JP4755866B2 - Authentication system, authentication server, authentication method, and authentication program - Google Patents

Authentication system, authentication server, authentication method, and authentication program Download PDF

Info

Publication number
JP4755866B2
JP4755866B2 JP2005241855A JP2005241855A JP4755866B2 JP 4755866 B2 JP4755866 B2 JP 4755866B2 JP 2005241855 A JP2005241855 A JP 2005241855A JP 2005241855 A JP2005241855 A JP 2005241855A JP 4755866 B2 JP4755866 B2 JP 4755866B2
Authority
JP
Japan
Prior art keywords
user
authentication
password
mobile phone
time password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005241855A
Other languages
Japanese (ja)
Other versions
JP2007058469A (en
Inventor
夏彦 崎村
淳 永島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2005241855A priority Critical patent/JP4755866B2/en
Publication of JP2007058469A publication Critical patent/JP2007058469A/en
Application granted granted Critical
Publication of JP4755866B2 publication Critical patent/JP4755866B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

本発明は、ワンタイムパスワードを用いてユーザの正当性を認証する認証技術に関する。   The present invention relates to an authentication technique for authenticating a user's validity using a one-time password.

近年、フィッシング詐欺に代表される、インターネット上でのユーザIDおよびパスワードの詐取・盗難(identity theft)が問題となっている。そのため、より高いセキュリティを確保し、ユーザの正当性を認証する技術が求められている。例えば、特許文献1には、ワンタイムパスワード(One Time Password)を用いて、ユーザ認証を行うパスワード認証システムが記載されている。
特開2004−240637 In recent years, identity theft of user IDs and passwords on the Internet, represented by phishing scams, has become a problem. For this reason, there is a need for a technique that ensures higher security and authenticates the validity of the user. For example, Patent Literature 1 describes a password authentication system that performs user authentication using a one-time password.
JP 2004-240637 A

特許文献1に記載のパスワード認証システムでは、携帯電話が認証サーバから取得したワンタイムパスワードを用いてユーザ認証を行う。しかしながら、特許文献1では、携帯電話は、ユーザIDを指定して認証サーバにワンタイムパスワードを要求する。そして、認証サーバは、当該ユーザIDに対するワンタイムパスワードを要求元の携帯電話に送信する。すなわち、ユーザIDが漏れた場合には、同時にワンタイムパスワードも漏れたも同義である。   In the password authentication system described in Patent Document 1, the mobile phone performs user authentication using a one-time password acquired from an authentication server. However, in Patent Document 1, the mobile phone specifies a user ID and requests a one-time password from the authentication server. Then, the authentication server transmits a one-time password for the user ID to the requesting mobile phone. That is, when the user ID is leaked, it is synonymous with the leak of the one-time password at the same time.

したがって、悪意のある第三者は、ユーザIDさえ取得できれば、ユーザIDを認証サーバに送ることによってワンタイムパスワードを取得できる。これにより、悪意のある第三者が、不正に取得したユーザIDとワンタイムパスワードを使用して、例えばオンライン口座にログインし、不正な操作を行う可能性がある。   Therefore, a malicious third party can acquire a one-time password by sending the user ID to the authentication server as long as the user ID can be acquired. Accordingly, there is a possibility that a malicious third party logs in, for example, an online account and performs an unauthorized operation using the user ID and the one-time password that are illegally acquired.

本発明は上記事情に鑑みてなされたものであり、本発明の目的は、ユーザIDおよびパスワード双方が同時に漏洩するリスクを軽減し、より高いセキュリティを確保したユーザ認証技術を提供することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a user authentication technique that reduces the risk of both a user ID and a password leaking at the same time and ensures higher security.

上記課題を解決するために、本発明は、例えば、認証サーバと業務サーバとを有する認証システムであって、前記認証サーバは、前記認証システム内でユーザを識別するための第1のユーザIDと、前記業務サーバ内でユーザを識別するための第2のユーザIDと、ワンタイムパスワードとを対応付けたユーザ属性テーブルと、携帯電話IDを含むパスワード要求を携帯電話から受信し、当該受信した携帯電話IDに対応する第1のユーザIDを特定する受信手段と、前記特定した第1のユーザIDのワンタイムパスワードを生成し、生成したワンタイムパスワードを前記ユーザ属性テーブルに記憶するパスワード生成手段と、前記生成したワンタイムパスワードを前記携帯電話に送信するパスワード送信手段と、前記業務サーバから、第2のユーザIDおよびワンタイムパスワードを受信し、前記受信したワンタイムパスワードと、前記ユーザ属性テーブルに記憶された第2のユーザIDのワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に認証成功メッセージを前記業務サーバに送信する認証手段と、を有する。そして、前記業務サーバは、端末から、前記第2のユーザIDとワンタイムパスワードとを含むログイン要求を受信し、前記認証サーバに送信するログイン受付手段と、前記認証サーバから前記認証成功メッセージを受信した場合、前記ログイン要求を許可するログイン処理手段と、を有する。   In order to solve the above problem, the present invention is an authentication system having, for example, an authentication server and a business server, and the authentication server includes a first user ID for identifying a user in the authentication system, and , Receiving a user attribute table in which the second user ID for identifying the user in the business server is associated with the one-time password, and a password request including the mobile phone ID from the mobile phone, and receiving the received mobile phone Receiving means for specifying the first user ID corresponding to the telephone ID; and password generating means for generating a one-time password for the specified first user ID and storing the generated one-time password in the user attribute table; A password transmitting means for transmitting the generated one-time password to the mobile phone; Receiving the user ID and the one-time password, determining whether the received one-time password matches the one-time password of the second user ID stored in the user attribute table; Authenticating means for transmitting an authentication success message to the business server when they match. The business server receives a login request including the second user ID and the one-time password from the terminal, and receives a login acceptance unit that transmits the login request to the authentication server, and the authentication success message from the authentication server. And a login processing means for permitting the login request.

本発明では、ユーザIDおよびパスワードの漏洩リスクを軽減し、より高いセキュリティを確保することができる。   In the present invention, it is possible to reduce the risk of leakage of the user ID and password, and to ensure higher security.

以下、本発明の実施の形態について説明する。   Embodiments of the present invention will be described below.

図1は、本発明の一実施形態が適用された認証システムの全体構成図である。図示する認証システムは、ユーザが携帯する携帯電話1と、PC(Personal Computer)などの端末2と、認証サーバ3と、少なくとも1つの業務サーバ4とを有する。携帯電話1は、携帯電話1の位置に応じて所定の基地局5およびネットワーク6を介して、認証サーバ3と接続する。端末2と業務サーバ4とは、ネットワーク6を介して接続される。認証サーバ3と、業務サーバ4とは、ネットワーク6または図示しない専用線を介して接続される。   FIG. 1 is an overall configuration diagram of an authentication system to which an embodiment of the present invention is applied. The illustrated authentication system includes a mobile phone 1 carried by a user, a terminal 2 such as a PC (Personal Computer), an authentication server 3, and at least one business server 4. The mobile phone 1 is connected to the authentication server 3 via a predetermined base station 5 and network 6 according to the position of the mobile phone 1. The terminal 2 and the business server 4 are connected via the network 6. The authentication server 3 and the business server 4 are connected via a network 6 or a dedicated line (not shown).

本認証システムのユーザは、少なくとも1つの業務サーバ4が提供するシステム(サービス)を利用可能なユーザであって、当該認証システム内で一意のユーザID(第1のユーザID)があらかじめ設定されているものとする。また、ユーザは、あらかじめ所定の業務サーバ4のシステムに登録し、当該システム内でユーザを識別するための会員番号(第2のユーザID)を取得しているものとする。   The user of this authentication system is a user who can use a system (service) provided by at least one business server 4, and a unique user ID (first user ID) is preset in the authentication system. It shall be. In addition, it is assumed that the user has registered in advance in the system of the predetermined business server 4 and has acquired a membership number (second user ID) for identifying the user in the system.

また、ユーザは、常に携帯電話1を携帯し、携帯電話1を用いてワンタイムパスワードを、認証サーバ3から取得する。そして、ユーザは、端末2を用いて所望の業務サーバ4のシステムにログインし、当該システム(サービス)を利用する。なお、業務サーバ4のシステムにログインする際に、ユーザは、携帯電話1を用いて取得したワンタイムパスワードを端末2に入力するものとする。   The user always carries the mobile phone 1 and uses the mobile phone 1 to obtain a one-time password from the authentication server 3. Then, the user logs in to the system of the desired business server 4 using the terminal 2 and uses the system (service). Note that when logging into the system of the business server 4, the user inputs the one-time password acquired using the mobile phone 1 into the terminal 2.

携帯電話1は、ユーザの指示を受け付ける指示受付部11と、携帯電話1の位置情報を取得する位置情報取得部12と、認証サーバ3にワンタイムパスワードを要求するパスワード要求部13と、認証サーバ3から取得したワンタイムパスワードを表示する表示部14と、を有する。   The mobile phone 1 includes an instruction receiving unit 11 that receives a user instruction, a location information acquisition unit 12 that acquires location information of the mobile phone 1, a password request unit 13 that requests a one-time password from the authentication server 3, and an authentication server And a display unit 14 for displaying the one-time password acquired from 3.

本実施形態は、位置情報として、基地局5のセルIDを用いることとする。すなわち、位置情報取得部12は、携帯電話1が通信可能な基地局5から、当該基地局5のセルIDを取得し、携帯電話1(すなわち、正当なユーザ)の位置情報として用いることとする。なお、セルIDは、各基地局5がカバーするカバーエリア(セル)を識別するための識別情報である。   In the present embodiment, the cell ID of the base station 5 is used as the position information. That is, the location information acquisition unit 12 acquires the cell ID of the base station 5 from the base station 5 with which the mobile phone 1 can communicate, and uses it as location information of the mobile phone 1 (that is, a legitimate user). . The cell ID is identification information for identifying a cover area (cell) covered by each base station 5.

なお、携帯電話1がGPS(Global Positioning System)受信機能を有する場合、位置情報取得部12は、GPSから受信したGPS信号を位置情報として用いることとしてもよい。また、携帯電話1は、図示しないが一般的な通話機能を有するものとする。   When the mobile phone 1 has a GPS (Global Positioning System) reception function, the position information acquisition unit 12 may use a GPS signal received from the GPS as position information. The mobile phone 1 has a general call function (not shown).

端末2は、ユーザの指示を受け付けて所望の業務サーバ4にログインし、当該サーバ4が提供するシステムを利用する。図示する端末2は、ユーザの各種指示を受け付ける指示受付部21と、出力装置に各種の情報を表示する表示部22と、を有する。   The terminal 2 receives a user instruction, logs in to a desired business server 4, and uses a system provided by the server 4. The illustrated terminal 2 includes an instruction receiving unit 21 that receives various instructions from the user, and a display unit 22 that displays various types of information on the output device.

認証サーバ3は、携帯電話1の要求を受け付けて、ワンタイムパスワードを生成する。また、認証サーバ3は、業務サーバ4が受け付けたログイン要求の正当性を認証する。認証サーバ3は、図示するように、受信部31と、パスワード生成部32と、パスワード送信部33と、認証部34と、携帯電話テーブル35と、ユーザ属性テーブル36と、位置履歴テーブル37と、を有する。   The authentication server 3 receives the request from the mobile phone 1 and generates a one-time password. The authentication server 3 authenticates the validity of the login request received by the business server 4. As illustrated, the authentication server 3 includes a reception unit 31, a password generation unit 32, a password transmission unit 33, an authentication unit 34, a mobile phone table 35, a user attribute table 36, a location history table 37, Have

受信部31は、携帯電話1からワンタイムパスワードの生成要求を受け付ける。パスワード生成部32は、ワンタイムパスワードを生成する。パスワード送信部33は、パスワード生成部32が生成したワンタイムパスワードを、要求元の携帯電話1に送信する。認証部34は、各種テーブル35〜37を参照し、業務サーバ4が受け付けたログイン要求の正当性を認証する。   The receiver 31 receives a one-time password generation request from the mobile phone 1. The password generation unit 32 generates a one-time password. The password transmission unit 33 transmits the one-time password generated by the password generation unit 32 to the requesting mobile phone 1. The authentication unit 34 refers to the various tables 35 to 37 and authenticates the validity of the login request received by the business server 4.

携帯電話テーブル35は、ユーザと当該ユーザが所有(携帯)する携帯電話1とを対応付けたテーブルである。ユーザ属性テーブル36は、ユーザ毎に、当該ユーザが登録しているシステムIDおよび会員番号があらかじめ設定されたテーブルである。そして、ユーザ属性テーブル36には、パスワード生成部32が生成したワンタイムパスワードが後述する処理により記憶される。なお、携帯電話テーブル35およびユーザ属性テーブル36については後述する。   The mobile phone table 35 is a table in which a user is associated with the mobile phone 1 owned (carried) by the user. The user attribute table 36 is a table in which a system ID and a membership number registered by the user are set in advance for each user. In the user attribute table 36, the one-time password generated by the password generation unit 32 is stored by a process described later. The mobile phone table 35 and the user attribute table 36 will be described later.

位置履歴テーブル37には、ログインに成功した際の、携帯電話1の位置情報の履歴が記憶されている。なお、位置履歴テーブル37は、ユーザ毎に位置情報の履歴が記憶されているものとする。   The location history table 37 stores a history of location information of the mobile phone 1 when login is successful. The position history table 37 is assumed to store a history of position information for each user.

業務サーバ4は、オンラインバンキング、ネットショッピングなどシステムを有し、端末2に各種サービスを提供する。業務サーバ4は、ログイン受付部41と、ログイン処理部42と、業務処理部43と、会員テーブル44とを有する。ログイン受付部41は、端末2からログイン要求を受け付ける。ログイン処理部42は、認証サーバ3の認証結果に応じて、端末2のログインを許可または拒否する。業務処理部43は、オンラインバンキングやネットショッピングなどの業務処理を行う。   The business server 4 has systems such as online banking and online shopping, and provides various services to the terminal 2. The business server 4 includes a login reception unit 41, a login processing unit 42, a business processing unit 43, and a member table 44. The login reception unit 41 receives a login request from the terminal 2. The login processing unit 42 permits or rejects the login of the terminal 2 according to the authentication result of the authentication server 3. The business processing unit 43 performs business processing such as online banking and online shopping.

次に、認証サーバ3の携帯電話テーブル35およびユーザ属性テーブル36について説明する。   Next, the mobile phone table 35 and the user attribute table 36 of the authentication server 3 will be described.

図2は、携帯電話テーブル35の一例を示した図である。図示する携帯電話テーブル35は、ユーザID351と、携帯電話ID352と、携帯電話番号353と、を有する。なお、ユーザID351は、本認証システムにおいて、各ユーザを識別するための識別情報である。携帯電話ID352には、携帯電話1の機体番号(または、携帯電話の電話番号)を用いることとする。なお、1人のユーザが、複数の携帯電話1を所有する場合は、1つのユーザID351に対して複数の携帯電話ID352および携帯電話番号353が登録されるものとする。   FIG. 2 is a diagram showing an example of the mobile phone table 35. The illustrated mobile phone table 35 includes a user ID 351, a mobile phone ID 352, and a mobile phone number 353. The user ID 351 is identification information for identifying each user in this authentication system. As the mobile phone ID 352, the machine number of the mobile phone 1 (or the phone number of the mobile phone) is used. When one user owns a plurality of mobile phones 1, a plurality of mobile phone IDs 352 and mobile phone numbers 353 are registered for one user ID 351.

図3は、ユーザ属性テーブル36の一例を示した図である。図示するユーザ属性テーブル36は、ユーザID361と、システムID362と、会員番号363と、ワンタイムパスワード364と、ワンタイムパスワードの有効期限365と、位置情報366と、を有する。システムID362は、各業務サーバ4が提供するシステムを識別するための識別情報である。会員番号363は、各システム固有のユーザ識別情報であって、例えば、口座番号やクレジットカード番号などを用いることが考えられる。   FIG. 3 is a diagram showing an example of the user attribute table 36. The illustrated user attribute table 36 includes a user ID 361, a system ID 362, a membership number 363, a one-time password 364, a one-time password expiration date 365, and position information 366. The system ID 362 is identification information for identifying a system provided by each business server 4. The member number 363 is user identification information unique to each system. For example, an account number or a credit card number may be used.

なお、ユーザID361、システムID362および会員番号363については、あらかじめユーザ属性テーブル36に登録されているものとする。また、ワンタイムパスワード364、有効期限365および位置情報366については、パスワード生成部32が、ワンタイムパスワードの生成時に、ユーザ属性テーブル36に設定するものとする。   Note that the user ID 361, the system ID 362, and the member number 363 are registered in the user attribute table 36 in advance. Further, the one-time password 364, the expiration date 365, and the position information 366 are set by the password generation unit 32 in the user attribute table 36 when the one-time password is generated.

上記説明した、携帯電話1、端末2、認証サーバ3および業務サーバ4は、いずれも、例えば図4に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。   The mobile phone 1, terminal 2, authentication server 3, and business server 4 described above all include, for example, a CPU 901, a memory 902, an external storage device 903 such as an HDD, a keyboard, a mouse, and the like as shown in FIG. A general-purpose computer system including an input device 904, an output device 905 such as a display or a printer, and a communication control device 906 for connecting to a network can be used. In this computer system, the CPU 901 executes a predetermined program loaded on the memory 902, thereby realizing each function of each device.

例えば、携帯電話1、端末2、認証サーバ3および業務サーバ4の各機能は、携帯電話1用のプログラムの場合は携帯電話1のCPU901が、端末2用のプログラムの場合は端末2のCPU901が、認証サーバ3用のプログラムの場合は認証サーバ3のCPU901が、そして、業務サーバ4用のプログラムの場合は業務サーバ4のCPU901が、それぞれ実行することにより実現される。なお、認証サーバ3の携帯電話テーブル35、ユーザ属性テーブル36、および位置履歴テーブル37には、認証サーバ3のメモリ902または外部記憶装置903が用いられるものとする。また、業務サーバ4の会員テーブル44には、業務サーバ4のメモリ902または外部記憶装置903が用いられるものとする。また、入力装置904および出力装置905については、各装置が必要に応じて備えるものとする。   For example, the functions of the mobile phone 1, the terminal 2, the authentication server 3, and the business server 4 are performed by the CPU 901 of the mobile phone 1 in the case of the program for the mobile phone 1, and the CPU 901 of the terminal 2 in the case of the program for the terminal 2. In the case of the program for the authentication server 3, the CPU 901 of the authentication server 3 executes the program. In the case of the program for the business server 4, the CPU 901 of the business server 4 executes the program. Note that the memory 902 or the external storage device 903 of the authentication server 3 is used for the mobile phone table 35, the user attribute table 36, and the location history table 37 of the authentication server 3. Further, it is assumed that the memory 902 or the external storage device 903 of the business server 4 is used for the member table 44 of the business server 4. In addition, regarding the input device 904 and the output device 905, each device is provided as necessary.

次に、ワンタイムパスワードの取得処理について説明する。   Next, the one-time password acquisition process will be described.

図5は、ワンタイムパスワードの取得処理のフローチャートである。まず、携帯電話1の指示受付部11は、ユーザが入力したパスワード要求指示を受け付ける(S11)。すなわち、ユーザは、操作ボタンなどの入力装置を用いて、ログイン先の業務サーバ4のシステムIDを指定して、パスワード要求指示を入力する。   FIG. 5 is a flowchart of the one-time password acquisition process. First, the instruction receiving unit 11 of the mobile phone 1 receives a password request instruction input by the user (S11). That is, the user designates the system ID of the business server 4 at the login destination and inputs a password request instruction using an input device such as an operation button.

そして、位置情報取得部12は、通信可能な基地局5から、当該基地局5の位置情報(セルID)を取得する(S12)。そして、パスワード要求部13は、指示受付部11が受け付けたシステムIDと、位置情報取得部12が取得した位置情報と、当該携帯電話の携帯電話IDと、を含むパスワード要求メッセージを、基地局5を介して認証サーバ3に送信する(S13)。なお、携帯電話IDは、携帯電話1のメモリまたは外部記憶装置に記憶されているものとする。   Then, the location information acquisition unit 12 acquires location information (cell ID) of the base station 5 from the communicable base station 5 (S12). Then, the password request unit 13 sends a password request message including the system ID received by the instruction receiving unit 11, the location information acquired by the location information acquisition unit 12, and the mobile phone ID of the mobile phone to the base station 5. (S13). It is assumed that the mobile phone ID is stored in the memory of the mobile phone 1 or an external storage device.

そして、認証サーバ3の受信部31は、パスワード要求メッセージを携帯電話1から受信する。そして、受信部31は、携帯電話テーブル35を参照し、パスワード要求メッセージの携帯電話IDに対応するユーザIDを特定する(S14)。   Then, the receiving unit 31 of the authentication server 3 receives the password request message from the mobile phone 1. Then, the receiving unit 31 refers to the mobile phone table 35 and specifies the user ID corresponding to the mobile phone ID of the password request message (S14).

そして、パスワード生成部32は、ユーザ属性テーブル36を参照し、特定したユーザIDのいずれかのレコードに、パスワード要求メッセージのシステムIDが存在するか否かを判別する(S15)。システムIDが存在する場合(S15:YES)、パスワード生成部32は、所定のアルゴリズムにより、ワンタイムパスワードを生成する(S16)。なお、パスワード生成部32は、例えば、パスワード要求メッセージのタイムスタンプ、およびパスワード要求メッセージに含まれる携帯電話IDを、認証文字列の「種」としてワンタイムパスワードを生成する。   Then, the password generation unit 32 refers to the user attribute table 36 and determines whether or not the system ID of the password request message exists in any record of the specified user ID (S15). When the system ID exists (S15: YES), the password generation unit 32 generates a one-time password by a predetermined algorithm (S16). The password generation unit 32 generates a one-time password, for example, using the time stamp of the password request message and the mobile phone ID included in the password request message as the “seed” of the authentication character string.

そして、パスワード生成部32は、生成したワンタイムパスワード、有効期限、および、受信した位置情報を、ユーザ属性テーブル36の対応するレコード(特定したユーザIDおよび受信したシステムIDのレコード)に記憶する。なお、パスワード生成部32は、ワンタイムパスワードを生成した時刻から所定の時間(例えば、1分)が経過した時刻を、有効期限としてユーザ属性テーブル36に設定する。   And the password production | generation part 32 memorize | stores the produced | generated one-time password, an expiration date, and the received position information in the corresponding record (The record of the identified user ID and the received system ID) of the user attribute table 36. FIG. Note that the password generation unit 32 sets the time at which a predetermined time (for example, 1 minute) has elapsed from the time at which the one-time password is generated, in the user attribute table 36 as the expiration date.

そして、パスワード送信部33は、携帯電話1がパスワード要求メッセージを送信した通信経路(セッション)とは異なる通信経路で、生成したワンタイムパスワードを携帯電話1に送信する(S17)。   Then, the password transmission unit 33 transmits the generated one-time password to the mobile phone 1 through a communication path different from the communication path (session) from which the mobile phone 1 has transmitted the password request message (S17).

本実施形態では、パスワード送信部33は、ショートメッセージサービス(SMS:Short Message Service)を用いて、ワンタイムパスワードを送信することとする。ショートメッセージサービスは、携帯電話に短い文字メッセージを送信するサービスである。パスワード送信部33は、携帯電話テーブル35を参照し、要求元の携帯電話の携帯電話番号を特定する。そして、パスワード送信部33は、特定した携帯電話番号を宛先として生成したパスワードを送信する。   In the present embodiment, the password transmission unit 33 transmits a one-time password using a short message service (SMS). The short message service is a service for transmitting a short text message to a mobile phone. The password transmission unit 33 refers to the mobile phone table 35 and identifies the mobile phone number of the requesting mobile phone. Then, the password transmission unit 33 transmits the password generated with the specified mobile phone number as the destination.

携帯電話1から認証サーバ3にアクセスした通信経路と異なる通信経路でワンタイムパスワードを送信することにより、不正な第三者がなりすましによりワンタイムパスワードを要求した場合であっても、正当なユーザの携帯電話1にワンタイムパスワードを送信することができる。すなわち、ワンタイムパスワードの漏洩を防止することができる。   Even if an unauthorized third party requests a one-time password by impersonation by transmitting a one-time password through a communication path different from the communication path accessed from the mobile phone 1 to the authentication server 3, A one-time password can be transmitted to the mobile phone 1. That is, leakage of the one-time password can be prevented.

また、パスワード要求メッセージに含まれる携帯電話IDは、端末2から業務サーバ4にログインする際に使用する会員番号とは異なるものである。したがって、仮に、ワンタイムパスワードと携帯電話IDの両方が漏洩した場合であっても、当該ワンタイムパスワードおよび携帯電話IDを用いて業務サーバ4にログインすることはできない。したがって、本認証システムでは、第三者の不正なログインを拒否し、より高いセキュリティを確保することができる。   The mobile phone ID included in the password request message is different from the member number used when logging in to the business server 4 from the terminal 2. Therefore, even if both the one-time password and the mobile phone ID are leaked, it is not possible to log in to the business server 4 using the one-time password and the mobile phone ID. Therefore, in this authentication system, unauthorized login by a third party can be rejected, and higher security can be ensured.

なお、パスワード送信部33は、電子メールを用いてワンタイムパスワードを携帯電話1に送信することとしてもよい。この場合、携帯電話テーブル35には、携帯電話番号353の代わりに、携帯電話1のメールアドレスが記憶されているものとする。   Note that the password transmission unit 33 may transmit the one-time password to the mobile phone 1 using electronic mail. In this case, it is assumed that the mail address of the mobile phone 1 is stored in the mobile phone table 35 instead of the mobile phone number 353.

一方、システムIDが存在しない場合(S15:NO)、パスワード送信部33は、エラーメッセージを携帯電話1に送信する(S18)。なお、パスワード送信部33は、携帯電話1がパスワード要求メッセージを送信した通信経路と同一の通信経路、または、異なる通信経路(ショートメッセージサービス等)のどちらでエラーメッセージを送信してもよい。   On the other hand, when the system ID does not exist (S15: NO), the password transmission unit 33 transmits an error message to the mobile phone 1 (S18). The password transmission unit 33 may transmit the error message using either the same communication path as the communication path from which the mobile phone 1 transmits the password request message or a different communication path (short message service or the like).

そして、携帯電話1の表示部14は、認証サーバ3からワンタイムパスワードまたはエラーメッセージを受信し、表示装置に表示する(S19)。ワンタイムパスワードを受信した場合、ユーザは、携帯電話1に表示されたワンタイムパスワードを用いて、次に説明するログイン処理を行う。   The display unit 14 of the mobile phone 1 receives the one-time password or error message from the authentication server 3 and displays it on the display device (S19). When the one-time password is received, the user uses the one-time password displayed on the mobile phone 1 to perform a login process described below.

次に、端末2が業務サーバ4にログインする際の認証処理について説明する。   Next, an authentication process when the terminal 2 logs in to the business server 4 will be described.

図6は、ログイン時の認証処理のフローチャートである。なお、図6では、業務サーバ4と認証サーバ3の処理を中心に記載している。   FIG. 6 is a flowchart of authentication processing at the time of login. In FIG. 6, the processing of the business server 4 and the authentication server 3 is mainly described.

まず、ユーザは、端末2を使用して、ワンタイムパスワードを取得したシステムの業務サーバ4にアクセスし、当該システムのログイン画面を端末2の出力装置に表示する。そして、ユーザは、当該システムの会員番号、一般的なパスワードおよびワンタイムパスワードを、ログイン画面に入力する。   First, the user uses the terminal 2 to access the business server 4 of the system that has acquired the one-time password, and displays a login screen of the system on the output device of the terminal 2. Then, the user inputs the membership number of the system, a general password, and a one-time password on the login screen.

なお、会員番号および一般的なパスワードは、当該システム内で、ユーザの正当性を認証するためのものである。また、ワンタイムパスワードは、携帯電話1が認証サーバ3から取得したパスワードである。   The membership number and the general password are for authenticating the user's validity within the system. The one-time password is a password acquired by the mobile phone 1 from the authentication server 3.

そして、端末2の指示受付部21は、ユーザが入力した会員番号、一般的なパスワードおよびワンタイムパスワードを受け付ける。そして、指示受付部21は、受け付けた会員番号等を含むログインメッセージを業務サーバ4に送信する。   And the instruction | indication reception part 21 of the terminal 2 receives the membership number, the general password, and the one-time password which the user input. Then, the instruction reception unit 21 transmits a login message including the received member number and the like to the business server 4.

そして、業務サーバ4のログイン受付部41は、端末2からログインメッセージを受信する(S31)。そして、ログイン受付部41は、ログインメッセージの会員番号および一般的なパスワードの認証を行う(S32)。すなわち、ログイン受付部41は、受信した会員番号および一般的なパスワードが、会員テーブル44に存在するか否かを判別する。   And the login reception part 41 of the business server 4 receives a login message from the terminal 2 (S31). Then, the login reception unit 41 authenticates the membership number and general password of the login message (S32). That is, the login reception unit 41 determines whether or not the received member number and general password exist in the member table 44.

そして、認証に成功した場合、すなわち会員テーブル44に存在する場合(S32:YES)、ログイン受付部41は、ログインメッセージに含まれる会員番号およびワンタイムパスワードと、システムIDとを認証サーバ3に送信する(S33)。   When the authentication is successful, that is, when it exists in the member table 44 (S32: YES), the login receiving unit 41 transmits the member number and the one-time password included in the login message, and the system ID to the authentication server 3. (S33).

なお、業務サーバ4は、メモリまたは外部記憶装置にシステムIDを記憶しているものとする。また、業務サーバ4が認証サーバ3と通信する際には、なりすましを防止するために、電子署名などの相互認証プロセスを行うものとする。   Note that the business server 4 stores the system ID in a memory or an external storage device. Further, when the business server 4 communicates with the authentication server 3, a mutual authentication process such as an electronic signature is performed in order to prevent spoofing.

認証サーバ3の認証部34は、会員番号およびワンタイムパスワードと、システムIDとを業務サーバ4から受信する。そして、認証部34は、ユーザ属性テーブル36を参照し、受信した会員番号およびシステムIDをキーとして、対応するユーザID、ワンタイムパスワード、有効期限および位置情報を特定する(S34)。   The authentication unit 34 of the authentication server 3 receives the membership number, the one-time password, and the system ID from the business server 4. Then, the authentication unit 34 refers to the user attribute table 36 and specifies the corresponding user ID, one-time password, expiration date, and location information using the received membership number and system ID as keys (S34).

そして、認証部34は、受信したワンタイムパスワードとユーザ属性テーブル36に記憶されたワンタイムパスワードとが一致するか否かを判別する。また、認証部34は、当該認証サーバ3のタイマー機構(不図示)から現在の時刻を取得し、取得した現在の時刻がユーザ属性テーブル36に記憶された有効期限を経過していないかを判別する(S35)。   Then, the authentication unit 34 determines whether or not the received one-time password matches the one-time password stored in the user attribute table 36. Further, the authentication unit 34 acquires the current time from a timer mechanism (not shown) of the authentication server 3 and determines whether the acquired current time has passed the expiration date stored in the user attribute table 36. (S35).

ワンタイムパスワードが一致し、かつ、有効期限内の場合(S35:YES)、認証部34は、位置履歴テーブル37を参照し、ユーザ属性テーブル36に記憶された位置情報(パスワード要求メッセージ送信時の位置情報)が通常のパターンであるか否かを判別する(S36)。すなわち、認証部34は、特定したユーザIDの過去の位置情報を、位置履歴テーブル37から抽出する。そして、抽出した過去の位置情報から推定されるユーザの行動パターン(行動範囲)に、ユーザ属性テーブル36に記憶された位置情報が含まれるか否かを判別する。なお、S35とS36の処理の順番はこれに限定されず、S36の処理を行った後にS35の処理を行うこととしてもよい。   When the one-time passwords match and are within the expiration date (S35: YES), the authentication unit 34 refers to the position history table 37, and stores the position information (when the password request message is transmitted) stored in the user attribute table 36. It is determined whether or not (position information) is a normal pattern (S36). That is, the authentication unit 34 extracts past position information of the identified user ID from the position history table 37. And it is discriminate | determined whether the positional information memorize | stored in the user attribute table 36 is contained in the user's behavior pattern (behavior range) estimated from the extracted past positional information. Note that the order of the processes in S35 and S36 is not limited to this, and the process in S35 may be performed after the process in S36.

例えば、ユーザ属性テーブル36に記憶された位置情報が、過去の位置情報には存在しない新たな位置情報の場合、認証部34は、当該位置情報は通常のパターン以外の異常値であると判別することが考えられる。   For example, when the position information stored in the user attribute table 36 is new position information that does not exist in the past position information, the authentication unit 34 determines that the position information is an abnormal value other than a normal pattern. It is possible.

また、認証部34は、地図データ上に過去の位置情報をプロットする。そして、ユーザ属性テーブル36に記憶された位置情報が、プロットされたいずれの位置からも所定の距離以上離れた位置の場合、認証部34は、当該位置情報を通常のパターン以外の異常値であると判別することが考えられる。   The authentication unit 34 plots past position information on the map data. When the position information stored in the user attribute table 36 is a position that is a predetermined distance or more away from any of the plotted positions, the authentication unit 34 sets the position information to an abnormal value other than a normal pattern. It can be discriminated.

そして、位置情報が通常のパターンであると判別した場合(S36:YES)、認証部34は、正当なユーザからのログイン要求であると認証する。したがって、認証部34は、認証に成功した旨を示すOKメッセージを業務サーバ4に送信する(S37)。そして、認証部34は、ユーザIDおよびユーザ属性テーブル36に記憶された位置情報を位置履歴テーブル37に追加する。   When it is determined that the position information is a normal pattern (S36: YES), the authentication unit 34 authenticates that the login request is from a valid user. Therefore, the authentication unit 34 transmits an OK message indicating that the authentication is successful to the business server 4 (S37). Then, the authentication unit 34 adds the position information stored in the user ID and user attribute table 36 to the position history table 37.

一方、ワンタイムパスワードが一致しない場合、または、現在の時刻が有効期限を過ぎている場合(S35:NO)、認証部34は、不正な第三者からのログイン要求であると判別する。したがって、認証部34は、認証に失敗した旨を示すNGメッセージを、業務サーバ4に送信する(S38)。また、位置情報が異常値であると判別した場合(S36:NO)、認証部34は、不正な第三者からのログイン要求であると判別し、NGメッセージを業務サーバ4に送信する(S38)。   On the other hand, if the one-time passwords do not match, or if the current time has expired (S35: NO), the authentication unit 34 determines that the login request is from an unauthorized third party. Therefore, the authentication unit 34 transmits an NG message indicating that the authentication has failed to the business server 4 (S38). If the position information is determined to be an abnormal value (S36: NO), the authentication unit 34 determines that the request is a login request from an unauthorized third party, and transmits an NG message to the business server 4 (S38). ).

そして、業務サーバ4のログイン処理部42は、認証サーバ3からOKメッセージを受信した場合、端末2からのログインを許可し、ログイン完了画面を端末2に送信する(S39)。なお、ログイン完了画面には、例えば、業務処理部43が提供する各種サービスのメニューが表示されているものとする。   When the login processing unit 42 of the business server 4 receives the OK message from the authentication server 3, the login processing unit 42 permits the login from the terminal 2 and transmits a login completion screen to the terminal 2 (S39). Note that, for example, a menu of various services provided by the business processing unit 43 is displayed on the login completion screen.

一方、ログイン処理部42は、認証サーバ3からNGメッセージを受信した場合、端末2にログインに失敗した旨を示すログインエラーメッセージを送信する(S40)。また、ログイン処理部42は、会員番号および一般的なパスワードの認証に失敗した場合(S32:NO)、端末2にログインエラーメッセージを送信する(S40)。   On the other hand, when receiving the NG message from the authentication server 3, the login processing unit 42 transmits a login error message indicating that the login has failed to the terminal 2 (S40). Further, when the authentication of the membership number and the general password fails (S32: NO), the login processing unit 42 transmits a login error message to the terminal 2 (S40).

そして、端末2の表示部22は、ログイン完了画面またはログインエラーメッセージを受信し、出力装置に表示する。ログイン完了画面を受信した場合、端末2の指示受付部21は、ユーザの指示を受け付けて、オンラインバンキング、ネットショッピングなど業務サーバ4が提供する各種のサービスを利用することができる。   Then, the display unit 22 of the terminal 2 receives the login completion screen or the login error message and displays it on the output device. When the login completion screen is received, the instruction receiving unit 21 of the terminal 2 can receive the user's instruction and use various services provided by the business server 4 such as online banking and online shopping.

以上、本発明の一実施形態を説明した。   The embodiment of the present invention has been described above.

本実施形態では、ユーザIDおよびパスワードの漏洩リスクを軽減し、より高いセキュリティを確保することができる。すなわち、携帯電話1から認証サーバ3にアクセスした通信経路と異なる通信経路でワンタイムパスワードを送信することにより、不正な第三者がなりすましによりワンタイムパスワードを要求した場合であっても、正当なユーザの携帯電話1にワンタイムパスワードを送信することができる。すなわち、ワンタイムパスワードの漏洩を防止することができる。   In this embodiment, the risk of leakage of the user ID and password can be reduced, and higher security can be ensured. That is, even if an unauthorized third party requests a one-time password by impersonation by transmitting a one-time password through a communication path different from the communication path accessed from the mobile phone 1 to the authentication server 3, A one-time password can be transmitted to the user's mobile phone 1. That is, leakage of the one-time password can be prevented.

また、本実施形態で携帯電話1が認証サーバ3に送信するパスワード要求メッセージには、端末2から業務サーバ4にログインする際に使用する会員番号が含まれていない。したがって、仮に、携帯電話1と認証サーバ3との間の通信内容が盗聴され、ワンタイムパスワードが漏洩した場合であっても、業務サーバ4にログインすることはできない。したがって、本認証システムでは、第三者の不正なログインを拒否し、より高いセキュリティを確保することができる。   In the present embodiment, the password request message transmitted from the mobile phone 1 to the authentication server 3 does not include a member number used when logging in to the business server 4 from the terminal 2. Therefore, even if the communication content between the mobile phone 1 and the authentication server 3 is wiretapped and the one-time password is leaked, the user cannot log in to the business server 4. Therefore, in this authentication system, unauthorized login by a third party can be rejected, and higher security can be ensured.

また、本実施形態では、ログイン時にワンタイムパスワードだけでなく、携帯電話1の位置情報を用いてユーザの正当性を認証する。これにより、フィッシング詐欺などによりワンタイムパスワードを含むユーザのログイン情報が詐取された場合であっても、第三者の不正なログイン要求を拒否し、不正なネットワーク上での商取引を防止することができる。すなわち、より高いセキュリティを確保することができる。   In the present embodiment, not only the one-time password but also the location information of the mobile phone 1 is used for authenticating the user at the time of login. In this way, even if a user's login information including a one-time password is scammed due to phishing, etc., it is possible to reject unauthorized third party login requests and prevent commercial transactions on unauthorized networks. it can. That is, higher security can be ensured.

また、本実施形態では、携帯電話1の位置情報として基地局5のセルIDを用いる。これにより、携帯電話1を携帯するユーザが建物の中や地下にいる場合であっても、基地局5からセルIDを受信することができる。また、携帯電話1はGPS受信機能を備える必要がない。これにより、本実施形態では、より低コストにユーザの正当性を認証することができる。   In the present embodiment, the cell ID of the base station 5 is used as the location information of the mobile phone 1. Thereby, even if the user carrying the mobile phone 1 is in the building or underground, the cell ID can be received from the base station 5. Further, the mobile phone 1 does not need to have a GPS reception function. Thereby, in this embodiment, a user's legitimacy can be authenticated at lower cost.

また、本実施形態では、認証サーバ3が、ユーザの認証情報を一元的に管理し、各業務サーバ4からの要求に応じてより精度の高いユーザ認証を行う。これにより、業務サーバ側での認証処理の負荷を軽減し、より効率の良い認証処理を行うことができる。   Further, in the present embodiment, the authentication server 3 centrally manages user authentication information, and performs user authentication with higher accuracy in response to a request from each business server 4. As a result, the load of authentication processing on the business server side can be reduced, and more efficient authentication processing can be performed.

なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、上記実施形態の認証システムでは、1つまたは複数の業務サーバ4を備え、認証サーバ3が複数の業務サーバ4に対するログイン要求の認証を可能としている。しかしながら、認証サーバ3と業務サーバ4とが1対1に対応し、認証サーバ3は、1つの業務サーバ4のみの認証を行うこととしてもよい。この場合、パスワード要求メッセージ、ユーザ属性テーブル等のシステムIDは、不要となる。   In addition, this invention is not limited to said embodiment, Many deformation | transformation are possible within the range of the summary. For example, the authentication system of the above embodiment includes one or a plurality of business servers 4, and the authentication server 3 can authenticate login requests to the plurality of business servers 4. However, the authentication server 3 and the business server 4 may correspond one-to-one, and the authentication server 3 may authenticate only one business server 4. In this case, system IDs such as a password request message and a user attribute table are not necessary.

また、上記実施形態では、ログイン時の認証処理おいて、位置情報が通常のパターンと異なる場合、NGメッセージを送信することとした(図6:S38)。しかしながら、この場合、認証サーバ3は、例えば、警告メッセージを業務サーバ4に送信し、業務サーバ4は、所定のエラー処理を行うこととしてもよい。例えば、業務サーバ4は、警告メッセージを受信した場合、ログインを許可し、ログイン完了画面を端末2に送信する。そして、業務サーバ4は、警告メッセージのログ情報をメモリまたは外部記憶装置に記憶し、後に正当なユーザに問い合わせることなどが考えられる。   In the above embodiment, if the location information is different from the normal pattern in the authentication process at the time of login, an NG message is transmitted (FIG. 6: S38). However, in this case, for example, the authentication server 3 may transmit a warning message to the business server 4, and the business server 4 may perform predetermined error processing. For example, when receiving a warning message, the business server 4 permits login and transmits a login completion screen to the terminal 2. Then, the business server 4 may store the log information of the warning message in a memory or an external storage device, and inquire about a legitimate user later.

また、本実施形態では、ログイン時の認証処理おいて、業務サーバ4は、ログインメッセージに含まれる会員番号を認証サーバ3に送信することとした(図6:S33)。しかしながら、業務サーバ4は、会員番号とユーザIDとを結び付けるフェデレーション(federation)用の中間IDを送信することとしてもよい。この場合、業務サーバ4は、中間IDをユーザIDに変換して、認証処理を行うものとする。また、ユーザは、端末2からログイン処理を行う際に、会員番号ではなく中間IDをログイン画面に入力することとしてもよい。   In the present embodiment, in the authentication process at the time of login, the business server 4 transmits the member number included in the login message to the authentication server 3 (FIG. 6: S33). However, the business server 4 may transmit an intermediate ID for federation that links the membership number and the user ID. In this case, the business server 4 converts the intermediate ID into a user ID and performs an authentication process. In addition, when performing login processing from the terminal 2, the user may input an intermediate ID instead of a membership number on the login screen.

また、本実施形態では、認証サーバ3が業務サーバ4からの要求を受け付けて、ログイン要求を行ったユーザの正当性を認証する。しかしながら、業務サーバ4自身が、認証サーバから認証に必要な情報を取得して、ユーザの正当性を認証することとしてもよい。この場合、業務サーバ4は、ログイン時の認証処理において、会員番号およびシステムIDを認証サーバ3に送信し、認証サーバ3から対応するワンタイムパスワード、有効期限および位置情報を受信する(図6:S33)。そして、業務サーバ4は、認証サーバ3から取得した情報を用いて、ログインを行ったユーザの正当性を認証する(S34〜S38)。この場合、業務サーバ4が、位置履歴テーブル37を保持するものとする。   In this embodiment, the authentication server 3 accepts a request from the business server 4 and authenticates the validity of the user who made the login request. However, the business server 4 itself may acquire information necessary for authentication from the authentication server and authenticate the user's validity. In this case, the business server 4 transmits the member number and the system ID to the authentication server 3 and receives the corresponding one-time password, expiration date and location information from the authentication server 3 in the authentication process at the time of login (FIG. 6: S33). Then, the business server 4 authenticates the legitimacy of the logged-in user using the information acquired from the authentication server 3 (S34 to S38). In this case, it is assumed that the business server 4 holds the position history table 37.

また、ワンタイムパスワードの取得処理(図5参照)で、ユーザは、パスワード要求指示を入力する際に、暗証番号を入力することとしてもよい。そして、携帯電話は、暗証番号を含むパスワード要求メッセージを送信し、認証サーバ3は、暗証番号テーブル(不図示)を参照し、暗証番号が一致した場合、ワンタイムパスワードを生成することとする。   In the one-time password acquisition process (see FIG. 5), the user may input a password when inputting a password request instruction. Then, the mobile phone transmits a password request message including a personal identification number, and the authentication server 3 refers to a personal identification number table (not shown) and generates a one-time password when the personal identification numbers match.

本発明の一実施形態が適用された認証システムの全体構成を示す図である。1 is a diagram illustrating an overall configuration of an authentication system to which an embodiment of the present invention is applied. 携帯電話テーブルの一例を示す図である。It is a figure which shows an example of a mobile telephone table. ユーザ属性テーブルの一例を示す図である。It is a figure which shows an example of a user attribute table. 各装置のハードウェア構成例を示す図である。It is a figure which shows the hardware structural example of each apparatus. ワンタイムパスワードの取得処理のフローチャートである。It is a flowchart of the acquisition process of a one-time password. ログイン時の認証処理のフローチャートである。It is a flowchart of the authentication process at the time of login.

符号の説明Explanation of symbols

1:携帯電話、11:指示受付部、12:位置情報取得部、13:パスワード要求送信部、14:表示部、2:端末、21:指示受付部、22:表示部、3:認証サーバ、31:受信部、32:パスワード生成部、33:パスワード送信部、34:認証部、35:携帯電話テーブル、36:ユーザ属性テーブル、37:位置履歴テーブル、4:業務サーバ、41:ログイン受付部、42:ログイン処理部、43:業務処理部、44:会員テーブル、5:基地局、6:ネットワーク   DESCRIPTION OF SYMBOLS 1: Mobile phone, 11: Instruction reception part, 12: Position information acquisition part, 13: Password request transmission part, 14: Display part, 2: Terminal, 21: Instruction reception part, 22: Display part, 3: Authentication server, 31: Receiving unit, 32: Password generating unit, 33: Password transmitting unit, 34: Authentication unit, 35: Mobile phone table, 36: User attribute table, 37: Location history table, 4: Business server, 41: Login receiving unit 42: Login processing unit 43: Business processing unit 44: Member table 5: Base station 6: Network

Claims (5)

認証サーバと複数の業務サーバとを有する認証システムであって、
前記認証サーバは、
前記認証システム内でユーザを識別するための第1のユーザIDと、業務サーバ内でユーザを識別するための第2のユーザIDと、ワンタイムパスワードとを対応付けたユーザ属性テーブルと、
携帯電話IDを含むパスワード要求を携帯電話から受信し、当該受信した携帯電話IDに対応する第1のユーザIDを特定する受信手段と、
前記特定した第1のユーザIDのワンタイムパスワードを生成し、生成したワンタイムパスワードを前記ユーザ属性テーブルに記憶するパスワード生成手段と、
前記生成したワンタイムパスワードを前記携帯電話に送信するパスワード送信手段と、
業務サーバから、第2のユーザIDおよびワンタイムパスワードを受信し、前記受信したワンタイムパスワードと、前記ユーザ属性テーブルに記憶された第2のユーザIDのワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に認証成功メッセージを前記業務サーバに送信する認証手段と、を有し、
業務サーバは、
端末から、前記第2のユーザIDとワンタイムパスワードとを含むログイン要求を受信し、前記認証サーバに送信するログイン受付手段と、
前記認証サーバから前記認証成功メッセージを受信した場合、前記ログイン要求を許可するログイン処理手段と、を有し、
前記パスワード要求には、前記携帯電話の位置情報がさらに含まれ、
前記認証サーバは、
前記第1のユーザID毎に、過去にログインした際の前記携帯電話の位置情報が記憶された位置履歴テーブルを、さらに有し、
前記パスワード生成手段は、前記ユーザ属性テーブルに前記パスワード要求に含まれる位置情報を記憶し、
前記認証手段は、前記位置履歴テーブルの対応する過去の位置情報に基づいて、前記ユーザ属性テーブルに記憶された位置情報が正常か否かを判別し、正常な場合に認証成功メッセージを前記業務サーバに送信すること
を特徴とする認証システム。 An authentication system having an authentication server and a plurality of business servers,
The authentication server is
A user attribute table in which a first user ID for identifying a user in the authentication system, a second user ID for identifying a user in each business server, and a one-time password are associated;
Receiving means for receiving a password request including a mobile phone ID from a mobile phone and identifying a first user ID corresponding to the received mobile phone ID;
Password generating means for generating a one-time password for the identified first user ID and storing the generated one-time password in the user attribute table;
Password transmitting means for transmitting the generated one-time password to the mobile phone;
The second user ID and the one-time password are received from each business server, and whether or not the received one-time password matches the one-time password of the second user ID stored in the user attribute table And an authentication means for transmitting an authentication success message to the business server when the one-time password matches,
Each business server
Login acceptance means for receiving a login request including the second user ID and the one-time password from the terminal and transmitting the login request to the authentication server;
When receiving the authentication success message from the authentication server, it has a, a login processing unit to allow the login request,
The password request further includes location information of the mobile phone,
The authentication server is
For each of the first user IDs, there is further provided a location history table in which location information of the mobile phone when logged in in the past is stored,
The password generation means stores position information included in the password request in the user attribute table,
The authentication means determines whether or not the position information stored in the user attribute table is normal based on the corresponding past position information in the position history table, and if successful, sends an authentication success message to the business server The authentication system characterized by transmitting to . 請求項1記載の認証システムであって、
前記パスワード送信手段は、前記受信手段が前記パスワード要求を受信した通信経路とは異なるショートメッセージサービスまたは電子メールを用いて、前記生成したパスワードを前記携帯電話に送信すること
を特徴とする認証システム。 The authentication system according to claim 1,
The authentication system characterized in that the password transmission means transmits the generated password to the mobile phone using a short message service or an e-mail different from the communication path through which the reception means has received the password request. 認証サーバと複数の業務サーバとを有する認証システムにおける前記認証サーバであって、
前記認証システム内でユーザを識別するための第1のユーザIDと、業務サーバ内でユーザを識別するための第2のユーザIDと、ワンタイムパスワードとを対応付けたユーザ属性テーブルと、
携帯電話IDを含むパスワード要求を携帯電話から受信し、当該受信した携帯電話IDに対応する第1のユーザIDを特定する受信手段と、
前記特定した第1のユーザIDのワンタイムパスワードを生成し、生成したワンタイムパスワードを前記ユーザ属性テーブルに記憶するパスワード生成手段と、
前記生成したワンタイムパスワードを前記携帯電話に送信するパスワード送信手段と、
業務サーバから、第2のユーザIDおよびワンタイムパスワードを受信し、前記受信したワンタイムパスワードと、前記ユーザ属性テーブルに記憶された第2のユーザIDのワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に認証成功メッセージを前記業務サーバに送信する認証手段と、を有し、
前記パスワード要求には、前記携帯電話の位置情報がさらに含まれ、
前記認証サーバは、
前記第1のユーザID毎に、過去にログインした際の前記携帯電話の位置情報が記憶された位置履歴テーブルを、さらに有し、
前記パスワード生成手段は、前記ユーザ属性テーブルに前記パスワード要求に含まれる位置情報を記憶し、
前記認証手段は、前記位置履歴テーブルの対応する過去の位置情報に基づいて、前記ユーザ属性テーブルに記憶された位置情報が正常か否かを判別し、正常な場合に認証成功メッセージを前記業務サーバに送信すること
を特徴とする認証サーバ。 The authentication server in an authentication system having an authentication server and a plurality of business servers,
A user attribute table in which a first user ID for identifying a user in the authentication system, a second user ID for identifying a user in each business server, and a one-time password are associated;
Receiving means for receiving a password request including a mobile phone ID from a mobile phone and identifying a first user ID corresponding to the received mobile phone ID;
Password generating means for generating a one-time password for the identified first user ID and storing the generated one-time password in the user attribute table;
Password transmitting means for transmitting the generated one-time password to the mobile phone;
The second user ID and the one-time password are received from each business server, and whether or not the received one-time password matches the one-time password of the second user ID stored in the user attribute table to determine, have a, an authentication unit to send an authentication success message to the business server if the one-time password matches,
The password request further includes location information of the mobile phone,
The authentication server is
For each of the first user IDs, there is further provided a location history table in which location information of the mobile phone when logged in in the past is stored,
The password generation means stores position information included in the password request in the user attribute table,
The authentication means determines whether or not the position information stored in the user attribute table is normal based on the corresponding past position information in the position history table, and if successful, sends an authentication success message to the business server An authentication server characterized by transmitting to . 認証サーバと複数の業務サーバとを有する認証システムの認証方法であって、
前記認証サーバは、
前記認証システム内でユーザを識別するための第1のユーザIDと、業務サーバ内でユーザを識別するための第2のユーザIDと、ワンタイムパスワードとを対応付けたユーザ属性テーブルと、処理部とを有し、
前記処理部は、
携帯電話IDを含むパスワード要求を携帯電話から受信し、当該受信した携帯電話IDに対応する第1のユーザIDを特定する受信ステップと、
前記特定した第1のユーザIDのワンタイムパスワードを生成し、生成したワンタイムパスワードを前記ユーザ属性テーブルに記憶するパスワード生成ステップと、
前記生成したワンタイムパスワードを前記携帯電話に送信するパスワード送信ステップと、
業務サーバから、第2のユーザIDおよびワンタイムパスワードを受信し、前記受信したワンタイムパスワードと、前記ユーザ属性テーブルに記憶された第2のユーザIDのワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に認証成功メッセージを前記業務サーバに送信する認証ステップと、を行い、
業務サーバの処理部は、
端末から、前記第2のユーザIDとワンタイムパスワードとを含むログイン要求を受信し、前記認証サーバに送信するログイン受付ステップと、
前記認証サーバから前記認証成功メッセージを受信した場合、前記ログイン要求を許可するログイン処理ステップと、を行い、
前記パスワード要求には、前記携帯電話の位置情報がさらに含まれ、
前記認証サーバは、前記第1のユーザID毎に、過去にログインした際の前記携帯電話の位置情報が記憶された位置履歴テーブルを、さらに有し、
前記パスワード生成ステップは、前記ユーザ属性テーブルに前記パスワード要求に含まれる位置情報を記憶し、
前記認証ステップは、前記位置履歴テーブルの対応する過去の位置情報に基づいて、前記ユーザ属性テーブルに記憶された位置情報が正常か否かを判別し、正常な場合に認証成功メッセージを前記業務サーバに送信すること
を特徴とする認証方法。 An authentication method for an authentication system having an authentication server and a plurality of business servers,
The authentication server is
A user attribute table in which a first user ID for identifying a user in the authentication system, a second user ID for identifying a user in each business server, and a one-time password are associated, and processing And
The processor is
Receiving a password request including a mobile phone ID from a mobile phone, and specifying a first user ID corresponding to the received mobile phone ID;
Generating a one-time password for the identified first user ID, and storing the generated one-time password in the user attribute table;
A password transmission step of transmitting the generated one-time password to the mobile phone;
The second user ID and the one-time password are received from each business server, and whether or not the received one-time password matches the one-time password of the second user ID stored in the user attribute table And performing an authentication step of transmitting an authentication success message to the business server when the one-time password matches,
The processing unit of each business server
A login acceptance step of receiving a login request including the second user ID and the one-time password from the terminal and transmitting the login request to the authentication server;
When receiving the authentication success message from the authentication server, you have rows and login processing steps, a to allow the login request,
The password request further includes location information of the mobile phone,
The authentication server further includes a location history table in which location information of the mobile phone at the time of login in the past is stored for each first user ID,
The password generation step stores location information included in the password request in the user attribute table;
The authentication step determines whether or not the position information stored in the user attribute table is normal based on the corresponding past position information in the position history table, and if successful, sends an authentication success message to the business server The authentication method characterized by transmitting to . 認証サーバと複数の業務サーバとを有する認証システムにおける、前記認証サーバが実行する認証プログラムであって、
前記認証サーバは、前記認証システム内でユーザを識別するための第1のユーザIDと、前記業務サーバ内でユーザを識別するための第2のユーザIDと、ワンタイムパスワードとを対応付けたユーザ属性テーブルと、処理部とを有し、
前記処理部に、
携帯電話IDを含むパスワード要求を携帯電話から受信し、当該受信した携帯電話IDに対応する第1のユーザIDを特定する受信ステップと、
前記特定した第1のユーザIDのワンタイムパスワードを生成し、生成したワンタイムパスワードを前記ユーザ属性テーブルに記憶するパスワード生成ステップと、
前記生成したワンタイムパスワードを前記携帯電話に送信するパスワード送信ステップと、
業務サーバから、第2のユーザIDおよびワンタイムパスワードを受信し、前記受信したワンタイムパスワードと、前記ユーザ属性テーブルに記憶された第2のユーザIDのワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に認証成功メッセージを前記業務サーバに送信する認証ステップと、を実行させ
前記パスワード要求には、前記携帯電話の位置情報がさらに含まれ、
前記認証サーバは、前記第1のユーザID毎に、過去にログインした際の前記携帯電話の位置情報が記憶された位置履歴テーブルを、さらに有し、
前記パスワード生成ステップは、前記ユーザ属性テーブルに前記パスワード要求に含まれる位置情報を記憶し、
前記認証ステップは、前記位置履歴テーブルの対応する過去の位置情報に基づいて、前記ユーザ属性テーブルに記憶された位置情報が正常か否かを判別し、正常な場合に認証成功メッセージを前記業務サーバに送信すること
を特徴とする認証プログラム。 An authentication program executed by the authentication server in an authentication system having an authentication server and a plurality of business servers,
The authentication server is a user that associates a first user ID for identifying a user in the authentication system, a second user ID for identifying a user in the business server, and a one-time password. An attribute table and a processing unit;
In the processing unit,
Receiving a password request including a mobile phone ID from a mobile phone, and specifying a first user ID corresponding to the received mobile phone ID;
Generating a one-time password for the identified first user ID, and storing the generated one-time password in the user attribute table;
A password transmission step of transmitting the generated one-time password to the mobile phone;
The second user ID and the one-time password are received from each business server, and whether or not the received one-time password matches the one-time password of the second user ID stored in the user attribute table And an authentication step of transmitting an authentication success message to the business server when the one-time password matches ,
The password request further includes location information of the mobile phone,
The authentication server further includes a location history table in which location information of the mobile phone at the time of login in the past is stored for each first user ID,
The password generation step stores location information included in the password request in the user attribute table;
The authentication step determines whether or not the position information stored in the user attribute table is normal based on the corresponding past position information in the position history table, and if successful, sends an authentication success message to the business server An authentication program characterized by being transmitted to .
JP2005241855A 2005-08-23 2005-08-23 Authentication system, authentication server, authentication method, and authentication program Expired - Fee Related JP4755866B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005241855A JP4755866B2 (en) 2005-08-23 2005-08-23 Authentication system, authentication server, authentication method, and authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005241855A JP4755866B2 (en) 2005-08-23 2005-08-23 Authentication system, authentication server, authentication method, and authentication program

Publications (2)

Publication Number Publication Date
JP2007058469A JP2007058469A (en) 2007-03-08
JP4755866B2 true JP4755866B2 (en) 2011-08-24

Family

ID=37921932

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005241855A Expired - Fee Related JP4755866B2 (en) 2005-08-23 2005-08-23 Authentication system, authentication server, authentication method, and authentication program

Country Status (1)

Country Link
JP (1) JP4755866B2 (en)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4635182B2 (en) * 2005-09-16 2011-02-16 独立行政法人情報通信研究機構 Wireless communication system
JP4960738B2 (en) * 2007-03-28 2012-06-27 株式会社野村総合研究所 Authentication system, authentication method, and authentication program
JP5175490B2 (en) * 2007-05-17 2013-04-03 株式会社野村総合研究所 Authentication device, authentication system, authentication method, and authentication program
KR100886410B1 (en) 2007-06-05 2009-03-02 주식회사 칼라짚미디어 Authentication system and method using a time-varying code
US8122251B2 (en) * 2007-09-19 2012-02-21 Alcatel Lucent Method and apparatus for preventing phishing attacks
WO2009092105A2 (en) * 2008-01-18 2009-07-23 Tekelec Systems, methods and computer readable media for application-level authentication of messages in a telecommunications network
JP5385541B2 (en) * 2008-03-25 2014-01-08 株式会社野村総合研究所 Communication system, communication method, authentication apparatus, authentication method, and authentication program
JP5317795B2 (en) * 2009-03-30 2013-10-16 株式会社野村総合研究所 Authentication system and authentication method
JP5397178B2 (en) * 2009-11-16 2014-01-22 日本電気株式会社 Authentication information input device, authentication information input method, and authentication information input program
WO2011083867A1 (en) * 2010-01-08 2011-07-14 Hishinuma Noboru Authentication device, authentication method, and program
JP5462021B2 (en) * 2010-02-16 2014-04-02 株式会社野村総合研究所 Authentication system, authentication method, and authentication program
JP2014154131A (en) * 2013-02-14 2014-08-25 Nec Commun Syst Ltd Authentication system and authentication method
JP2016518735A (en) * 2013-03-14 2016-06-23 テルコム・ベンチャーズ・エルエルシー Authentication of user identification using location
JP6056970B2 (en) * 2013-06-28 2017-01-11 富士通株式会社 Information processing apparatus, terminal, information processing system, and information processing method
KR20160061526A (en) * 2014-11-21 2016-06-01 주식회사 홍인터내셔날 Dart game server, dart game device for supporting log in and computer program thereof
JP6962676B2 (en) * 2016-10-24 2021-11-05 富士通株式会社 Authentication-related information transmission control program, authentication-related information transmission control device, and authentication-related information transmission control method
KR102357149B1 (en) * 2020-05-12 2022-01-28 십일번가 주식회사 Security service system and method using password based on placement, authentication device applied thereto, and non-transitory computer readable medium having computer program recorded thereon
JP7179036B2 (en) * 2020-06-30 2022-11-28 楽天グループ株式会社 Information processing system, method and program
JP7403430B2 (en) 2020-11-09 2023-12-22 Kddi株式会社 Authentication device, authentication method and authentication program
US11200306B1 (en) 2021-02-25 2021-12-14 Telcom Ventures, Llc Methods, devices, and systems for authenticating user identity for location-based deliveries
JP7390435B2 (en) * 2021-06-21 2023-12-01 株式会社ラック Authentication system, authentication device, authentication method and program

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002152195A (en) * 2000-11-10 2002-05-24 Ntt Docomo Inc Server and method for authentication and recording medium
JP2004118456A (en) * 2002-09-25 2004-04-15 Japan Science & Technology Corp Authentication system of mobile terminal using position information
JP2004240637A (en) * 2003-02-05 2004-08-26 Toukei Computer Co Ltd Password authentication system
JP2004258845A (en) * 2003-02-25 2004-09-16 Ntt Data Systems Corp Personal identification device, behavior record method and transportation expense adjustment method

Also Published As

Publication number Publication date
JP2007058469A (en) 2007-03-08

Similar Documents

Publication Publication Date Title
JP4755866B2 (en) Authentication system, authentication server, authentication method, and authentication program
KR101019458B1 (en) Extended one­time password method and apparatus
JP4889395B2 (en) Authentication system, authentication method, and authentication program
JP4668734B2 (en) Authentication apparatus, authentication method, and authentication program
JP5462021B2 (en) Authentication system, authentication method, and authentication program
KR20070108315A (en) Appartus and method for privacy information sharing service using signed callback url message
KR20130107188A (en) Server and method for authentication using sound code
KR101025807B1 (en) Authentication method and authentication server
JP2007264835A (en) Authentication method and system
JP4960738B2 (en) Authentication system, authentication method, and authentication program
JP4824986B2 (en) Authentication system, authentication method, and authentication program
KR20120099782A (en) User authentication method, user authentication system, and portable communications terminal
JP4334515B2 (en) Service providing server, authentication server, and authentication system
WO2011083867A1 (en) Authentication device, authentication method, and program
KR101001400B1 (en) Online mutual authentication method and system thereof
JP4913624B2 (en) Authentication system and authentication method
JPWO2010050192A1 (en) Password reissue method
KR100563544B1 (en) Method for authenticating a user with one-time password
KR101831381B1 (en) Method of smart login using messenger service and device thereof
JP2002251375A (en) User authentication server in communication network, individual authentication method and program
JP5317795B2 (en) Authentication system and authentication method
JP4914725B2 (en) Authentication system, authentication program
KR101133167B1 (en) Method and apparatus for user verifing process with enhanced security
US20150221172A1 (en) Online Banking Through a Gaming Console
KR101212510B1 (en) System and method for service security based on location

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080312

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110302

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110308

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110509

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110524

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110530

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140603

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4755866

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees