JP4803311B2 - 認証装置、認証方法及びプログラム - Google Patents
認証装置、認証方法及びプログラム Download PDFInfo
- Publication number
- JP4803311B2 JP4803311B2 JP2010175438A JP2010175438A JP4803311B2 JP 4803311 B2 JP4803311 B2 JP 4803311B2 JP 2010175438 A JP2010175438 A JP 2010175438A JP 2010175438 A JP2010175438 A JP 2010175438A JP 4803311 B2 JP4803311 B2 JP 4803311B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- data
- terminal
- authentication
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 44
- 238000004891 communication Methods 0.000 claims description 47
- 230000004044 response Effects 0.000 claims description 4
- 230000006870 function Effects 0.000 description 21
- 238000010295 mobile communication Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 102100030383 Phospholipid phosphatase-related protein type 3 Human genes 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 101001095043 Homo sapiens Bone marrow proteoglycan Proteins 0.000 description 1
- 101001131990 Homo sapiens Peroxidasin homolog Proteins 0.000 description 1
- 101000582986 Homo sapiens Phospholipid phosphatase-related protein type 3 Proteins 0.000 description 1
- 101150027108 Hspbap1 gene Proteins 0.000 description 1
- 102100030368 Phospholipid phosphatase-related protein type 4 Human genes 0.000 description 1
- 210000005252 bulbus oculi Anatomy 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
Images
Description
本発明はユーザの認証を行うための技術に係り、特に、認証の安全性を向上させるための技術に関する。
コンピュータ上あるいはネットワーク上のリソースに対して、ユーザにアクセスする権限があるのか否かを判断したり、アクセスしようとしているユーザが間違いなく本人であるのか否かを判断したりするために、認証と呼ばれる手続きが広く行われている。認証の方法としては、ユーザにユーザIDとパスワードを入力させて、これらの組み合わせをあらかじめ登録されている内容と比較するような方法が最も一般的である。
しかし、インターネットのように不特定多数のユーザからアクセスを受ける環境においては、このような認証方法は必ずしも確実であるとは言えない。例えば、ユーザが記憶しやすいように単純で短い単語をパスワードとして設定した場合には、悪意ある他のユーザによる総当たり攻撃や辞書攻撃によってパスワードが容易に解読され、いわゆる「なりすまし」が行われてしまうおそれがある。かといって、ユーザが記憶できないような複雑で長いパスワードを設定すれば、ユーザはパスワードを手帳等に記録しておかなければならないが、このような記録物自体を紛失したり盗み見られたりする可能性がある。したがって、特に高度な安全性が求められる情報に対する認証においては、ユーザの記憶だけに頼らないことが重要となる。
認証の安全性を向上させる技術としては、例えば特許文献1に記載されているような端末固有のIDを用いた方法や、あるいはIDカードに設けられた表示部にランダムな番号を表示させて、その番号を今まで利用されていたパスワードと共に入力させる方法がある。また、近年においては、ICカードによる認証や、ユーザの指紋や眼球内部の虹彩を利用したバイオメトリクス認証も普及してきている。これらの認証方法は、ユーザの記憶に頼るだけでなく、ユーザの所持物や身体的特徴を利用することにより、認証の安全性を向上させていると言える。
しかし、上述のような認証方法には、以下のような不都合が生じてしまうことになる。
まず、特許文献1に記載されているような方法においては、アクセスできる端末が限定されてしまうことになる。したがって、特許文献1に記載された方法では、利用する端末を問わずにあらゆる場所からアクセスを行いたいといった場合の認証には用いることができず、ユーザにとっては利便性が悪い。また、IDカード上にランダムな番号を表示させるような方法では、ユーザは認証専用の機器を所持しなければならず、ユーザに対して機器のコストや利便性の面で不都合を強いることになる。
同様に、バイオメトリクス認証やICカードによる認証においても、認証専用の機器を設置する必要があることから、認証する側は機器を設置するためのコストの増大が懸念されるし、認証されるユーザ側としても、機器の設置されていない場所からはアクセスできないという不都合が生じる。
まず、特許文献1に記載されているような方法においては、アクセスできる端末が限定されてしまうことになる。したがって、特許文献1に記載された方法では、利用する端末を問わずにあらゆる場所からアクセスを行いたいといった場合の認証には用いることができず、ユーザにとっては利便性が悪い。また、IDカード上にランダムな番号を表示させるような方法では、ユーザは認証専用の機器を所持しなければならず、ユーザに対して機器のコストや利便性の面で不都合を強いることになる。
同様に、バイオメトリクス認証やICカードによる認証においても、認証専用の機器を設置する必要があることから、認証する側は機器を設置するためのコストの増大が懸念されるし、認証されるユーザ側としても、機器の設置されていない場所からはアクセスできないという不都合が生じる。
本発明は上述の問題に鑑みてなされたものであり、その目的は、ユーザの利便性をあまり損ねることなく、従来よりも安全性の高い認証を行うための技術を提供することにある。
上述の課題を解決するために、本発明は、各々のユーザに付与されたユーザID及びパスワードと、該ユーザIDに対応する一時的なパスワードである一時パスワードの通知先であり、第1の端末又は前記第1の端末とは異なる第2の端末で参照可能な電子メールアドレスと、を関連付けて記憶する記憶手段と、ユーザによって操作される前記第1の端末から第1のデータ及び第2のデータを受信する第1の受信手段と、前記第1の受信手段により受信された前記第1のデータと前記第2のデータの対を前記記憶手段により記憶された前記ユーザIDと前記パスワードの対と照合し、両者が一致するか否かを判断する第1の認証手段と、前記第1の認証手段により一致すると判断された場合に、該一致した前記ユーザIDに対応して前記記憶手段に記憶されている前記電子メールアドレスに前記一時パスワードを通知する通知手段と、前記第1の端末から第3のデータを受信する第2の受信手段と、前記第2の受信手段により受信された前記第3のデータを前記通知手段により通知された一時パスワードと照合し、両者が一致するか否かを判断する第2の認証手段と、前記第2の認証手段により一致すると判断された場合に、前記第1の端末によるアクセスを認めるアクセス制御手段とを備える認証装置を提供する。
このようにすれば、第1の端末を操作しているユーザは、ユーザIDとパスワードによる第1の認証の後で、通知先に送信される一時パスワードによる第2の認証を行わなければ認証装置へのアクセスが許可されないため、従来よりも安全性の高い認証を行うことができる。
このようにすれば、第1の端末を操作しているユーザは、ユーザIDとパスワードによる第1の認証の後で、通知先に送信される一時パスワードによる第2の認証を行わなければ認証装置へのアクセスが許可されないため、従来よりも安全性の高い認証を行うことができる。
また、本発明は、制御手段と、各々のユーザに付与されたユーザID及びパスワードと、該ユーザIDに対応する一時的なパスワードである一時パスワードの通知先であり、第1の端末又は前記第1の端末とは異なる第2の端末で参照可能な電子メールアドレスと、を関連付けて記憶する記憶手段と、データを送受信する通信手段とを有する認証装置による認証方法であって、前記通信手段が、ユーザによって操作される前記第1の端末から第1のデータ及び第2のデータを受信する第1の受信ステップと、前記制御手段が、前記第1の受信ステップにおいて受信された前記第1のデータと前記第2のデータの対を前記記憶手段に記憶されているユーザIDとパスワードの対と照合し、両者が一致するか否かを判断する第1の認証ステップと、前記制御手段が、前記第1の認証ステップにおいて一致すると判断された場合に、前記通信手段を介して、該一致した前記ユーザIDに対応して前記記憶手段に記憶されている前記電子メールアドレスに前記一時パスワードを通知するステップと、前記通信手段が、前記第1の端末から第3のデータを受信する第2の受信ステップと、前記制御手段が、前記第2の受信ステップにおいて受信された前記第3のデータを前記通知ステップにおいて通知された一時パスワードと照合し、両者が一致するか否かを判断する第2の認証ステップと、前記制御手段が、前記第2の認証ステップにおいて一致すると判断された場合に、前記第1の端末によるアクセスを認めるアクセス制御ステップとを備える認証方法として提供することも可能である。
あるいは、本発明は、各々のユーザに付与されたユーザID及びパスワードと、該ユーザIDに対応する一時的なパスワードである一時パスワードの通知先であり、第1の端末又は前記第1の端末とは異なる第2の端末で参照可能な電子メールアドレスと、を関連付けて記憶する記憶手段と、データを送受信する通信手段とを有する認証装置のコンピュータに、ユーザによって操作される前記第1の端末から第1のデータ及び第2のデータを前記通信手段が受信すると、該受信された前記第1のデータと前記第2のデータの対を前記記憶手段に記憶された前記ユーザIDと前記パスワードの対と照合し、両者が一致するか否かを判断する第1の認証機能と、前記第1の認証機能により一致すると判断された場合に、前記通信手段を介して、該一致した前記ユーザIDに対応して前記記憶手段に記憶されている前記電子メールアドレスに前記一時パスワードを通知する通知機能と、前記通信手段が前記第1の端末から第3のデータを受信すると、該受信された前記第3のデータを前記通知機能により通知された一時パスワードと照合し、両者が一致するか否かを判断する第2の認証機能と、前記第2の認証機能により一致すると判断された場合に、前記第1の端末によるアクセスを認めるアクセス制御機能とを実現させるためのプログラムとして提供することも可能である。
あるいは、本発明は、各々のユーザに付与されたユーザID及びパスワードと、該ユーザIDに対応する一時的なパスワードである一時パスワードの通知先であり、第1の端末又は前記第1の端末とは異なる第2の端末で参照可能な電子メールアドレスと、を関連付けて記憶する記憶手段と、データを送受信する通信手段とを有する認証装置のコンピュータに、ユーザによって操作される前記第1の端末から第1のデータ及び第2のデータを前記通信手段が受信すると、該受信された前記第1のデータと前記第2のデータの対を前記記憶手段に記憶された前記ユーザIDと前記パスワードの対と照合し、両者が一致するか否かを判断する第1の認証機能と、前記第1の認証機能により一致すると判断された場合に、前記通信手段を介して、該一致した前記ユーザIDに対応して前記記憶手段に記憶されている前記電子メールアドレスに前記一時パスワードを通知する通知機能と、前記通信手段が前記第1の端末から第3のデータを受信すると、該受信された前記第3のデータを前記通知機能により通知された一時パスワードと照合し、両者が一致するか否かを判断する第2の認証機能と、前記第2の認証機能により一致すると判断された場合に、前記第1の端末によるアクセスを認めるアクセス制御機能とを実現させるためのプログラムとして提供することも可能である。
また、上述の課題を解決するために、本発明は、各々のユーザに付与されたユーザID及びパスワードと、該ユーザIDに対応する一時的なパスワードである一時パスワードの通知先であり、第1の端末又は前記第1の端末とは異なる第2の端末で参照可能な電子メールアドレスと、を関連付けて記憶する記憶手段と、前記第1の端末を操作するユーザに対する前記一時パスワードの通知要求を該ユーザのユーザIDとともに受信する第1の受信手段と、前記第1の受信手段により受信された前記通知要求に基づき、前記ユーザIDに対応して前記記憶手段に記憶されている前記電子メールアドレスに前記一時パスワードを通知する通知手段と、前記第1の端末から第1のデータ、第2のデータ、及び第3のデータを受信する第2の受信手段と、前記第2の受信手段により受信された前記第1のデータ、前記第2のデータ、及び前記第3のデータの組を、前記記憶手段に記憶された前記ユーザID,前記パスワード、及び前記通知手段により通知された一時パスワードの組と照合し、両者が一致するか否かを判断する認証手段と、前記認証手段により一致すると判断された場合に前記第1の端末によるアクセスを認めるアクセス制御手段とを備える認証装置を提供する。
このようにすれば、端末を操作しているユーザは、ユーザIDを認証装置に送信することによりユーザIDに対応する通知先に一時パスワードを送信させ、ユーザIDとパスワードに一時パスワードを加えた認証を行わなければ認証装置へのアクセスが許可されないため、従来よりも安全性の高い認証を行うことができる。
このようにすれば、端末を操作しているユーザは、ユーザIDを認証装置に送信することによりユーザIDに対応する通知先に一時パスワードを送信させ、ユーザIDとパスワードに一時パスワードを加えた認証を行わなければ認証装置へのアクセスが許可されないため、従来よりも安全性の高い認証を行うことができる。
また、本発明は、制御手段と、各々のユーザに付与されたユーザID及びパスワードと、該ユーザIDに対応する一時的なパスワードである一時パスワードの通知先であり、第1の端末又は前記第1の端末とは異なる第2の端末で参照可能な電子メールアドレスと、を関連付けて記憶する記憶手段と、データを送受信する通信手段とを有する認証装置による認証方法であって、前記通信手段が、前記第1の端末を操作するユーザに対する前記一時パスワードの通知要求を該ユーザのユーザIDとともに受信する第1の受信ステップと、前記制御手段が、前記第1の受信ステップにおいて受信された前記通知要求に基づき、前記通信手段を介して、前記ユーザIDに対応して前記記憶手段に記憶されている前記電子メールアドレスに前記一時パスワードを通知する通知ステップと、前記通信手段が、前記第1の端末から第1のデータ、第2のデータ、及び第3のデータを受信する第2の受信ステップと、前記制御手段が、前記第2の受信ステップにおいて受信された前記第1のデータ、前記第2のデータ、及び前記第3のデータの組を、前記記憶手段に記憶されているユーザID,パスワード、及び前記通知ステップにおいて通知された一時パスワードの組と照合し、両者が一致するか否かを判断する認証ステップと、前記制御手段が、前記認証ステップにおいて一致すると判断された場合に前記第1の端末によるアクセスを認めるアクセス制御ステップとを備える認証方法として提供することも可能である。
あるいは、本発明は、各々のユーザに付与されたユーザID及びパスワードと、該ユーザIDに対応する一時的なパスワードである一時パスワードの通知先であり、第1の端末又は前記第1の端末とは異なる第2の端末で参照可能な電子メールアドレスと、を関連付けて記憶する記憶手段と、データを送受信する通信手段とを有する認証装置のコンピュータに、前記第1の端末を操作するユーザに対する前記一時パスワードの通知要求を該ユーザのユーザIDとともに前記通信手段が受信すると、該受信された前記通知要求に基づき、前記通信手段を介して、前記ユーザIDに対応して前記記憶手段に記憶されている前記電子メールアドレスに前記一時パスワードを通知する通知機能と、前記第1の端末から第1のデータ、第2のデータ、及び第3のデータを前記通信手段が受信すると、該受信された前記第1のデータ、前記第2のデータ、及び前記第3のデータの組を、前記記憶手段に記憶された前記ユーザID,前記パスワード、及び前記通知機能により通知された一時パスワードの組と照合し、両者が一致するか否かを判断する認証機能と、前記認証機能により一致すると判断された場合に前記第1の端末によるアクセスを認めるアクセス制御機能とを実現させるためのプログラムとして提供することも可能である。
あるいは、本発明は、各々のユーザに付与されたユーザID及びパスワードと、該ユーザIDに対応する一時的なパスワードである一時パスワードの通知先であり、第1の端末又は前記第1の端末とは異なる第2の端末で参照可能な電子メールアドレスと、を関連付けて記憶する記憶手段と、データを送受信する通信手段とを有する認証装置のコンピュータに、前記第1の端末を操作するユーザに対する前記一時パスワードの通知要求を該ユーザのユーザIDとともに前記通信手段が受信すると、該受信された前記通知要求に基づき、前記通信手段を介して、前記ユーザIDに対応して前記記憶手段に記憶されている前記電子メールアドレスに前記一時パスワードを通知する通知機能と、前記第1の端末から第1のデータ、第2のデータ、及び第3のデータを前記通信手段が受信すると、該受信された前記第1のデータ、前記第2のデータ、及び前記第3のデータの組を、前記記憶手段に記憶された前記ユーザID,前記パスワード、及び前記通知機能により通知された一時パスワードの組と照合し、両者が一致するか否かを判断する認証機能と、前記認証機能により一致すると判断された場合に前記第1の端末によるアクセスを認めるアクセス制御機能とを実現させるためのプログラムとして提供することも可能である。
(1)第1実施形態
図1は本発明の第1の実施形態に係る認証システム100の全体構成を示した概念図である。同図に示されているように、本実施形態の認証システム100は、第1の端末として機能するクライアント装置1と、第2の端末として機能するクライアント端末2と、認証処理を司るサーバ装置3と、インターネット4と、移動通信網5とを備える。なお、実際には、本システム上にはクライアント装置1とクライアント端末2が多数存在するが、同図においてはそれぞれを代表した1つのみを図示している。
図1は本発明の第1の実施形態に係る認証システム100の全体構成を示した概念図である。同図に示されているように、本実施形態の認証システム100は、第1の端末として機能するクライアント装置1と、第2の端末として機能するクライアント端末2と、認証処理を司るサーバ装置3と、インターネット4と、移動通信網5とを備える。なお、実際には、本システム上にはクライアント装置1とクライアント端末2が多数存在するが、同図においてはそれぞれを代表した1つのみを図示している。
クライアント装置1は図示せぬCPU(Central Processing Unit),HDD(Hard Disk Drive),通信IF(Interface),表示部、及び操作部等を備えたパーソナルコンピュータであり、通信IFを介してインターネット4に接続されている。また、クライアント装置1は、HDDに記憶されたWebブラウザアプリケーションプログラムを実行し、ユーザにより表示部や操作部を介して入力されたデータをサーバ装置3に送信し、その応答を受信する。
クライアント端末2は図示せぬCPU,EEPROM(Electrically Erasable and Programmable Read Only Memory),アンテナ、表示部、及び操作部等を備えた携帯電話機であり、アンテナを介して移動通信網5に無線接続されている。また、クライアント端末2はEEPROMにメーラアプリケーションプログラムを記憶しており、このメーラアプリケーションプログラムを実行することにより電子メールの送受信が可能となっている。
インターネット4にはクライアント装置1とサーバ装置3とが接続されており、移動通信網5にはクライアント端末2が接続されている。また、移動通信網5とインターネット4とは、図示せぬ中継装置により互いに接続されている。このため、サーバ装置3はインターネット4と移動通信網5とを介してクライアント端末2と通信を行うことが可能となっている。
図2はサーバ装置3の構成を示したブロック図である。同図に示されているように、サーバ装置3は制御部31と、不揮発性記憶部32と、通信IF33とを備える。制御部31はCPU311やROM(Read Only Memory)312,RAM(Random Access Memory)313を備えており、各種のアプリケーションプログラムや演算を実行することによりサーバ装置3の各部の動作を制御する。不揮発性記憶部32は例えばHDD等の記憶装置である。この不揮発性記憶部32には、サーバ装置3をWWWサーバとして機能させるための手順が記述されたサーバアプリケーションプログラムPRG1と、サーバ装置3を認証サーバとして機能させるための手順が記述された認証アプリケーションプログラムPRG2と、ユーザ情報を格納するためのユーザ情報データベースDB1とが記憶されている。通信IF33はサーバ装置3がインターネット4を介して通信を行うための通信IFを備えている。
ここで、ユーザ情報データベースDB1に格納されているユーザ情報について、図3を参照しつつ説明する。
本実施形態においては、ユーザ情報は「ユーザID(ID)」、「パスワード(Pass)」、「通信アドレス(Addr)」、「一時パスワード1(Pass1)」、「一時パスワード1生成時刻(Time1)」、「一時パスワード1有効フラグ(Flag1)」、「一時パスワード2(Pass2)」、「一時パスワード2生成時刻(Time2)」、「一時パスワード2有効フラグ(Flag2)」の9つの項目により構成されており、それぞれの項目が互いに関連付けられて記憶されている。ユーザ情報データベースDB1には、このようなユーザ情報が認証システム100を利用するユーザの数だけ格納されている。
本実施形態においては、ユーザ情報は「ユーザID(ID)」、「パスワード(Pass)」、「通信アドレス(Addr)」、「一時パスワード1(Pass1)」、「一時パスワード1生成時刻(Time1)」、「一時パスワード1有効フラグ(Flag1)」、「一時パスワード2(Pass2)」、「一時パスワード2生成時刻(Time2)」、「一時パスワード2有効フラグ(Flag2)」の9つの項目により構成されており、それぞれの項目が互いに関連付けられて記憶されている。ユーザ情報データベースDB1には、このようなユーザ情報が認証システム100を利用するユーザの数だけ格納されている。
続いて、ユーザ情報の各項目の内容について説明する。
「ユーザID」はユーザを一意的に特定する識別子であり、各ユーザに対して重複しないように割り当てられた数字列ないしは文字列である。「パスワード」は各ユーザにより任意に設定された文字列であり、ユーザにより入力されたデータが「ユーザID」と「パスワード」の対に一致するか否かによってユーザの正当性を判断できる。
「通信アドレス」はユーザによりあらかじめ指定された一時パスワードの通知先を示しており、本実施形態においては携帯電話機のメールアドレスである。
「一時パスワード1」、「一時パスワード2」はともに、ユーザの認証に用いられる一時的なパスワード(以下、「一時パスワード」と記す)である。一時パスワードは制御部31において生成される。一時パスワードの生成方法は特に限定されるものではないが、本実施形態においては、制御部31が発生させる乱数の値に基づいて生成されるようになっている。制御部31はあらかじめ定められた任意の間隔(本実施形態においては5分間隔)で一時パスワードを生成し、生成した一時パスワードを「一時パスワード1」ないしは「一時パスワード2」のいずれか空白となっている項目に記憶する。
「ユーザID」はユーザを一意的に特定する識別子であり、各ユーザに対して重複しないように割り当てられた数字列ないしは文字列である。「パスワード」は各ユーザにより任意に設定された文字列であり、ユーザにより入力されたデータが「ユーザID」と「パスワード」の対に一致するか否かによってユーザの正当性を判断できる。
「通信アドレス」はユーザによりあらかじめ指定された一時パスワードの通知先を示しており、本実施形態においては携帯電話機のメールアドレスである。
「一時パスワード1」、「一時パスワード2」はともに、ユーザの認証に用いられる一時的なパスワード(以下、「一時パスワード」と記す)である。一時パスワードは制御部31において生成される。一時パスワードの生成方法は特に限定されるものではないが、本実施形態においては、制御部31が発生させる乱数の値に基づいて生成されるようになっている。制御部31はあらかじめ定められた任意の間隔(本実施形態においては5分間隔)で一時パスワードを生成し、生成した一時パスワードを「一時パスワード1」ないしは「一時パスワード2」のいずれか空白となっている項目に記憶する。
また、一時パスワードにはその生成時刻に基づいた有効期限が設定されており、有効期限を過ぎた一時パスワードは無効とされる。具体的には、「一時パスワード1生成時刻」と「一時パスワード2生成時刻」に記憶されているそれぞれの一時パスワードの生成時刻を比較し、新しいほうの一時パスワードには有効フラグに値「1(有効)」が設定され、古いほうの一時パスワードには有効フラグに値「0(無効)」が設定されている。つまり、本実施形態においては5分間隔で一時パスワードが生成されているから、ある一時パスワードはその生成時刻から5分経過すると無効となるようになっている。
制御部31は無効となっている一時パスワードを消去し、消去された部分には新たに生成された一時パスワードが記憶される。これと同時に、それまで有効であった一時パスワードの有効フラグを「0」に書き換え、新しく生成された一時パスワードの有効フラグを「1」に書き換える。このように一時パスワードを刻々と変化させると、仮に一時パスワードが漏洩することがあったとしても漏洩した一時パスワードは5分間しか有効ではないから、他の悪意ある他のユーザによって不正にアクセスされるおそれが少なくなる。
制御部31は無効となっている一時パスワードを消去し、消去された部分には新たに生成された一時パスワードが記憶される。これと同時に、それまで有効であった一時パスワードの有効フラグを「0」に書き換え、新しく生成された一時パスワードの有効フラグを「1」に書き換える。このように一時パスワードを刻々と変化させると、仮に一時パスワードが漏洩することがあったとしても漏洩した一時パスワードは5分間しか有効ではないから、他の悪意ある他のユーザによって不正にアクセスされるおそれが少なくなる。
これらの項目について、図3を例に説明すると次のようになる。すなわち、ユーザIDが「10011」のユーザのパスワードは「abc1234」であり、一時パスワードの通知先には「abc@xyz.ne.jp」が設定されている。このとき、「一時パスワード2有効フラグ」が「1」となっていることから、一時パスワードは「5734851」である。
以上に示された構成により、クライアント装置1はインターネット4を介してサーバ装置3とデータの送受信を行う。サーバ装置3はクライアント装置1から送信されてきたデータに対する応答をクライアント装置1あるいはクライアント端末2に返す。
また、ユーザがクライアント装置1を用いてサーバ装置3にアクセスを行うときには、サーバ装置3は認証を行うことによりユーザの正当性を判断する。以下では具体的な認証の処理について、図面を参照しつつ説明する。なお、以下に示される動作は、クライアント装置1がWebブラウザアプリケーションプログラムを実行し、認証アプリケーションプログラムPRG2を実行しているサーバ装置3にアクセスすることで実現される。また、ユーザはクライアント装置1を操作しているときにはクライアント端末2を所持しているものとし、クライアント装置1を操作しながらクライアント端末2の表示内容を適宜参照できるものとする。
また、ユーザがクライアント装置1を用いてサーバ装置3にアクセスを行うときには、サーバ装置3は認証を行うことによりユーザの正当性を判断する。以下では具体的な認証の処理について、図面を参照しつつ説明する。なお、以下に示される動作は、クライアント装置1がWebブラウザアプリケーションプログラムを実行し、認証アプリケーションプログラムPRG2を実行しているサーバ装置3にアクセスすることで実現される。また、ユーザはクライアント装置1を操作しているときにはクライアント端末2を所持しているものとし、クライアント装置1を操作しながらクライアント端末2の表示内容を適宜参照できるものとする。
図4は本実施形態の認証システム100における認証処理を示したシーケンス図である。なお、以下においては、クライアント装置1を操作するユーザを「ユーザA」とし、このユーザAのユーザ情報は図3の第1行に示されたもの(すなわち、ユーザID「10011」のユーザ情報)であるとする。
まずはじめに、クライアント装置1が図5に示されるような開始画面を表示し、ユーザが「ユーザID」と「パスワード」に該当する「第1のデータ」と「第2のデータ」をそれぞれテキストボックスT51とT52に入力し、送信ボタンB51をクリックしてこのデータをサーバ装置3へと送信させることによって本処理は開始される(ステップS01)。
まずはじめに、クライアント装置1が図5に示されるような開始画面を表示し、ユーザが「ユーザID」と「パスワード」に該当する「第1のデータ」と「第2のデータ」をそれぞれテキストボックスT51とT52に入力し、送信ボタンB51をクリックしてこのデータをサーバ装置3へと送信させることによって本処理は開始される(ステップS01)。
「第1のデータ」と「第2のデータ」を受信したサーバ装置3は、ユーザ情報データベースDB1に格納されたユーザ情報のなかから「第1のデータ」と「第2のデータ」の対に一致する「ユーザID」と「パスワード」の対が存在するか否かを判断することによりユーザの特定を行う(ステップS02)。この判断が否定的であれば(ステップS02;NO)、サーバ装置3はクライアント装置1に対して認証が失敗した旨の通知を行う(ステップS09)。また、この判断が肯定的であれば(ステップS02;YES)、続いてサーバ装置3は一時パスワードの生成を行う(ステップS03)。サーバ装置3が一時パスワードを生成する方法については、既に説明した通りである。
一時パスワードを生成したら、続いてサーバ装置3は上述のステップS02において特定されたユーザ、すなわちユーザAのユーザ情報を参照し、「通信アドレス」に指定されている通知先「abc@xyz.ne.jp」、すなわちユーザAのクライアント端末2に対して電子メールを送信する(ステップS04)。この電子メールには、本文または件名に上述のステップS03において生成された一時パスワードの文字列が含まれている。この電子メールの送信と同時に、サーバ装置3は図6に示されるような一時パスワード入力画面をクライアント装置1に表示させる(ステップS05)。
上述の一時パスワード入力画面がクライアント装置1に表示されたら、ユーザAはサーバ装置3によりクライアント端末2に対して送信された電子メールを参照し、上述のステップS03において生成された一時パスワードを確認する。そして、ユーザAがこの「一時パスワード」に該当する「第3のデータ」を一時パスワード入力画面のテキストボックスT61に入力して送信ボタンB61をクリックすることにより、クライアント装置1はサーバ装置3に対して「第3のデータ」を送信する(ステップS06)。
「第3のデータ」を受信したサーバ装置3は、「第3のデータ」に一致する一時パスワードがユーザ情報データベースDB1に格納された「一時パスワード1」と「一時パスワード2」のいずれかに存在し、かつその一時パスワードが有効か否かを判断することによってユーザの特定を行う(ステップS07)。この判断が否定的であれば(ステップS07;NO)、サーバ装置3はクライアント装置1に対して認証が失敗した旨の通知を行う(ステップS10)。また、この判断が肯定的であれば(ステップS07;YES)、サーバ装置3はこの認証が成功したと見なし、クライアント装置1との接続を確立する(ステップS08)。
(2)第2実施形態
続いて、本発明の第2の実施形態について説明する。本実施形態と上述の第1実施形態の相違点としては、サーバ装置3が実行している認証アプリケーションプログラムが認証アプリケーションプログラムPRG2ではなく認証アプリケーションプログラムPRG2’である点のみである。すなわち、後述する認証処理を実行するためのアプリケーションプログラムが異なるだけであり、その他の部分は第1実施形態と同様である。このため、本実施形態のシステム構成に関する説明等は省略し、認証処理の動作説明から始める。
なお、以下の説明においては、上述の第1実施形態と同様の部分についてはすべて同一の符号を用いて説明を行う。
続いて、本発明の第2の実施形態について説明する。本実施形態と上述の第1実施形態の相違点としては、サーバ装置3が実行している認証アプリケーションプログラムが認証アプリケーションプログラムPRG2ではなく認証アプリケーションプログラムPRG2’である点のみである。すなわち、後述する認証処理を実行するためのアプリケーションプログラムが異なるだけであり、その他の部分は第1実施形態と同様である。このため、本実施形態のシステム構成に関する説明等は省略し、認証処理の動作説明から始める。
なお、以下の説明においては、上述の第1実施形態と同様の部分についてはすべて同一の符号を用いて説明を行う。
図7は本実施形態の認証システム100における認証処理を示したシーケンス図である。なお、以下においては、クライアント装置1を操作するユーザを「ユーザB」とし、このユーザBのユーザ情報は図3の第2行に示されたもの(すなわち、ユーザID「10012」のユーザ情報)であるとする。
まずはじめに、クライアント装置1が図8に示されるような開始画面を表示し、ユーザが「ユーザID」に該当する「第1のデータ」をテキストボックスT81に入力し、送信ボタンB81をクリックしてこのデータをサーバ装置3へと送信させることによって本処理は開始される(ステップS21)。なお、このステップS21の処理を行うのは必ずしもクライアント装置1である必要はなく、ユーザB(或いはその他のユーザでもよい)により任意の装置から「ユーザID」を送信することが可能である。
まずはじめに、クライアント装置1が図8に示されるような開始画面を表示し、ユーザが「ユーザID」に該当する「第1のデータ」をテキストボックスT81に入力し、送信ボタンB81をクリックしてこのデータをサーバ装置3へと送信させることによって本処理は開始される(ステップS21)。なお、このステップS21の処理を行うのは必ずしもクライアント装置1である必要はなく、ユーザB(或いはその他のユーザでもよい)により任意の装置から「ユーザID」を送信することが可能である。
「第1のデータ」を受信したサーバ装置3は、ユーザ情報データベースDB1に格納されたユーザ情報のなかから「第1のデータ」に一致する「ユーザID」が存在するか否かを判断することによりユーザの特定を行う(ステップS22)。この判断が否定的であれば(ステップS22;NO)、サーバ装置3はクライアント装置1に対して認証が失敗した旨の通知を行う(ステップS29)。また、この判断が肯定的であれば(ステップS22;YES)、続いてサーバ装置3は一時パスワードの生成を行う(ステップS23)。サーバ装置3が一時パスワードを生成する方法については、既に説明した通りである。
一時パスワードを生成したら、続いてサーバ装置3は上述のステップS2において特定されたユーザ(つまりユーザB)のユーザ情報を参照し、「通信アドレス」に指定されている通知先「efg@zzz.co.jp」、すなわちクライアント端末2に対して電子メールを送信する(ステップS24)。この電子メールには、本文または件名に上述のステップS23において生成された一時パスワードの文字列が含まれている。この電子メールの送信と同時に、サーバ装置3は図9に示されるような入力画面をクライアント装置1に表示させる(ステップS25)。
上述の入力画面がクライアント装置1に表示されたら、ユーザBはサーバ装置3によりクライアント端末2に対して送信された電子メールを参照し、上述のステップS23において生成された一時パスワードを確認する。そして、ユーザBが「ユーザID」と「パスワード」と「一時パスワード」に該当する「第1のデータ」と「第2のデータ」と「第3のデータ」を入力画面のテキストボックスT91,T92,T93にそれぞれ入力して送信ボタンB91をクリックすることにより、クライアント装置1はサーバ装置3に対して「第1のデータ」と「第2のデータ」と「第3のデータ」を送信する(ステップS26)。
「第1のデータ」と「第2のデータ」と「第3のデータ」を受信したサーバ装置3は、ユーザ情報データベースDB1に格納されたユーザ情報のなかから「第1のデータ」と「第2のデータ」の対に一致する「ユーザID」と「パスワード」の対が存在するか否かを判断し、同時に「第3のデータ」に一致する一時パスワードが「一時パスワード1」と「一時パスワード2」のいずれかに存在し、かつその一時パスワードが有効か否かを判断することによってユーザの特定を行う(ステップS27)。この判断が否定的であれば(ステップS27;NO)、サーバ装置3はクライアント装置1に対して認証が失敗した旨の通知を行う(ステップS30)。また、この判断が肯定的であれば(ステップS27;YES)、サーバ装置3はこの認証が成功したと見なし、クライアント装置1との接続を確立する(ステップS28)。
以上に説明されたように、本発明の認証システム100を用いて認証処理を行うことにより、以下の効果が得られる。
まず、本実施形態の認証システム100によれば、ユーザIDとパスワードによる認証に加え、一時パスワードによる第2の認証を行うので、認証が二重となってより高い安全性を確保することが可能となる。
しかも、一時パスワードの通知先は認証処理を行っているクライアント装置1とは異なるクライアント端末2であることから、仮にユーザIDとパスワードが漏洩するような事態が生じても、悪意ある他のユーザはクライアント端末2がなければ認証を成功させることができない。
加えて、一時パスワードは5分毎に更新され、古くなった一時パスワードは無効となることから、万一ユーザIDとパスワードに加えて一時パスワードまでもが漏洩するような事態が生じても、悪意ある他のユーザが不正にアクセスする可能性を極めて低くすることが可能となる。
また、クライアント端末2が携帯電話機であることから、ユーザは認証のために専用の装置を用いる必要がない。加えて、電子メールというごく一般的な手段を用いて通知を行うため、クライアント端末2にはメーラアプリケーションプログラム以外の特別なアプリケーションプログラムは不要であり、したがってクライアント端末2によるサービスを提供する通信事業者に依存することもない。すなわち、クライアント端末2は電子メールを受信する機能さえあれば、その機種や通信事業者等の別をまったく問わない。そのため、ユーザにおいてはクライアント端末の選択に際して幅広い選択肢が与えられることに加え、ユーザが既に所持している携帯電話機をそのまま本実施形態のクライアント端末2として用いることができる可能性も極めて高くなる。
まず、本実施形態の認証システム100によれば、ユーザIDとパスワードによる認証に加え、一時パスワードによる第2の認証を行うので、認証が二重となってより高い安全性を確保することが可能となる。
しかも、一時パスワードの通知先は認証処理を行っているクライアント装置1とは異なるクライアント端末2であることから、仮にユーザIDとパスワードが漏洩するような事態が生じても、悪意ある他のユーザはクライアント端末2がなければ認証を成功させることができない。
加えて、一時パスワードは5分毎に更新され、古くなった一時パスワードは無効となることから、万一ユーザIDとパスワードに加えて一時パスワードまでもが漏洩するような事態が生じても、悪意ある他のユーザが不正にアクセスする可能性を極めて低くすることが可能となる。
また、クライアント端末2が携帯電話機であることから、ユーザは認証のために専用の装置を用いる必要がない。加えて、電子メールというごく一般的な手段を用いて通知を行うため、クライアント端末2にはメーラアプリケーションプログラム以外の特別なアプリケーションプログラムは不要であり、したがってクライアント端末2によるサービスを提供する通信事業者に依存することもない。すなわち、クライアント端末2は電子メールを受信する機能さえあれば、その機種や通信事業者等の別をまったく問わない。そのため、ユーザにおいてはクライアント端末の選択に際して幅広い選択肢が与えられることに加え、ユーザが既に所持している携帯電話機をそのまま本実施形態のクライアント端末2として用いることができる可能性も極めて高くなる。
(3)変形例
なお、本発明の適用は上述された態様に限定されるものではなく、以下に示されるような種々の変形が可能である。
(3−1;ネットワークの種類)
上述の実施形態においては、認証システム100はインターネット4と移動通信網5を備えていると説明されたが、イントラネットや無線LAN(Local Area Network)等の通信ネットワークによって代用可能であることはもちろんのことである。また、認証システムはインターネット4と移動通信網5のように異なる通信ネットワークが相互接続されている態様に限定されず、単一の通信ネットワークによって構成されることももちろん可能である。
なお、本発明の適用は上述された態様に限定されるものではなく、以下に示されるような種々の変形が可能である。
(3−1;ネットワークの種類)
上述の実施形態においては、認証システム100はインターネット4と移動通信網5を備えていると説明されたが、イントラネットや無線LAN(Local Area Network)等の通信ネットワークによって代用可能であることはもちろんのことである。また、認証システムはインターネット4と移動通信網5のように異なる通信ネットワークが相互接続されている態様に限定されず、単一の通信ネットワークによって構成されることももちろん可能である。
(3−2;クライアント端末の種類)
また、上述の実施形態においては、クライアント端末2は携帯電話機であり、通信アドレスには電子メールアドレスが登録されていると説明されたが、もちろん他の態様にて実施することも可能である。例えば、携帯電話機に通知する手段としては電子メールの他にもSMS(Short Message Service)や音声等が考えられ、この場合は通信アドレスに電話番号が登録されていればよい。
また、クライアント端末2は携帯電話機に限定されるものでもなく、例えばPHS(Personal Handyphone System;登録商標)やPDA(Personal Digital Assistance),ポケットベル(登録商標)等のページャ、或いはノート型パーソナルコンピュータ等の可搬性の情報端末を用いることが可能である。さらに、可搬性の情報端末には限定されず、デスクトップ型のパーソナルコンピュータや固定電話機をクライアント端末として用いることも可能である。これらの場合においては、例えばページャを利用する場合には、認証システム100は移動通信網5に代えてページャ網を備え、サーバ装置3はページャ網を介してページャに対して一時パスワードを表す文字列を送信すればよく、また、クライアント端末が固定電話機である場合には、認証システム100は移動通信網5に代えて公衆電話網を備えるとともにクライアント装置は音声読みあげ装置等を備え、公衆電話網を介して送信された一時パスワードをクライアント装置が音声として発音すればよい。
さらに、本実施形態においては、第2の端末として機能するクライアント端末2は第1の端末として機能するクライアント装置1と区別して説明されたが、この第2の端末は第1の端末と物理的に同一であってもよい。
また、上述の実施形態においては、クライアント端末2は携帯電話機であり、通信アドレスには電子メールアドレスが登録されていると説明されたが、もちろん他の態様にて実施することも可能である。例えば、携帯電話機に通知する手段としては電子メールの他にもSMS(Short Message Service)や音声等が考えられ、この場合は通信アドレスに電話番号が登録されていればよい。
また、クライアント端末2は携帯電話機に限定されるものでもなく、例えばPHS(Personal Handyphone System;登録商標)やPDA(Personal Digital Assistance),ポケットベル(登録商標)等のページャ、或いはノート型パーソナルコンピュータ等の可搬性の情報端末を用いることが可能である。さらに、可搬性の情報端末には限定されず、デスクトップ型のパーソナルコンピュータや固定電話機をクライアント端末として用いることも可能である。これらの場合においては、例えばページャを利用する場合には、認証システム100は移動通信網5に代えてページャ網を備え、サーバ装置3はページャ網を介してページャに対して一時パスワードを表す文字列を送信すればよく、また、クライアント端末が固定電話機である場合には、認証システム100は移動通信網5に代えて公衆電話網を備えるとともにクライアント装置は音声読みあげ装置等を備え、公衆電話網を介して送信された一時パスワードをクライアント装置が音声として発音すればよい。
さらに、本実施形態においては、第2の端末として機能するクライアント端末2は第1の端末として機能するクライアント装置1と区別して説明されたが、この第2の端末は第1の端末と物理的に同一であってもよい。
(3−3;クライアント装置とサーバ装置の種類)
また、上述の実施形態におけるクライアント装置1とサーバ装置3は、通常のコンピュータの機能を有するものであればいかなる装置でもよく、例えばネットワーク通信機能を備えたいわゆる複合機等の画像形成装置であってもよい。このようにすれば、ユーザ毎、或いは文書ファイル毎に異なるアクセス権限を付与し、文書ファイルの閲覧やプリントを制限したりすることが可能になる。
また、上述の実施形態におけるクライアント装置1とサーバ装置3は、通常のコンピュータの機能を有するものであればいかなる装置でもよく、例えばネットワーク通信機能を備えたいわゆる複合機等の画像形成装置であってもよい。このようにすれば、ユーザ毎、或いは文書ファイル毎に異なるアクセス権限を付与し、文書ファイルの閲覧やプリントを制限したりすることが可能になる。
(3−4;認証処理の種類)
また、上述の実施形態においては、クライアント装置1はWebブラウザアプリケーションプログラムを実行し、上述の認証処理はこのWebブラウザアプリケーションプログラムに基づいて行われるものとして説明されたが、Webブラウザという態様はあくまでも一例である。すなわち、本発明の認証処理はこのような態様に限定されるものではなく、Webブラウザ以外のアプリケーションプログラムによっても実現可能であることは言うまでもない。
また、上述の実施形態においては、クライアント装置1はWebブラウザアプリケーションプログラムを実行し、上述の認証処理はこのWebブラウザアプリケーションプログラムに基づいて行われるものとして説明されたが、Webブラウザという態様はあくまでも一例である。すなわち、本発明の認証処理はこのような態様に限定されるものではなく、Webブラウザ以外のアプリケーションプログラムによっても実現可能であることは言うまでもない。
(3−5;スタンドアローン型コンピュータへの適用)
また、上述の実施形態においては、ユーザはクライアント装置1を操作してユーザIDやパスワードを入力すると説明されたが、本発明はネットワークを介さないコンピュータ単体のアクセス制御に応用することも可能である。これは例えば、ユーザがサーバ装置を操作してユーザIDやパスワードを入力するような態様である。このとき、サーバ装置はクライアント装置ではなく、自機に対して応答を返すようにすればよい。このようにすれば、本発明の認証方法をスタンドアローン型のコンピュータに対しても適用することが可能となる。
また、上述の実施形態においては、ユーザはクライアント装置1を操作してユーザIDやパスワードを入力すると説明されたが、本発明はネットワークを介さないコンピュータ単体のアクセス制御に応用することも可能である。これは例えば、ユーザがサーバ装置を操作してユーザIDやパスワードを入力するような態様である。このとき、サーバ装置はクライアント装置ではなく、自機に対して応答を返すようにすればよい。このようにすれば、本発明の認証方法をスタンドアローン型のコンピュータに対しても適用することが可能となる。
(3−6;認証サーバの利用)
また、上述の実施形態においては、サーバ装置3内部にユーザ情報データベースDB1が記憶されていると説明されたが、より安全性を向上させるために、ユーザIDやパスワードをサーバ装置とは異なる外部サーバ(認証サーバ)により保持させ、認証にまつわる処理をこの外部サーバにより実行させることも可能である。このような場合には、サーバ装置は認証サーバに対してRADIUS(Remote Authentication Dial-In User Service)等の認証プロトコルを用いてユーザIDやパスワードを問い合わせるようにすればよい。
また、上述の実施形態においては、サーバ装置3内部にユーザ情報データベースDB1が記憶されていると説明されたが、より安全性を向上させるために、ユーザIDやパスワードをサーバ装置とは異なる外部サーバ(認証サーバ)により保持させ、認証にまつわる処理をこの外部サーバにより実行させることも可能である。このような場合には、サーバ装置は認証サーバに対してRADIUS(Remote Authentication Dial-In User Service)等の認証プロトコルを用いてユーザIDやパスワードを問い合わせるようにすればよい。
(3−7;ユーザ情報の構成)
また、上述の実施形態においては、ユーザ情報は図3に示された9つの項目により構成されていると説明されたが、もちろんユーザ情報はこれらの項目に限定されるものではない。例えば、一時パスワードの項目は「一時パスワード1」と「一時パスワード2」に分かれている必要はなく、古い一時パスワードを新しい一時パスワードに書き換えるようにすれば、一時パスワードの項目は1つで充分である。この場合、生成時刻や有効フラグの項目も不要となる。
また、上述の実施形態においては、ユーザ情報は図3に示された9つの項目により構成されていると説明されたが、もちろんユーザ情報はこれらの項目に限定されるものではない。例えば、一時パスワードの項目は「一時パスワード1」と「一時パスワード2」に分かれている必要はなく、古い一時パスワードを新しい一時パスワードに書き換えるようにすれば、一時パスワードの項目は1つで充分である。この場合、生成時刻や有効フラグの項目も不要となる。
(3−8;一時パスワードの生成)
また、上述の実施形態においては、一時パスワードは制御部31が発生させる乱数の値に基づいて生成されると説明されたが、もちろんその他のアルゴリズムによって生成されるものであってもよい。また、一時パスワードは5分毎に更新されると説明されたが、各ユーザに対して固定の値としてもよいし、逆にもっと短い間隔で更新されるものであってもよい。さらに、一時パスワードを更新する場合には、更新される度にクライアント端末に通知を行い、クライアント装置側では一時パスワードが更新される度にユーザに対して一時パスワードの入力を要求するようにしてもよい。そして、サーバ装置はクライアント端末が新たな一時パスワードを入力するまではクライアント装置からのアクセスを禁止したり、一時パスワードの入力が認められなければクライアント装置との接続を強制的に切断してしまうような態様であってもよい。
このようにすれば、例えばユーザがクライアント装置の側から離れてしまい、その間に悪意ある他のユーザによりクライアント装置を不正に操作されてしまうようなおそれが少なくなる。
また、上述の実施形態においては、一時パスワードを使用するたびに生成するものとして説明されたが、一時パスワードはサーバ装置3内部にあらかじめ記憶されているものであってもよい。
また、上述の実施形態においては、一時パスワードは制御部31が発生させる乱数の値に基づいて生成されると説明されたが、もちろんその他のアルゴリズムによって生成されるものであってもよい。また、一時パスワードは5分毎に更新されると説明されたが、各ユーザに対して固定の値としてもよいし、逆にもっと短い間隔で更新されるものであってもよい。さらに、一時パスワードを更新する場合には、更新される度にクライアント端末に通知を行い、クライアント装置側では一時パスワードが更新される度にユーザに対して一時パスワードの入力を要求するようにしてもよい。そして、サーバ装置はクライアント端末が新たな一時パスワードを入力するまではクライアント装置からのアクセスを禁止したり、一時パスワードの入力が認められなければクライアント装置との接続を強制的に切断してしまうような態様であってもよい。
このようにすれば、例えばユーザがクライアント装置の側から離れてしまい、その間に悪意ある他のユーザによりクライアント装置を不正に操作されてしまうようなおそれが少なくなる。
また、上述の実施形態においては、一時パスワードを使用するたびに生成するものとして説明されたが、一時パスワードはサーバ装置3内部にあらかじめ記憶されているものであってもよい。
100…認証システム、1…クライアント装置、2…クライアント端末、3…サーバ装置、31…制御部、32…不揮発性記憶部、33…通信IF、4…インターネット、5…移動通信網。
Claims (6)
- 各々のユーザに付与されたユーザID及びパスワードと、該ユーザIDに対応する一時的なパスワードである一時パスワードの通知先であり、第1の端末又は前記第1の端末とは異なる第2の端末で参照可能な電子メールアドレスと、を関連付けて記憶する記憶手段と、
ユーザによって操作される前記第1の端末から第1のデータ及び第2のデータを受信する第1の受信手段と、
前記第1の受信手段により受信された前記第1のデータと前記第2のデータの対を前記記憶手段により記憶された前記ユーザIDと前記パスワードの対と照合し、両者が一致するか否かを判断する第1の認証手段と、
前記第1の認証手段により一致すると判断された場合に、該一致した前記ユーザIDに対応して前記記憶手段に記憶されている前記電子メールアドレスに前記一時パスワードを通知する通知手段と、
前記第1の端末から第3のデータを受信する第2の受信手段と、
前記第2の受信手段により受信された前記第3のデータを前記通知手段により通知された一時パスワードと照合し、両者が一致するか否かを判断する第2の認証手段と、
前記第2の認証手段により一致すると判断された場合に、前記第1の端末によるアクセスを認めるアクセス制御手段と
を備える認証装置。 - 制御手段と、各々のユーザに付与されたユーザID及びパスワードと、該ユーザIDに対応する一時的なパスワードである一時パスワードの通知先であり、第1の端末又は前記第1の端末とは異なる第2の端末で参照可能な電子メールアドレスと、を関連付けて記憶する記憶手段と、データを送受信する通信手段とを有する認証装置による認証方法であって、
前記通信手段が、ユーザによって操作される前記第1の端末から第1のデータ及び第2のデータを受信する第1の受信ステップと、
前記制御手段が、前記第1の受信ステップにおいて受信された前記第1のデータと前記第2のデータの対を前記記憶手段に記憶されているユーザIDとパスワードの対と照合し、両者が一致するか否かを判断する第1の認証ステップと、
前記制御手段が、前記第1の認証ステップにおいて一致すると判断された場合に、前記通信手段を介して、該一致した前記ユーザIDに対応して前記記憶手段に記憶されている前記電子メールアドレスに前記一時パスワードを通知するステップと、
前記通信手段が、前記第1の端末から第3のデータを受信する第2の受信ステップと、
前記制御手段が、前記第2の受信ステップにおいて受信された前記第3のデータを前記通知ステップにおいて通知された一時パスワードと照合し、両者が一致するか否かを判断する第2の認証ステップと、
前記制御手段が、前記第2の認証ステップにおいて一致すると判断された場合に、前記第1の端末によるアクセスを認めるアクセス制御ステップと
を備える認証方法。 - 各々のユーザに付与されたユーザID及びパスワードと、該ユーザIDに対応する一時的なパスワードである一時パスワードの通知先であり、第1の端末又は前記第1の端末とは異なる第2の端末で参照可能な電子メールアドレスと、を関連付けて記憶する記憶手段と、データを送受信する通信手段とを有する認証装置のコンピュータに、
ユーザによって操作される前記第1の端末から第1のデータ及び第2のデータを前記通信手段が受信すると、該受信された前記第1のデータと前記第2のデータの対を前記記憶手段に記憶された前記ユーザIDと前記パスワードの対と照合し、両者が一致するか否かを判断する第1の認証機能と、
前記第1の認証機能により一致すると判断された場合に、前記通信手段を介して、該一致した前記ユーザIDに対応して前記記憶手段に記憶されている前記電子メールアドレスに前記一時パスワードを通知する通知機能と、
前記通信手段が前記第1の端末から第3のデータを受信すると、該受信された前記第3のデータを前記通知機能により通知された一時パスワードと照合し、両者が一致するか否かを判断する第2の認証機能と、
前記第2の認証機能により一致すると判断された場合に、前記第1の端末によるアクセスを認めるアクセス制御機能と
を実現させるためのプログラム。 - 各々のユーザに付与されたユーザID及びパスワードと、該ユーザIDに対応する一時的なパスワードである一時パスワードの通知先であり、第1の端末又は前記第1の端末とは異なる第2の端末で参照可能な電子メールアドレスと、を関連付けて記憶する記憶手段と、
前記第1の端末を操作するユーザに対する前記一時パスワードの通知要求を該ユーザのユーザIDとともに受信する第1の受信手段と、
前記第1の受信手段により受信された前記通知要求に基づき、前記ユーザIDに対応して前記記憶手段に記憶されている前記電子メールアドレスに前記一時パスワードを通知する通知手段と、
前記第1の端末から第1のデータ、第2のデータ、及び第3のデータを受信する第2の受信手段と、
前記第2の受信手段により受信された前記第1のデータ、前記第2のデータ、及び前記第3のデータの組を、前記記憶手段に記憶された前記ユーザID,前記パスワード、及び前記通知手段により通知された一時パスワードの組と照合し、両者が一致するか否かを判断する認証手段と、
前記認証手段により一致すると判断された場合に前記第1の端末によるアクセスを認めるアクセス制御手段と
を備える認証装置。 - 制御手段と、各々のユーザに付与されたユーザID及びパスワードと、該ユーザIDに対応する一時的なパスワードである一時パスワードの通知先であり、第1の端末又は前記第1の端末とは異なる第2の端末で参照可能な電子メールアドレスと、を関連付けて記憶する記憶手段と、データを送受信する通信手段とを有する認証装置による認証方法であって、
前記通信手段が、前記第1の端末を操作するユーザに対する前記一時パスワードの通知要求を該ユーザのユーザIDとともに受信する第1の受信ステップと、
前記制御手段が、前記第1の受信ステップにおいて受信された前記通知要求に基づき、前記通信手段を介して、前記ユーザIDに対応して前記記憶手段に記憶されている前記電子メールアドレスに前記一時パスワードを通知する通知ステップと、
前記通信手段が、前記第1の端末から第1のデータ、第2のデータ、及び第3のデータを受信する第2の受信ステップと、
前記制御手段が、前記第2の受信ステップにおいて受信された前記第1のデータ、前記第2のデータ、及び前記第3のデータの組を、前記記憶手段に記憶されているユーザID,パスワード、及び前記通知ステップにおいて通知された一時パスワードの組と照合し、両者が一致するか否かを判断する認証ステップと、
前記制御手段が、前記認証ステップにおいて一致すると判断された場合に前記第1の端末によるアクセスを認めるアクセス制御ステップと
を備える認証方法。 - 各々のユーザに付与されたユーザID及びパスワードと、該ユーザIDに対応する一時的なパスワードである一時パスワードの通知先であり、第1の端末又は前記第1の端末とは異なる第2の端末で参照可能な電子メールアドレスと、を関連付けて記憶する記憶手段と、データを送受信する通信手段とを有する認証装置のコンピュータに、
前記第1の端末を操作するユーザに対する前記一時パスワードの通知要求を該ユーザのユーザIDとともに前記通信手段が受信すると、該受信された前記通知要求に基づき、前記通信手段を介して、前記ユーザIDに対応して前記記憶手段に記憶されている前記電子メールアドレスに前記一時パスワードを通知する通知機能と、
前記第1の端末から第1のデータ、第2のデータ、及び第3のデータを前記通信手段が受信すると、該受信された前記第1のデータ、前記第2のデータ、及び前記第3のデータの組を、前記記憶手段に記憶された前記ユーザID,前記パスワード、及び前記通知機能により通知された一時パスワードの組と照合し、両者が一致するか否かを判断する認証機能と、
前記認証機能により一致すると判断された場合に前記第1の端末によるアクセスを認めるアクセス制御機能と
を実現させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010175438A JP4803311B2 (ja) | 2010-08-04 | 2010-08-04 | 認証装置、認証方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010175438A JP4803311B2 (ja) | 2010-08-04 | 2010-08-04 | 認証装置、認証方法及びプログラム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004132974A Division JP4595376B2 (ja) | 2004-04-28 | 2004-04-28 | 認証装置、認証方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010257487A JP2010257487A (ja) | 2010-11-11 |
| JP4803311B2 true JP4803311B2 (ja) | 2011-10-26 |
Family
ID=43318249
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010175438A Expired - Lifetime JP4803311B2 (ja) | 2010-08-04 | 2010-08-04 | 認証装置、認証方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4803311B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2977418B1 (fr) * | 2011-06-28 | 2013-06-28 | Alcatel Lucent | Systeme d'authentification via deux dispositifs de communication |
| US11651357B2 (en) | 2019-02-01 | 2023-05-16 | Oracle International Corporation | Multifactor authentication without a user footprint |
| JP2021131813A (ja) * | 2020-02-21 | 2021-09-09 | コニカミノルタ株式会社 | 画像形成装置、画像処理システム、およびプログラム |
-
2010
- 2010-08-04 JP JP2010175438A patent/JP4803311B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010257487A (ja) | 2010-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9967261B2 (en) | Method and system for secure authentication | |
| US6732278B2 (en) | Apparatus and method for authenticating access to a network resource | |
| KR100464755B1 (ko) | 이메일 주소와 하드웨어 정보를 이용한 사용자 인증방법 | |
| US20170093851A1 (en) | Biometric authentication system | |
| US20170055146A1 (en) | User authentication and/or online payment using near wireless communication with a host computer | |
| JP4993122B2 (ja) | プラットフォーム完全性検証システムおよび方法 | |
| US11271745B2 (en) | Method and system for operating internet of things device | |
| US20060075230A1 (en) | Apparatus and method for authenticating access to a network resource using multiple shared devices | |
| JP4595376B2 (ja) | 認証装置、認証方法及びプログラム | |
| WO2011048645A1 (ja) | 端末管理システム及び端末管理方法 | |
| US20100082982A1 (en) | Service control system and service control method | |
| JP2010033193A (ja) | 認証システム及び認証用サーバ装置 | |
| JP4803311B2 (ja) | 認証装置、認証方法及びプログラム | |
| EP2775658A2 (en) | A password based security method, systems and devices | |
| KR100858146B1 (ko) | 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치 | |
| JP7354745B2 (ja) | 情報処理装置、情報処理システム及びプログラム | |
| JP5317795B2 (ja) | 認証システムおよび認証方法 | |
| US20150207788A1 (en) | System and Method for Authentication | |
| KR20160116660A (ko) | Qr코드를 통한 전화번호 보안 인증 장치, 시스템 및 방법 | |
| JP5005394B2 (ja) | メールサーバアクセス方法及び電子メールシステム | |
| JP5212718B2 (ja) | プラットフォームの完全性検証システム及び方法 | |
| JP4132958B2 (ja) | 通信サービス提供システム及び方法 | |
| KR101595099B1 (ko) | 보안코드 서비스 제공 방법 | |
| US11588808B2 (en) | Operating system with automatic login mechanism and automatic login method | |
| KR101559203B1 (ko) | 생체 정보 인증 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100804 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101116 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110114 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110201 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110426 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110510 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20110517 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110712 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110725 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4803311 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140819 Year of fee payment: 3 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |