、当該認証IDと同一の認証IDに関連付けられている認証トークンを取得する。そして、発行済み認証トークン格納先3に格納されているカウンタ値であるパスワード数に対応するワンタイムパスワードを認証トークンから抽出する。
The authentication token acquisition processing unit 14 (verification unit) extracts the authentication ID and the one-time password included in the received terminal authentication information, searches the issued authentication
パスワード検証処理部15(照合手段)は、上述したように、ユーザ端末4から受け付けたワンタイムパスワードと、認証トークン取得処理部14にて発行済み認証トークン格納先3から読み取ったワンタイムパスワードと、が同じであるかどうか照合する。そして、その照合結果をユーザ認証処理部16に通知する。
As described above, the password verification processing unit 15 (verification unit) is configured to receive the one-time password received from the
ユーザ認証処理部16(認証手段)は、照合結果が一致した場合には、受け付けた認証IDに基づいて、認証ID関連情報格納先2からサービスIDと端末識別情報とを読み出して、これら情報を有するユーザ端末4(ユーザ)を認証し、その認証結果をユーザ端末4に通知する。
When the collation results match, the user authentication processing unit 16 (authentication means) reads the service ID and the terminal identification information from the authentication ID related
また、カウンタ更新処理部17は、ワンタイムパスワードの照合を行う毎やワンタイムパスワードを発行済み認証トークン格納先3から抽出する毎に、発行済み認証トークン格納先3内のパスワード数を、1ずつ減らす処理(デクリメント)を行う。これにより、次回の認証を行う際には、カウンタ値であるパスワード数が変化しているため、認証トークンから異なるワンタイムパスワードが抽出される。なお、上述したようにユーザ端末4ではワンタイムパスワードを送信したときに、また、認証サーバ1では受信して認証を行うときに、それぞれパスワード数(カウンタ値)の値を一ずつデクリメントするため、受領済み認証トークン格納先5と発行済み認証トークン格納先3とに格納されている各パスワード数は、常に一致していることとなる。
In addition, the counter
[動作]
次に、図5、図6のシーケンス図を参照して、上記認証システムの動作を説明する。まず、認証サーバ1は、サービスIDと端末識別情報を何らかの手段でユーザ端末10から取得するが、例えば、ユーザ端末4がICカードデバイス6や端末4自身から読み取ったものを(ステップS1,S2,S3)、ネットワークNを介して、あるいは、記録媒体を介して取得する(ステップS4)。そして、認証サーバ1は、サービスIDと端末識別情報から認証トークンと認証IDを生成し(ステップS5)、サービスIDと端末識別情報とを認証IDと関連付けて認証ID関連情報格納先21に格納し(ステップS6、図4(b)参照)、また、認証トークンとカウンタとしての認証トークン内のワンタイムパスワード数とを認証IDと関連付けて発行済み認証トークン格納先22に格納する(ステップS7、図4(c)参照)。
[Operation]
Next, the operation of the authentication system will be described with reference to the sequence diagrams of FIGS. First, the
その後、ユーザ端末4は、上述したように認証サーバ1が生成した認証トークンを何らかの手段で取得するが、例えば、ネットワークNを介して、あるいは、記録媒体を介して取得する(ステップS8)。そして、認証トークンとカウンタとしての認証トークン内ワンタイムパスワード数を、ICカード7内に格納されているサービスIDとユーザ端末4の端末識別情報とで保護された状態に設定して、受領済み認証トークン格納先5に格納する(ステップS9、図4(a)参照)。
Thereafter, the
続いて、ユーザが認証サーバ1に対して端末認証を依頼する際に、ユーザ端末4にて認証動作を指示することで、当該ユーザ端末4がICカード7からICカードデバイス6を用いてサービスID7aを自動的に取得する(ステップA1,A2)。このとき、ユーザはPINなどの入力は必要ない。続いて、ユーザ端末4は、端末内から端末識別情報を自動的に取得する(ステップA3)。
Subsequently, when the user requests terminal authentication from the
続いて、取得したサービスIDと端末識別情報とから、受領済み認証トークン格納先5に格納されている認証トークンとカウンタを取得する(ステップA4)。このとき、カウンタ値、つまり、パスワード数の値に対応するワンタイムパスワードを認証トークンから取得する(ステップA5)。また、サービスIDと端末識別情報から認証IDを生成し(ステップA6)、この認証IDと上記取得したワンタイムパスワードとから端末認証情報を作成し、認証サーバに送信する(ステップA7)。
Subsequently, an authentication token and a counter stored in the received authentication
その後、認証サーバ1への端末認証情報の送信が成功すると、カウンタ受領済み認証トーク格納先5内のカウンタ値、つまり、パスワード数の値を1つデクリメントし(ステップA8)、受領済み認証トークン格納先5のカウンタを更新する(ステップA9)。
Thereafter, when the transmission of the terminal authentication information to the
続いて、認証サーバ1は、ユーザ端末4から端末認証情報を受信すると、この端末認証情報から認証IDを取得する(ステップA10)。そして、この認証IDを用いて、発行済み認証トークン格納先3から認証トークンとカウンタ値(パスワード数)を取得し(ステップ11)、カウンタ値に対応するワンタイムパスワードを認証トークンから取得する(ステップA12)。このとき、カウンタ値(パスワード数)は、ステップA5でユーザ端末4にてワンタイムパスワードが取得されたときと同じ値であるため、認証サーバ1にて発行済み認証トークン格納先3から取得したパスワードも同一となる。
Subsequently, when receiving the terminal authentication information from the
続いて、認証トークンから取り出したワンタイムパスワードと、ユーザ端末4から受信した端末認証情報内のワンタイムパスワードが一致するかを検証する(ステップA13)。検証が一致すれば、認証IDを使って、認証ID関連情報格納先2からサービスIDと端末識別情報を取得し(ステップA14)、取得したサービスIDと端末識別情報を持つユーザ端末4を認証する。逆に検証が一致しなければ、ユーザ端末1を認証しない。
Subsequently, it is verified whether the one-time password extracted from the authentication token matches the one-time password in the terminal authentication information received from the user terminal 4 (step A13). If the verifications match, the service ID and terminal identification information are acquired from the authentication ID related
続いて、認証サーバ1は、ユーザ端末4を認証したかしないかに関わらずカウンタ値をデクリメントし(ステップA15)、認証IDを使用して発行済み認証トークン格納先2のカウンタを更新する(ステップA16)。その後、認証結果をユーザ端末4に送信し(ステップA17)、ユーザ端末4は、この認証結果を受信する(ステップA18)。
Subsequently, the
このようにすることにより、本実施例によると、汎用ICカードを利用した高いセキュリティを持つ利便性のよい認証システムを、安価に導入することができる。つまり、まず、ICカードからのサービスIDの取得を自動的に行うため、ユーザによるPINの入力などの煩雑な処理を行う必要が無く、利便性が良い。さらに、本方式に必要なICカードの機能は、サービスIDを耐タンパー領域に格納できることであり、ICカードデバイスに必要な機能はICカードからサービスIDを取得することだけであるため、かかる機能は一般的なICカードとICカードデバイスに基本的に備わっていると考えられる。このため、ICカードに新たなプログラムを導入したり、ICカードデバイスに特殊な機能を持たせる必要はなく、ICカード及びICカードデバイスの種類に依存せずに、安価に本方式を導入できる。 In this way, according to the present embodiment, a convenient authentication system with high security using a general-purpose IC card can be introduced at low cost. That is, first, since the service ID is automatically acquired from the IC card, it is not necessary to perform complicated processing such as PIN input by the user, which is convenient. Furthermore, the function of the IC card necessary for this method is that the service ID can be stored in the tamper resistant area, and the function necessary for the IC card device is only to acquire the service ID from the IC card. It is considered that it is basically provided in general IC cards and IC card devices. For this reason, it is not necessary to introduce a new program into the IC card or to give the IC card device a special function, and the present method can be introduced at low cost without depending on the types of the IC card and the IC card device.
また、本実施例では、認証にはワンタイムパスワードを使用しているため、盗聴されても不正認証を防止できる。そして、仮に不正行為を行おうとする者は、使用されていないワンタイムパスワードを取得する必要があるが、ワンタイムパスワードを格納している認証トークンは、端末識別情報とサービスIDとが揃わなければ取得できない。また、サービスIDはICカードに格納されており、パスワードのような情報と違い失念したり覗き見られる事などはなく、安全性を確保しやすい。また、端末識別情報はユーザ端末に格納されており、ユーザ端末のアクセス制限及び監視を行なうなどで十分に安全性を確保できる。つまり、端末認証に必要な認証トークンは2つの物理媒体によって保護され、保護を行なう物理媒体の安全性の確保も簡易である。さらに、これらの情報はネットワーク上で送信されないことからも、より安全性を確保することができる。また、ネットワーク上を伝送する認証IDは、サービスIDと端末認証情報から生成するものの、Hash処理するなどの処理を施して生成しているため、認証IDからはサービスIDや端末識別情報を得ることができず、より強固なセキュリティシステムとなっている。 In the present embodiment, since a one-time password is used for authentication, unauthorized authentication can be prevented even if wiretapped. A person who intends to cheat needs to acquire a one-time password that is not being used. However, if the authentication token storing the one-time password does not have terminal identification information and a service ID, can not get. Further, the service ID is stored in the IC card, and unlike information such as a password, the service ID is not forgotten or looked into, and it is easy to ensure safety. Further, the terminal identification information is stored in the user terminal, and sufficient safety can be ensured by performing access restriction and monitoring of the user terminal. That is, the authentication token necessary for terminal authentication is protected by two physical media, and it is easy to ensure the safety of the physical media to be protected. Furthermore, since these pieces of information are not transmitted over the network, it is possible to ensure safety. Further, although the authentication ID transmitted over the network is generated from the service ID and the terminal authentication information, it is generated by performing a process such as Hash processing, so that the service ID and the terminal identification information are obtained from the authentication ID. Can not be done, it has become a stronger security system.
また、仮に、不正行為者がICカードを手に入れたとしても、ユーザ端末の端末識別情報を取得しなければ、認証トークンを取得できない。そして、不正行為者が、ユーザ端末の端末識別情報を取得するためにユーザ端末に接続することは容易に制御でき、また、ユーザ端末の監視を行なえば不正利用をすばやく知ることができる。さらに、不正利用の回数も受領済み認証トークン格納先に格納されている認証トークン内のワンタイムパスワードの数に制限されるため、無限に不正利用されることを防止できる。 Further, even if the fraudster obtains the IC card, the authentication token cannot be acquired unless the terminal identification information of the user terminal is acquired. And it is possible to easily control the unauthorized person to connect to the user terminal in order to acquire the terminal identification information of the user terminal, and if the user terminal is monitored, the unauthorized use can be quickly known. Furthermore, since the number of unauthorized uses is also limited to the number of one-time passwords in the authentication token stored in the received authentication token storage destination, it is possible to prevent infinite unauthorized use.
以上のように、本実施例よると、高いセキュリティを持った認証方式を、利便性よく、安価に導入することができ、豊富な資金力の必要性や利便性を犠牲にした特殊なICカードの利用ではなく、一般ユーザへの汎用ICカードを利用した認証方式を提供できる。 As described above, according to the present embodiment, an authentication method with high security can be introduced conveniently and inexpensively, and a special IC card that sacrifices the necessity and convenience of abundant financial power. It is possible to provide an authentication method using a general-purpose IC card for general users instead of using the above.
次に、本発明の第2の実施例を、図7のシーケンス図を参照して説明する。本実施例における認証システムは、基本的には上記実施例1にて説明した認証システムとほぼ同様の構成を採っているが、認証時に用いるワンタイムパスワードを、認証用乱数(合成用情報)を合成して用いる点で異なる。具体的には、認証サーバ1がユーザ端末4に認証用乱数を送信し、ユーザ端末4は受領済み認証トークン格納先から取得したワンタイムパスワードとなる認証トークン内乱数と認証用乱数を合成したデータを、端末認証情報として送信する。同様に、認証サーバ1は、ワンタイムパスワードの照合時に、発行済み認証トークン格納先3から読み出したワンタイムパスワードに、ユーザ端末4に送信したものと同一の認証用乱数を合成して、照合を行う。
Next, a second embodiment of the present invention will be described with reference to the sequence diagram of FIG. The authentication system in the present embodiment basically has the same configuration as the authentication system described in the first embodiment, except that a one-time password used for authentication is used as an authentication random number (synthesis information). It differs in that it is synthesized and used. Specifically, the
次に、認証システムの動作を説明する。まず、認証サーバ1は、ユーザ端末に認証用乱数を送信する(ステップB1)。その後、ユーザ端末4が、ワンタイムパスワードを取得し、認証IDを作成するまでの動作は、実施例1の場合(ステップA1〜A6)と同様である(ステップB2〜B7)。
Next, the operation of the authentication system will be described. First, the
続いて、ユーザ端末4は、認証トークン内乱数(ワンタイムパスワード)と認証サーバ1から受信した認証用乱数を合成し(ステップB8)、上記認証IDと併せて端末認証情報として認証サーバ1に送信する(ステップB9)。そして、ユーザ端末1は、カウンタをデクリメントして更新する(ステップB10,B11)。
Subsequently, the
続いて、認証サーバ1が端末認証情報を受信してから、カウンタ値に対応した認証トークン内の乱数であるワンタイムパスワードを取得するまでの動作は(ステップB12〜B14)、実施例1と同様である(ステップA10〜A12参照)。続いて、認証サーバ1は、ユーザ端末4に送信した認証用乱数と認証トークンから取得した乱数を合成し(ステップB15)、合成した乱数と端末認証情報内の乱数の一致の検証を行う(ステップB16)。そして、それ以降の動作は(ステップB17〜B21)、実施例1の場合と同様である(ステップA14〜A18参照)。
Subsequently, the operation from when the
以上のように、本実施例によると、認証用乱数と認証トークン内乱数(ワンタイムパスワード)とを合成したものをパスワードとして用いることで、不正行為者による認証データの予測を困難にすることができる。さらには、認証サーバ1からユーザ端末4に送信した認証用乱数が用いられていることで、端末認証情報が正規なユーザ端末4から送信されていることを確認することができ、さらなるセキュリティの向上を図ることができる。
As described above, according to the present embodiment, it is possible to make it difficult for an unauthorized person to predict authentication data by using a combination of an authentication random number and an authentication token random number (one-time password) as a password. it can. Further, since the authentication random number transmitted from the
本発明によれば、自宅での使用のみに制限したパスワードレスオンラインショッピングシステムといった用途や、引き出し回数制限を行なう現金支払機制御プログラムといった用途に適用可能であり、産業上の利用可能性を有する。 INDUSTRIAL APPLICABILITY According to the present invention, the present invention can be applied to uses such as a passwordless online shopping system that is restricted to home use only, and uses such as a cash machine control program that restricts the number of withdrawals, and has industrial applicability.
1 認証サーバ
2 認証ID関連情報格納先
3 発行済み認証トークン格納先
4 ユーザ端末
5 受領済み認証トークン格納先
6 ICカードデバイス
7 ICカード
11 ユーザ情報取得処理部
12 認証トークン・ID生成処理部
13 端末認証情報受付処理部
14 認証トークン取得処理部
15 パスワード検証処理部
16 ユーザ認証処理部
17 カウンタ更新処理部
41 認証トークン受付処理部
42 基礎情報読取処理部
43 ワンタイムパスワード取得処理部
44 端末認証情報生成送信処理部
45 カウンタ更新処理部
1
Claims (14)
前記使用回数制限パスワードを、前記第1及び第2の識別情報に基づいて予め生成された認証用識別情報に関連付けてサーバ側記憶手段に記憶した認証サーバと、
を備えた認証システムであって、
前記ユーザ端末が、前記第1及び第2の識別情報を読み出す識別情報読出手段と、前記第1及び第2の識別情報を用いて前記ユーザ側記憶手段から前記使用回数制限パスワードを読み出すパスワード読出手段と、前記第1及び第2の識別情報に基づいて認証用識別情報を生成して当該認証用識別情報と共に前記使用回数制限パスワードをネットワークを介して前記認証サーバに送信する認証情報送信手段と、を備え、
前記認証サーバが、前記ユーザ端末から受け取った認証用識別情報に基づいて前記サーバ側記憶手段に記憶されている使用回数制限パスワードを読み出し、前記ユーザ端末から受け取った使用回数制限パスワードとの照合を行う照合手段を備えた、
ことを特徴とする認証システム。 The use limit password generated based on the first identification information stored in the portable medium and the second identification information stored in the user terminal is the first and second identification information. A user terminal stored in the user storage means in a protected state; and
An authentication server storing the use-time-restricted password in a server-side storage unit in association with authentication identification information generated in advance based on the first and second identification information;
An authentication system comprising:
Identification information reading means for reading out the first and second identification information by the user terminal, and password reading means for reading out the use limit password from the user-side storage means using the first and second identification information. And authentication information transmitting means for generating authentication identification information based on the first and second identification information, and transmitting the use frequency limit password together with the authentication identification information to the authentication server via a network; With
The authentication server reads the use frequency limit password stored in the server-side storage unit based on the authentication identification information received from the user terminal, and compares it with the use frequency limit password received from the user terminal. With matching means,
An authentication system characterized by that.
可搬媒体に記憶された第1の識別情報と、ユーザ端末に記憶された第2の識別情報と、に基づいて生成された使用回数制限パスワードを、前記第1及び第2の識別情報に基づいて生成された認証用識別情報に関連付けて記憶したサーバ側記憶手段と、
前記ユーザ端末から送信された、予め前記使用回数制限パスワードが前記第1及び第2の識別情報にて保護された状態で記憶されたユーザ側記憶手段から前記ユーザ端末にて前記第1及び第2の識別情報を用いて読み出された前記使用回数制限パスワードと、前記ユーザ端末にて前記第1及び第2の識別情報に基づいて生成された認証用識別情報と、を受け付ける認証情報受付手段と、
前記ユーザ端末から受け取った認証用識別情報に対応して前記サーバ側記憶手段に記憶されている使用回数制限パスワードを読み出して、前記ユーザ端末から受け付けた使用回数制限パスワードとの照合を行う照合手段と、
を備えたことを特徴とする認証サーバ。 An authentication server connected to a user terminal via a network and authenticating the user terminal,
Based on the first and second identification information, the use limit password generated based on the first identification information stored in the portable medium and the second identification information stored in the user terminal. Server-side storage means stored in association with the authentication identification information generated
The first and second at the user terminal from the user-side storage means, which is transmitted from the user terminal and stored in advance in a state where the use frequency limit password is protected by the first and second identification information. Authentication information accepting means for accepting the use limit password read using the identification information and authentication identification information generated on the user terminal based on the first and second identification information; ,
A verification unit that reads the use count limited password stored in the server-side storage unit corresponding to the authentication identification information received from the user terminal, and performs verification with the use count limited password received from the user terminal; ,
An authentication server comprising:
前記照合手段は、照合実行回数に応じて前記サーバ側記憶手段から1つの使用回数制限パスワードを読み出す、
ことを特徴とする請求項2又は3記載の認証サーバ。 The use limit password is configured to include a plurality of passwords,
The collation means reads one use-time limited password from the server-side storage means according to the number of collation execution times.
The authentication server according to claim 2 or 3, wherein
このパスワード生成手段は、生成した前記使用回数制限パスワードを前記サーバ側記憶手段に記憶すると共に、前記ユーザ端末のユーザ側記憶手段に格納するために出力する、
ことを特徴とする請求項2,3又は4記載の認証サーバ。 Password generating means for generating the use-time-restricted password;
The password generation means stores the generated use frequency limit password in the server-side storage means and outputs the password for storage in the user-side storage means of the user terminal.
The authentication server according to claim 2, 3 or 4.
前記照合手段は、前記サーバ側記憶手段に記憶された使用回数制限パスワードに前記合成用情報を合成して照合に用いる、
ことを特徴とする請求項2,3,4又は5記載の認証サーバ。 The usage limit password received from the user terminal is information combined with the combining information provided from the authentication server at the user terminal,
The collation means synthesizes the information for synthesis with the use frequency limit password stored in the server-side storage means and uses it for collation.
The authentication server according to claim 2, 3, 4, or 5.
前記照合手段による照合結果に応じて、前記ユーザ端末から受け付けた認証用識別情報に関連付けられた第1及び第2の識別情報に対応するユーザ端末の認証を行う認証手段と、
を備えたことを特徴とする請求項2,3,4,5又は6記載の認証サーバ。 Storage means for storing the first and second identification information in association with the authentication identification information generated in advance by an authentication server;
Authentication means for authenticating the user terminal corresponding to the first and second identification information associated with the identification information for authentication received from the user terminal, in accordance with the collation result by the collation means;
The authentication server according to claim 2, 3, 4, 5, or 6.
可搬媒体に記憶された第1の識別情報と、ユーザ端末に記憶された第2の識別情報と、に基づいて生成された使用回数制限パスワードを、前記第1及び第2の識別情報に基づいて生成された認証用識別情報に関連付けて記憶したサーバ側記憶手段を備え、
前記ユーザ端末の認証を行う認証サーバに、
前記ユーザ端末から送信された、予め前記使用回数制限パスワードが前記第1及び第2の識別情報にて保護された状態で記憶されたユーザ側記憶手段から前記ユーザ端末にて前記第1及び第2の識別情報を用いて読み出された前記使用回数制限パスワードと、前記ユーザ端末にて前記第1及び第2の識別情報に基づいて生成された認証用識別情報と、を受け付ける認証情報受付手段と、
前記ユーザ端末から受け取った認証用識別情報に対応して前記サーバ側記憶手段に記憶されている使用回数制限パスワードを読み出して、前記ユーザ端末から受け付けた使用回数制限パスワードとの照合を行う照合手段と、
を実現させるためのプログラム。 Connected to the user terminal via the network,
Based on the first and second identification information, the use limit password generated based on the first identification information stored in the portable medium and the second identification information stored in the user terminal. Server-side storage means stored in association with the identification information generated for authentication,
In an authentication server for authenticating the user terminal,
The first and second at the user terminal from the user-side storage means, which is transmitted from the user terminal and stored in advance in a state where the use frequency limit password is protected by the first and second identification information. Authentication information accepting means for accepting the use limit password read using the identification information and authentication identification information generated on the user terminal based on the first and second identification information; ,
A verification unit that reads the use count limited password stored in the server-side storage unit corresponding to the authentication identification information received from the user terminal, and performs verification with the use count limited password received from the user terminal; ,
A program to realize
前記使用回数制限パスワードを、前記第1及び第2の識別情報にて保護された状態で記憶したユーザ側記憶手段と、
前記第1の及び第2の識別情報を読み出す識別情報読出手段と、
前記第1及び第2の識別情報を用いて前記ユーザ側記憶手段から前記使用回数制限パスワードを読み出すパスワード読出手段と、
前記第1及び第2の識別情報に基づいて認証用識別情報を生成して当該認証用識別情報と共に前記使用回数制限パスワードを、ネットワークを介して前記認証サーバに送信する認証情報送信手段と、
を備えたことを特徴とするユーザ端末。 Based on the first and second identification information, the use limit password generated based on the first identification information stored in the portable medium and the second identification information stored in the user terminal. A user terminal connected via a network to an authentication server that stores the authentication identification information generated in advance in association with the authentication server that performs verification of the use-time-restricted password,
User-side storage means for storing the use-time limited password in a state protected by the first and second identification information;
Identification information reading means for reading the first and second identification information;
Password reading means for reading out the use-restricted password from the user-side storage means using the first and second identification information;
Authentication information transmitting means for generating authentication identification information based on the first and second identification information, and transmitting the use frequency limit password together with the authentication identification information to the authentication server via a network;
A user terminal comprising:
前記認証情報送信手段は、送信実行回数に応じて前記ユーザ側記憶手段から1つの使用回数制限パスワードを読み出す、
ことを特徴とする請求項9又は10記載のユーザ端末。 The use limit password is configured to include a plurality of passwords,
The authentication information transmitting unit reads one use number limited password from the user-side storage unit according to the number of times of transmission execution.
11. The user terminal according to claim 9 or 10, wherein:
ことを特徴とする請求項9,10又は11記載のユーザ端末。 The authentication information transmitting means synthesizes and transmits the combining information provided from the authentication server to the use limit password.
The user terminal according to claim 9, 10 or 11.
前記第1の及び第2の識別情報を読み出す識別情報読出手段と、
前記第1及び第2の識別情報を用いて前記ユーザ側記憶手段から前記使用回数制限パスワードを読み出すパスワード読出手段と、
前記第1及び第2の識別情報に基づいて認証用識別情報を生成して当該認証用識別情報と共に前記使用回数制限パスワードを、ネットワークを介して前記認証サーバに送信する認証情報送信手段と、
を実現させるためのプログラム。 Based on the first and second identification information, the use limit password generated based on the first identification information stored in the portable medium and the second identification information stored in the user terminal. The authentication information is stored in association with the authentication identification information generated in advance, and is connected to an authentication server that performs verification of the use-time-restricted password via the network, and the use-restriction password is used as the first and second identification information. In the user terminal provided with the user side storage means stored in a protected state at
Identification information reading means for reading the first and second identification information;
Password reading means for reading out the use-restricted password from the user-side storage means using the first and second identification information;
Authentication information transmitting means for generating authentication identification information based on the first and second identification information, and transmitting the use frequency limit password together with the authentication identification information to the authentication server via a network;
A program to realize
前記使用回数制限パスワードを、前記第1及び第2の端末識別情報に基づいて予め生成された認証用識別情報に関連付けてサーバ側記憶手段に記憶した認証サーバと、
を備え、前記ユーザ端末の認証を行う方法であって、
前記ユーザ端末が、前記第1及び第2の識別情報を読み出し、当該第1及び第2の識別情報を用いて前記ユーザ側記憶手段から前記使用回数制限パスワードを読み出すと共に、前記第1及び第2の識別情報に基づいて認証用識別情報を生成して、当該認証用識別情報と共に前記使用回数制限パスワードとをネットワークを介して前記認証サーバに送信し、
前記認証サーバが、前記ユーザ端末から受け取った前記認証用識別情報に基づいて前記サーバ側記憶手段に記憶されている使用回数制限パスワードを読み出し、前記ユーザ端末から受け付けた使用回数制限パスワードとの照合を行う、
ことを特徴とする認証方法。
The use limit password generated based on the first identification information stored in the portable medium and the second identification information stored in the user terminal is the first and second identification information. A user terminal stored in the user storage means in a protected state; and
An authentication server that stores the use limit password in a server-side storage unit in association with authentication identification information generated in advance based on the first and second terminal identification information;
Comprising the steps of: authenticating the user terminal,
The user terminal reads the first and second identification information, reads the use limit password from the user-side storage means using the first and second identification information, and the first and second Generating identification information for authentication based on the identification information, and transmitting the use limit password together with the authentication identification information to the authentication server via a network,
The authentication server reads the use frequency limit password stored in the server-side storage unit based on the authentication identification information received from the user terminal, and collates with the use frequency limit password received from the user terminal. Do,
An authentication method characterized by that.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006165951A JP4584192B2 (en) | 2006-06-15 | 2006-06-15 | Authentication system, authentication server, terminal, authentication method, program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006165951A JP4584192B2 (en) | 2006-06-15 | 2006-06-15 | Authentication system, authentication server, terminal, authentication method, program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007334644A JP2007334644A (en) | 2007-12-27 |
| JP4584192B2 true JP4584192B2 (en) | 2010-11-17 |
Family
ID=38934065
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006165951A Active JP4584192B2 (en) | 2006-06-15 | 2006-06-15 | Authentication system, authentication server, terminal, authentication method, program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4584192B2 (en) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102769846A (en) * | 2011-05-04 | 2012-11-07 | 中国银联股份有限公司 | User terminal and payment system |
| ES2812541T3 (en) | 2013-12-30 | 2021-03-17 | Onespan Int Gmbh | Authentication device with Bluetooth interface |
| KR20210068028A (en) | 2018-10-02 | 2021-06-08 | 캐피탈 원 서비시즈, 엘엘씨 | System and method for cryptographic authentication of contactless card |
| JP7338186B2 (en) * | 2019-03-22 | 2023-09-05 | 富士フイルムビジネスイノベーション株式会社 | Information processing device, external device, information processing system and program |
| KR102684425B1 (en) * | 2022-10-21 | 2024-07-12 | 박현철 | Photo Kiosk |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1166008A (en) * | 1997-08-27 | 1999-03-09 | Sega Enterp Ltd | Game device utilizing ic card |
| JP2002312319A (en) * | 2001-04-17 | 2002-10-25 | Yokogawa Electric Corp | Password system |
| JP2002328899A (en) * | 2001-04-27 | 2002-11-15 | Mitsubishi Electric Information Systems Corp | Server/client user authentication system, user authentication method, client device, server device, computer readable recording medium having program recorded thereon and program |
| JP2002334227A (en) * | 2001-05-10 | 2002-11-22 | Nippon Telegr & Teleph Corp <Ntt> | Pay service provision method, pay service provision system, content server, program for pay service provision, and recording medium |
| JP2004234632A (en) * | 2003-01-06 | 2004-08-19 | Sony Corp | System, server, method, and program for authentication, terminal, method and program for requiring authentication, and storage medium |
| JP2004295846A (en) * | 2003-03-28 | 2004-10-21 | Dainippon Printing Co Ltd | System, server, and method for managing license, program, and recording medium |
| JP2004355562A (en) * | 2003-05-30 | 2004-12-16 | Kddi Corp | Apparatus authentication system |
| JP2006004149A (en) * | 2004-06-17 | 2006-01-05 | Kddi Corp | User authentication system |
-
2006
- 2006-06-15 JP JP2006165951A patent/JP4584192B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1166008A (en) * | 1997-08-27 | 1999-03-09 | Sega Enterp Ltd | Game device utilizing ic card |
| JP2002312319A (en) * | 2001-04-17 | 2002-10-25 | Yokogawa Electric Corp | Password system |
| JP2002328899A (en) * | 2001-04-27 | 2002-11-15 | Mitsubishi Electric Information Systems Corp | Server/client user authentication system, user authentication method, client device, server device, computer readable recording medium having program recorded thereon and program |
| JP2002334227A (en) * | 2001-05-10 | 2002-11-22 | Nippon Telegr & Teleph Corp <Ntt> | Pay service provision method, pay service provision system, content server, program for pay service provision, and recording medium |
| JP2004234632A (en) * | 2003-01-06 | 2004-08-19 | Sony Corp | System, server, method, and program for authentication, terminal, method and program for requiring authentication, and storage medium |
| JP2004295846A (en) * | 2003-03-28 | 2004-10-21 | Dainippon Printing Co Ltd | System, server, and method for managing license, program, and recording medium |
| JP2004355562A (en) * | 2003-05-30 | 2004-12-16 | Kddi Corp | Apparatus authentication system |
| JP2006004149A (en) * | 2004-06-17 | 2006-01-05 | Kddi Corp | User authentication system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007334644A (en) | 2007-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100786551B1 (en) | Method for registering and certificating user of one time password by a plurality of mode and computer-readable recording medium where program executing the same method is recorded | |
| US9117324B2 (en) | System and method for binding a smartcard and a smartcard reader | |
| JP4553565B2 (en) | Electronic value authentication method, authentication system and device | |
| CA2417901C (en) | Entity authentication in electronic communications by providing verification status of device | |
| JP5802137B2 (en) | Centralized authentication system and method with secure private data storage | |
| US7558965B2 (en) | Entity authentication in electronic communications by providing verification status of device | |
| US8251286B2 (en) | System and method for conducting secure PIN debit transactions | |
| US20120066756A1 (en) | Authentication service | |
| JP4818664B2 (en) | Device information transmission method, device information transmission device, device information transmission program | |
| JP5303407B2 (en) | Biometric authentication system, portable terminal, semiconductor element, and information processing server | |
| JP2009510644A (en) | Method and configuration for secure authentication | |
| JPWO2007094165A1 (en) | Identification system and program, and identification method | |
| KR20030074483A (en) | Service providing system in which services are provided from service provider apparatus to service user apparatus via network | |
| JP2006209697A (en) | Individual authentication system, and authentication device and individual authentication method used for the individual authentication system | |
| JP2008269610A (en) | Protecting sensitive data intended for remote application | |
| JPH11143833A (en) | User confirmation system and ic card by biological data and storage medium | |
| JP4584192B2 (en) | Authentication system, authentication server, terminal, authentication method, program | |
| JP2002208925A (en) | Qualification authentication method using variable authentication information | |
| US20030084301A1 (en) | System and method for secure data transmission | |
| EP1046976B1 (en) | Method and apparatus for enabling a user to authenticate a system prior to providing any user-privileged information | |
| KR100326140B1 (en) | Apparatus for generating digital signature based on private-key/public-key | |
| JP4760124B2 (en) | Authentication device, registration device, registration method, and authentication method | |
| JP4113112B2 (en) | User confirmation system using biometric data and IC card | |
| US20090158038A1 (en) | Universal authentication method | |
| JPH10255005A (en) | User authentication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20100604 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100810 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100817 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100901 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4584192 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130910 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |