JP4857857B2 - Seed information management server and authentication system - Google Patents
Seed information management server and authentication system Download PDFInfo
- Publication number
- JP4857857B2 JP4857857B2 JP2006091144A JP2006091144A JP4857857B2 JP 4857857 B2 JP4857857 B2 JP 4857857B2 JP 2006091144 A JP2006091144 A JP 2006091144A JP 2006091144 A JP2006091144 A JP 2006091144A JP 4857857 B2 JP4857857 B2 JP 4857857B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- seed
- seed information
- user
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、シード情報管理サーバ及び認証システムに関する。 The present invention relates to a sheet over de information management server and the authentication system.
コンピュータや通信ネットワークにアクセスする際のセキュリティ確保の方法として、パスワード認証に基づいた種々の認証方式が実用化されている。使用されるパスワードとして固定パスワードやワンタイムパスワード(One Time Password;以下、OTPという)があるが、固定パスワードを用いた認証方式では、パスワードクラッキングツールなどを利用してパスワードが破られてしまい、不正アクセスされやすいという欠点がある。これに対して、OTPによる認証方式では、時刻等と共に変化するテンポラリなパスワードで認証を行うため、より不正アクセスがされにくいという特徴があり、種々の方法が提案されている(例えば、特許文献1参照)。 Various authentication methods based on password authentication have been put to practical use as methods for ensuring security when accessing a computer or a communication network. There are fixed passwords and one-time passwords (hereinafter referred to as OTP) as passwords used. However, in the authentication method using fixed passwords, the password is broken using a password cracking tool, etc. There is a disadvantage of being easily accessible. On the other hand, the authentication method based on OTP has a feature that unauthorized access is less likely because authentication is performed using a temporary password that changes with time, and various methods have been proposed (for example, Patent Document 1). reference).
OTP認証方式も用いた認証システムは、OTPを生成するOTP生成器(所謂、トークン)と、認証を行う認証サーバとから構成される。OTP生成器は、内蔵するROM(Read Only Memory)等の記憶手段に、一のユニークなコード情報(以下、シード情報という)を記憶しており、このシード情報と内蔵する計時手段により計時された現在の時刻情報とを、所定のコード化アルゴリズムにより演算することで識別情報、即ち、OTPを生成する。認証システムの利用者たるユーザは、所望するサーバやシステムにログインする際に、ログインID(ユーザID)とともに、生成されたOTPをPC(Personal Computer)等の端末装置を用いて入力することになる。 An authentication system that also uses an OTP authentication method includes an OTP generator (so-called token) that generates an OTP and an authentication server that performs authentication. The OTP generator stores one unique code information (hereinafter referred to as seed information) in a storage means such as a built-in ROM (Read Only Memory), and is timed by this seed information and a built-in timing means. Identification information, that is, OTP is generated by calculating current time information by a predetermined encoding algorithm. When logging in to a desired server or system, a user who is a user of the authentication system inputs the generated OTP together with a login ID (user ID) using a terminal device such as a PC (Personal Computer). .
一方、認証サーバには、OTP生成器に記憶されたシード情報と同一のシード情報が記憶されている。つまり、一のシード情報を、OTP生成器と認証サーバとが夫々記憶するようになっており、認証サーバには、ユーザに配布されたOTP生成器の数のシード情報が記憶される。認証サーバは、ログインを行ったユーザのOTP生成器に対応するシード情報と、内蔵する計時手段により計時された現在の時刻情報とを、該OTP生成器と同一のコード化アルゴリズムにより演算することで、照合用のOTPを生成し、この照合用OTPとユーザから入力されたOTPとを照合することで、ユーザ認証を行っている。
上述したように、従来のOTP認証方式を用いた認証システムでは、OTP生成器に記憶されたシード情報を、認証サーバに記憶させる必要がある。例えば、企業内で社員が自社又は他社の企業サーバにアクセスする場合等には、企業サーバと社員の端末との間に認証サーバを置き、社員毎に固有のシード情報を生成し、このシード情報をOTP生成器と認証サーバとに予め設定するような運用が行われている。 As described above, in the authentication system using the conventional OTP authentication method, the seed information stored in the OTP generator needs to be stored in the authentication server. For example, when an employee accesses a company server of the company or another company within the company, an authentication server is placed between the company server and the employee's terminal, and unique seed information is generated for each employee. Is set in advance in the OTP generator and the authentication server.
しかしながら、上記認証システムを利用するユーザ数が不特定多数であるような場合、その運用に係る手続きが煩雑となり、実用性に欠けるという問題がある。例えば、一般のユーザがネットショッピングでクレジット決済をするような場面において、本人認証の要求にOTP認証方式で応えようとすると、ユーザの数に対応した不特定多数のシード情報の夫々を、各OTP生成器とクレジット会社の認証サーバに予め設定する必要があるため、その運用・管理にかかる手続きは著しく煩雑となる。
また、通常ログイン先となる各サービス提供会社のサーバ又はシステム毎にシード情報は異なるため、ユーザはログイン先に応じた数のシード情報、即ち、OTP生成器を所有する必要がある。そのため、ユーザは、ログイン先に応じてOTP生成器を使い分ける必要があり、その利用に係る手続きは煩雑となっている。
However, when the number of users using the authentication system is an unspecified number, there is a problem that the procedure for its operation becomes complicated and lacks practicality. For example, in a situation where a general user makes a credit payment in online shopping, if an OTP authentication method is used to respond to a request for identity authentication, each of the OTPs corresponding to the number of users is assigned to each OTP. Since it is necessary to set in advance in the generator and the authentication server of the credit company, the procedure for its operation and management becomes extremely complicated.
In addition, since the seed information is different for each server or system of each service provider company that is normally the login destination, the user needs to own the number of seed information corresponding to the login destination, that is, the OTP generator. For this reason, the user needs to use different OTP generators according to the login destination, and the procedure for using the OTP generator is complicated.
本発明の課題は、ワンタイムパスワードによる認証方式を用いた認証システムにおいて、シード情報の運用、利用に係る利便性を向上させることである。 An object of the present invention is to improve convenience related to operation and use of seed information in an authentication system using an authentication method using a one-time password.
請求項1記載の発明は、一のシード情報を元に識別情報生成装置により生成された識別情報と、前記シード情報と同一のシード情報を元に生成された照合用の識別情報と、を照合し認証を行う複数の認証サーバに通信回線を介して接続されたシード情報管理サーバであって、複数の前記識別情報生成装置毎に割り当てられた固有IDと、各識別情報生成装置が記憶する複数のシード情報と、当該複数のシード情報の夫々に対応する複数の選択情報と、を対応付けて記憶するシード情報記憶手段と、前記認証サーバから特定の固有IDと、当該認証サーバに割り当てられた選択情報とを検索キーとする指示情報を受信する受信手段と、前記受信された指示情報に対応するシード情報を前記シード情報記憶手段に記憶された複数のシード情報から検索し、該当するシード情報を読み出す読出手段と、前記読み出されたシード情報を前記認証サーバに送信する送信手段と、を備えたことを特徴とする。 According to the first aspect of the present invention, the identification information generated by the identification information generation device based on one seed information is compared with the identification information for verification generated based on the same seed information as the seed information. A seed information management server connected via a communication line to a plurality of authentication servers that perform authentication, and a plurality of unique IDs assigned to the plurality of identification information generation apparatuses and a plurality of identification information generation apparatuses stored therein Seed information storage means for associating and storing a plurality of selection information corresponding to each of the plurality of seed information, a specific unique ID from the authentication server, and the authentication server assigned to the authentication server Receiving means for receiving instruction information using selection information as a search key; and seed information corresponding to the received instruction information from a plurality of seed information stored in the seed information storage means And search, reading means for reading out the seed information applicable, characterized in that the read seed information was provided with a transmission unit that transmits to the authentication server.
請求項4記載の発明は、請求項1〜3のいずれか記載のシード情報管理サーバと、当該シード情報管理サーバとアクセス端末とに通信回線を介して接続され、前記識別情報生成装置に記憶された複数のシード情報のうち、一のシード情報を元に生成された識別情報と、当該シード情報と同一のシード情報を元に生成された照合用の識別情報とを照合し認証を行う認証サーバとからなる認証システムであって、前記認証サーバは、前記識別情報生成装置に固有の固有IDと当該識別情報生成装置を所持するユーザに関するユーザ情報とを前記アクセス端末から受信する固有ID受信手段と、前記認証サーバが所属する事業者毎に予め割り当てられた選択情報を記憶する選択情報記憶手段と、前記受信された固有IDを前記選択情報とともに前記シード情報管理サーバに送信する送信手段と、前記送信された固有ID及び選択情報に対応する一のシード情報を、前記シード情報管理サーバから受信するシード情報受信手段と、前記受信されたシード情報を前記ユーザ情報と対応付けて記憶するユーザ別シード情報記憶手段と、前記アクセス端末から前記ユーザ情報及び識別情報が送信された場合に、前記ユーザ情報に対応するシード情報を前記ユーザ別シード情報記憶手段から読み出し、この読み出したシード情報を元に前記照合用の識別情報を生成する生成手段と、前記生成された照合用の識別情報と前記送信された識別情報とを照合し、ユーザ認証を行う認証手段と、を備えたことを特徴とする。
The invention according to claim 4 is connected to the seed information management server according to any one of
請求項1記載の発明によれば、複数のシード情報が一の識別情報生成装置に記憶された場合であっても、これら複数のシード情報夫々に対応する認証サーバに応じたシード情報を各認証サーバに送信することができるため、シード情報の運用、利用に係る利便性を向上させることができる。 According to the first aspect of the present invention, even when a plurality of seed information is stored in one identification information generating device, the seed information corresponding to the authentication server corresponding to each of the plurality of seed information is authenticated. Since it can be transmitted to the server, the convenience related to the operation and use of the seed information can be improved.
請求項4記載の発明によれば、複数のシード情報が一の識別情報生成装置に記憶された場合であっても、これら複数のシード情報のうち、自己の認証サーバに応じた一のシード情報を記憶し、このシード情報に基づいて認証することができるため、シード情報の運用、利用に係る利便性を向上させることができる。 According to invention of Claim 4 , even if it is a case where several seed information is memorize | stored in one identification information production | generation apparatus, one seed information according to an own authentication server among these several seed information Can be stored and authenticated based on the seed information, so that the convenience of using and using the seed information can be improved.
以下、図面を参照して本発明を実施するための最良の形態について詳細に説明する。ただし、発明の範囲は図示例に限定されないものとする。 The best mode for carrying out the present invention will be described below in detail with reference to the drawings. However, the scope of the invention is not limited to the illustrated examples.
まず、図1を参照して本実施の形態における認証システム100の構成を説明する。図1に示すとおり、認証システム100は、OTP生成器10、アクセス端末20、事業者認証サーバ30、シード情報管理サーバ40等から構成され、少なくともアクセス端末20と事業者認証サーバ30、事業者認証サーバ30とシード情報管理サーバ40が、ネットワークNを介して相互にデータの送受信が可能に接続されている。なお、認証システム100を構成する各機器の数量は、図示例に限定されないものとし、例えば、夫々事業者の異なる複数の事業者認証サーバ30を備えた態様としてもよい。また、各機器がなすネットワーク構成は、図示例に限定されないものとし、例えば、事業者認証サーバ30とシード情報管理サーバ40とが他のネットワークを介して接続される態様としてもよい。
First, the configuration of the
ネットワークNは、例えば、WAN(Wide Area Network)であるが、LAN(Local Area Network)を含んでもよく、電話回線網、ISDN(Integrated Services Digital Network)回線網、広帯域通信回線網、専用線、移動体通信網、通信衛星回線、CATV(Community Antenna TeleVision)回線、光通信回線、無線通信回線と、それらを接続するインターネットサービスプロバイダ等を含む構成としてもよい。なお、各装置の間のデータ通信プロトコルは、特に限らないものとするが、例えば、TLS/SSL、S/MIME、IPsec等のセキュリティを考慮したプロトコルを使用することが好ましい。また、独自のプロトコルを使用することとしてもよい。 The network N is, for example, a WAN (Wide Area Network), but may include a LAN (Local Area Network), and includes a telephone line network, an ISDN (Integrated Services Digital Network) line network, a broadband communication line network, a dedicated line, and a mobile line. It may be configured to include a body communication network, a communication satellite line, a CATV (Community Antenna TeleVision) line, an optical communication line, a wireless communication line, and an Internet service provider that connects them. The data communication protocol between the devices is not particularly limited. For example, it is preferable to use a protocol that takes security into consideration, such as TLS / SSL, S / MIME, and IPsec. Also, a unique protocol may be used.
OTP生成器10は、各ユーザに配布される所謂トークンであって、操作部12を介ししたユーザからの操作に応じ、シード情報及び時刻情報から認証システム100におけるユーザの識別情報となるOTPを生成する。
The
図2は、OTP生成器10の内部構成を示したブロック図である。図2に示すとおり、OTP生成器10は、CPU11、操作部12、表示部13、ROM14、RAM15、計時部16、記憶部17、I/F部18等により構成され、各部はバス19を介して接続される。
FIG. 2 is a block diagram showing an internal configuration of the
CPU11は、RAM15を作業領域として、ROM14に予め記憶された各種プログラムとの協働により各種処理を実行し、OTP生成器10を構成する各部の動作を統括的に制御する。
The CPU 11 uses the
操作部12は、各種入力キー等を備え、ユーザからの操作により入力される入力信号をCPU11に出力する。表示部13は、LCD(Liquid Crystal Display)やELD(Electro Luminescence Display)パネル等により構成され、CPU11からの表示信号に基づいて各種情報を表示する。また、表示部13は、操作部12と一体的にタッチパネルを構成する態様としてもよい。
The
ROM14は、OTP生成器10の動作に必要なプログラム及び当該プログラムの実行に係るデータを記憶する。ROM14は、図2に示すように、システムプログラム141、OTP生成プログラム142、シード番号管理プログラム143、シードテーブル144、OTP生成器固有ID145を記憶する。
The
システムプログラム141は、OTP生成器としての基本的な諸機能を実現させるためのプログラムである。CPU11は、このシステムプログラム141との協働により、例えば、記憶部17への各種データの読み書き制御、表示部13への表示制御、操作部12の所定の入力キーに所定の機能の実行を割り当てる入力制御等を実現する。
The
OTP生成プログラム142は、OTPの生成に係る諸機能を実現させるためのプログラムである。CPU11は、このOTP生成プログラム142との協働により、一のシード情報及び計時部16から入力される時刻情報を元に所定のアルゴリズムに基づいてOTPを生成する。
The
シード番号管理プログラム143は、記憶部17に記憶されるシード番号管理テーブル171の登録・管理に係る諸機能を実現させるためのプログラムである。CPU11は、このシード番号管理プログラム143との協働により、後述するシード番号管理処理(図21参照)を実行する。
The seed
シードテーブル144には、複数のシード情報が当該複数のシード情報の夫々に対応する複数のシード番号(選択情報)と対応付けて登録されている。 In the seed table 144, a plurality of seed information is registered in association with a plurality of seed numbers (selection information) corresponding to each of the plurality of seed information.
図3は、ROM14に記憶されたシードテーブル144の一例を示した図である。図3に示すように、シードテーブル144には、複数のシード情報(1234567890等)と、当該複数のシード情報の夫々に対応する複数のシード番号(1〜20)とが対応付けて登録されている。なお、シードテーブル144に登録されるシード情報の数量は、図示例に限定されず、特に問わないものとする。CPU11は、ユーザから操作部12を介して特定のシード番号が選択されると、選択されたシード番号に対応するシード情報をシードテーブル144から読み出し、上述したOTP生成プログラム142との協働により、この読み出したシード情報に基づいてOTPを生成する。また、CPU11は、操作部12を介した所定のユーザ操作に応じて、この生成したOTPをI/F部18を介して外部機器に送信又は表示部13に表示させる。
FIG. 3 is a diagram showing an example of the seed table 144 stored in the
OTP生成器固有ID145は、各OTP生成器10に割り当てられた製造番号等の固有IDである。CPU11は、操作部12を介した所定のユーザ操作に応じて、ROM14からOTP生成器固有ID145を読み出し、このOTP生成器固有ID145をI/F部18を介して外部機器に送信又は表示部13に表示させる。
The OTP generator
RAM15は、CPU11により実行制御される各種処理において、ROM14から読み出されたプログラム、入力、若しくは出力データ及びパラメータ等の一時的な格納領域となる。
The
計時部16は、常時一定周波数を発信する不図示の水晶発振器によるクロック信号を基準に現在時刻を計測し、この計測した時刻情報をCPU11に出力する。
The
記憶部17は、磁気的、光学的記録媒体若しくは半導体メモリで構成される不揮発性の記憶媒体を備え、後述するシード番号管理処理(図21参照)に係るシード番号管理テーブル171を記憶する。なお、この記憶媒体は、OTP生成器10に着脱自在に装着可能な構成としてもよい。
The
シード番号管理テーブル171には、シードテーブル144に格納された各シード情報に対応するシード番号が、各シード情報を元に生成されるOTPの認証を行う事業者サーバに関する事業者識別情報と対応付けて登録されている。ここで、事業者識別情報は、後述するシード番号管理処理(図21参照)においてユーザから操作部12を介して入力される情報であって、例えば、各事業者サーバが所属する事業者名等を入力することができるようになっている。
In the seed number management table 171, the seed number corresponding to each seed information stored in the seed table 144 is associated with the operator identification information regarding the operator server that performs OTP authentication generated based on each seed information. Registered. Here, the business entity identification information is information input from the user via the
図4は、シード番号管理テーブル171の一例を示した図である。図4に示すように、シード番号管理テーブル171には、シード番号と、当該シード番号にかかる事業者識別情報とが対応付けて登録されている。CPU11は、操作部12からのユーザ操作に応じて、シード番号管理テーブル171を参照し、特定のシード番号と当該シード番号に対応付けられた事業者名をI/F部18を介して外部機器に送信又は表示部13に表示させる。
FIG. 4 is a diagram showing an example of the seed number management table 171. As shown in FIG. 4, in the seed number management table 171, a seed number and business operator identification information related to the seed number are registered in association with each other. The CPU 11 refers to the seed number management table 171 in response to a user operation from the
I/F部18は、CPU11の制御の下、OTP生成器10とアクセス端末20等の外部の機器との間で授受さされる各種情報の通信制御を行う通信インターフェイスである。I/F部18としては、例えば、USB(Universal Serial Bus)ポートやRS−232C端子をはじめとするシリアル入出力端子、パラレル入出力端子、SCSIインターフェイス、IrDA(Infrared Data Association)規格に準じた赤外線通信装置、BlueTooth規格に準じた無線通信装置等が挙げられ、有線または無線通信手段によりアクセス端末20のI/F部27と接続することが可能となっている。具体的には、I/F部18を介して、OTP生成器10からシード番号やOTP生成器固有ID、OTP等の各種情報がアクセス端末20に送信される。
The I /
アクセス端末20は、認証システム100を利用するユーザが操作するPC等の端末であって、操作部22を介して入力されるOTP生成器固有IDやOTP、ログイン名等の情報を事業者認証サーバ30に送信することで、当該事業者認証サーバ30とのアクセスを行う。
The
図5は、アクセス端末20の内部構成を示したブロック図である。図5に示すとおり、アクセス端末20は、CPU21、操作部22、表示部23、記憶部24、RAM25、通信部26、I/F部27等により構成され、各部はバス28を介して接続される。
FIG. 5 is a block diagram showing the internal configuration of the
CPU21は、RAM25を作業領域として、記憶部24に予め記憶された各種プログラムとの協働により各種処理を実行し、アクセス端末20を構成する各部の動作を統括的に制御する。
The
操作部22は、各種入力キー等を備え、ユーザからの操作により入力される入力信号をCPU21に出力する。表示部23は、LCDやELDパネル等により構成され、CPU21からの表示信号に基づいて各種情報を表示する。また、表示部23は、操作部22と一体的にタッチパネルを構成する態様としてもよい。
The
記憶部24は、磁気的、光学的記録媒体若しくは半導体メモリで構成される不揮発性の記憶媒体を備え、アクセス端末20の動作に必要なプログラム及び当該プログラムの実行に係るデータを記憶する。記憶部24は、図5に示すように、システムプログラム241を記憶する。
The
システムプログラム241は、アクセス端末としての基本的な諸機能を実現させるためのプログラムであって、CPU21は、このシステムプログラム241との協働により、例えば、記憶部24への各種データの読み書き制御、表示部23への表示制御、操作部22の所定の入力キーに所定の機能の実行を割り当てる入力制御等を実現する。また、CPU21は、システムプログラム241との協働により、事業者認証サーバ30にアクセス(接続)し、認証に供する画面や情報等を享受する情報享受機能を実現し、例えば、Webクライアントとしての機能を実現する。
The
RAM25は、CPU21により実行制御される各種処理において、記憶部24から読み出されたプログラム、入力、若しくは出力データ及びパラメータ等の一時的な格納領域となる。
The
通信部26は、モデム(MODEM:MOdulator/DEModulator)、ターミナルアダプタ(Terminal Adapter)、LANアダプタ等のネットワークインターフェースであって、CPU11の制御の下、ネットワークNに接続された他の機器(事業者認証サーバ30等)との間で授受される各種情報の通信制御を行う。
The
I/F部27は、CPU21の制御の下、アクセス端末20とOTP生成器10等の外部の機器との間で授受さされる各種情報の通信制御を行う通信インターフェイスである。I/F部27としては、例えば、USBポートやRS−232C端子をはじめとするシリアル入出力端子、パラレル入出力端子、SCSIインターフェイス、IrDA規格に準じた赤外線通信装置、BlueTooth規格に準じた無線通信装置等が挙げられ、有線又は無線通信手段によりOTP生成器10のI/F部18と接続することが可能となっている。なお、OTP生成器10のI/F部18と接続する場合、両I/F部は共通する規格に準じた通信インターフェイスを用いることが好ましい。
The I /
事業者認証サーバ30は、各事業者に所属する認証サーバである。事業者認証サーバ30は、アクセス端末20から送信されるログイン情報に基づいて、当該アクセス端末20のユーザが、後述するユーザ登録処理(図18参照)により登録されたユーザか否かを判定し、アクセス制御を行う。
The business
図6は、事業者認証サーバ30の内部構成を示したブロック図である。図6に示すとおり、事業者認証サーバ30は、CPU31、操作部32、表示部33、記憶部34、RAM35、計時部36、通信部37等により構成され、各部はバス38を介して接続される。
FIG. 6 is a block diagram showing the internal configuration of the
CPU31は、RAM35を作業領域として、記憶部34に予め記憶された各種プログラムとの協働により各種処理を実行し、事業者認証サーバ30を構成する各部の動作を統括的に制御する。
The
操作部32は、各種入力キー等を備え、ユーザからの操作により入力される入力信号をCPU31に出力する。表示部33は、LCDやELDパネル等により構成され、CPU31からの表示信号に基づいて各種情報を表示する。また、表示部33は、操作部32と一体的にタッチパネルを構成する態様としてもよい。
The
記憶部34は、磁気的、光学的記録媒体若しくは半導体メモリで構成される不揮発性の記憶媒体を備え、事業者認証サーバ30の動作に必要なプログラム及び当該プログラムの実行に係るデータを記憶する。
The
記憶部34は、図6に示すように、システムプログラム341、OTP生成プログラム342、ユーザ別シード情報テーブル343、事業者固有シード番号344、秘密鍵345を記憶する。
As illustrated in FIG. 6, the
システムプログラム341は、事業者認証サーバ30としての基本的な諸機能を実現させるためのプログラムである。CPU31は、このシステムプログラム341との協働により、例えば、記憶部34への各種データの読み書き制御、表示部33への表示制御、操作部32の所定の入力キーに所定の機能の実行を割り当てる入力制御等を実現する。また、CPU31は、システムプログラム341との協働により、認証に供する画面や情報等をアクセス端末20に提供する情報提供機能を実現し、例えば、Webサーバとしての機能を実現する。
The
OTP生成プログラム342は、OTPの生成に係る諸機能を実現させるためのプログラムである。CPU31は、このOTP生成プログラム342との協働により、一のシード情報及び計時部36から入力される時刻情報を元に所定のアルゴリズムに基づいてOTPを生成する。
The
ユーザ別シード情報テーブル343には、アクセス端末20を介して登録された各ユーザのユーザ情報が登録される。ここで、ユーザ情報は、各ユーザを識別するログインID(ユーザID)、ユーザ登録処理時に入力されたOTP生成器固有ID、OTP生成の元となるシード情報、ユーザの氏名等の個人情報を含み、これら各情報がユーザ(ログインID)毎に対応付けて登録されている。
In the user-specific seed information table 343, user information of each user registered through the
図7は、記憶部34に記憶されたユーザ別シード情報テーブル343の一例を示した図である。図7に示すように、ユーザ別シード情報テーブル343には、一のユーザ(ログインID:XYZ123)に関係する、OTP生成器固有ID(ABCD1234)、シード情報(1234567890)、氏名(鈴木太郎)等の情報が、対応付けて登録されている。
FIG. 7 is a diagram illustrating an example of the seed information table 343 for each user stored in the
事業者固有シード番号344は、各事業者に予め割り当てられたシード番号(選択情報)であって、事業者毎に固有のシード番号が割り当てられている。事業者固有シード番号344は、各OTP生成器10のシードテーブル144に登録されたシード番号と対応しており、事業者固有シード番号344が示す数値と同値となるシードテーブル144のシード番号に対応付けられたシード情報が、この事業者固有シード番号344の事業者認証サーバ30にログインする際に生成されるOTPの元となる。
The business operator
秘密鍵345は、公開鍵暗号方式における「秘密鍵」に相当する情報である。なお、秘密鍵345に対応する公開鍵は、シード情報管理サーバ40の記憶部44に予め記憶される。CPU31は、公開鍵により暗号化されたシード情報をシード情報管理サーバ40から受信すると、この暗号化されたシード情報を当該公開鍵に対応する秘密鍵345により復号化し、この復号化されたシード情報を当該シード情報に係るユーザ情報に対応付けてユーザ別シード情報テーブル343に登録する。
The
RAM35は、CPU31により実行制御される各種処理において、記憶部34から読み出されたプログラム、入力、若しくは出力データ及びパラメータ等の一時的な格納領域となる。
The
計時部36は、常時一定周波数を発信する不図示の水晶発振器によるクロック信号を基準に現在時刻を計測し、この計測した時刻情報をCPU31に出力する。なお、計時部16と計時部36とが計時する時刻は同期しているものとする。
The
通信部37は、モデム、ターミナルアダプタ、LANアダプタ等のネットワークインターフェースであって、CPU31の制御の下、ネットワークNに接続された他の機器(アクセス端末20、シード情報管理サーバ40等)との間で授受される各種情報の通信制御を行う。
The
シード情報管理サーバ40は、各OTP生成器10に記憶された複数のシード情報を記憶し、各事業者に対応したシード番号のシード情報を、事業者認証サーバ30に提供する。
The seed
図8は、シード情報管理サーバ40の内部構成を示したブロック図である。図8に示すとおり、シード情報管理サーバ40は、CPU41、操作部42、表示部43、記憶部44、RAM45、通信部46等により構成され、各部はバス47を介して接続される。
FIG. 8 is a block diagram showing the internal configuration of the seed
CPU41は、RAM45を作業領域として、記憶部44に予め記憶された各種プログラムとの協働により各種処理を実行し、シード情報管理サーバ40を構成する各部の動作を統括的に制御する。
The
操作部42は、各種入力キー等を備え、ユーザからの操作により入力される入力信号をCPU41に出力する。表示部43は、LCDやELDパネル等により構成され、CPU41からの表示信号に基づいて各種情報を表示する。また、表示部43は、操作部42と一体的にタッチパネルを構成する態様としてもよい。
The
記憶部44は、磁気的、光学的記録媒体若しくは半導体メモリで構成される不揮発性の記憶媒体を備え、シード情報管理サーバ40の動作に必要なプログラム及び当該プログラムの実行に係るデータを記憶する。
The
記憶部44は、図8に示すように、システムプログラム441、事業者情報テーブル442、シード情報管理テーブル443を記憶する。
As shown in FIG. 8, the
システムプログラム441は、シード情報管理サーバ40としての基本的な諸機能を実現させるためのプログラムである。CPU41は、このシステムプログラム441との協働により、例えば、記憶部44への各種データの読み書き制御、表示部43への表示制御、操作部42の所定の入力キーに所定の機能の実行を割り当てる入力制御等を実現する。
The
事業者情報テーブル442には、認証システム100に係る各事業者に関する事業者情報が事業者毎に対応付けて登録されている。ここで、事業者情報には、各事業者に予め割り当てられたシード番号(事業者固有シード番号)、事業者名、各事業者に所属する事業者認証サーバ30に記憶された秘密鍵345に対応する公開鍵、事業者認証サーバ30のドメイン名、IPアドレス等が含まれており、これら各情報が事業者毎に対応付けて登録されている。
In the business operator information table 442, business enterprise information related to each business enterprise related to the
図9は、記憶部44に記憶された事業者情報テーブル442の一例を示した図である。図9に示すように、事業者情報テーブル442には、事業者毎に、シード番号と、事業者名等の事業者関連情報と、公開鍵とが対応付けて登録されている。ここで、登録されたシード番号は、OTP生成器10のROM14に記憶されたシードテーブル144のシード番号と対応しており、このシード番号に対応するシード情報を元に生成されたOTPが、当該シード番号に対応する事業者の事業者認証サーバ30へのログイン時に用いられるようになっている。
FIG. 9 is a diagram illustrating an example of the provider information table 442 stored in the
シード情報管理テーブル443には、各OTP生成器10のROM14に記憶されたシードテーブル144(シード情報とシード番号)とOTP生成器固有ID145とが対応付けて登録されている。
In the seed information management table 443, a seed table 144 (seed information and seed number) stored in the
図10は、記憶部44に記憶されたシード情報管理テーブル443の一例を示した図である。図10に示すように、シード情報管理テーブル443には、各OTP生成器10に係るOTP生成器固有IDとシード情報とシード番号とが対応付けて格納されている。
FIG. 10 is a diagram illustrating an example of the seed information management table 443 stored in the
RAM45は、CPU41により実行制御される各種処理において、記憶部44から読み出されたプログラム、入力、若しくは出力データ及びパラメータ等の一時的な格納領域となる。
The
通信部46は、モデム、ターミナルアダプタ、LANアダプタ等のネットワークインターフェースであって、CPU41の制御の下、ネットワークNに接続された他の機器(事業者認証サーバ30等)との間で授受される各種情報の通信制御を行う。
The
<認証システム100の環境設定>
次に、図11〜15を参照して、認証システム100を構成する各機器において、認証に係る環境が設定されるまでの工程を説明する。
<Environment setting of
Next, with reference to FIGS. 11 to 15, a process until the environment related to authentication is set in each device configuring the
図11は、OTP生成器10、事業者認証サーバ30及びシード情報管理サーバ40において、認証に係る環境が設定されるまでの工程を模式的に示した図である。
図11に示すように、OTP生成器10を製造するOTP生成器製造メーカ1では、OTP生成器10の製造工程において、各OTP生成器10のROMにシードテーブル144及びOTP生成器固有ID145をROM14に記憶させると、各OTP生成器10に記憶させたシードテーブル144及びOTP生成器固有ID145を対応付けてシード情報管理サーバ40に通知する。
FIG. 11 is a diagram schematically illustrating a process until an environment related to authentication is set in the
As shown in FIG. 11, in the
図12は、OTP生成器製造メーカ1にて行われる、OTP生成器の製造に係る処理の手順を示したフローチャートである。
OTP生成器の製造工程において、OTP生成器本体の製造が完了すると(ステップS11)、このOTP生成器10のROM14に、複数のシード情報と当該複数のシード情報の夫々に対応する複数のシード番号とを対応付けたシードテーブル144が記憶されるとともに(ステップS12)、当該OTP生成器10に固有の製造番号等の固有IDがOTP生成器固有ID145として記憶される(ステップS13)。
FIG. 12 is a flowchart showing a procedure of processing related to manufacture of the OTP generator performed by the
In the manufacturing process of the OTP generator, when the manufacturing of the OTP generator main body is completed (step S11), a plurality of seed numbers corresponding to each of the plurality of seed information and the plurality of seed information are stored in the
次いで、ステップS12及びS13で記憶されたシードテーブル144及びOTP生成器固有ID145が対応付けて、シード情報管理サーバ40に通知され(ステップS14)、本処理は終了する。
Next, the seed table 144 and the OTP generator
なお、ステップS12において一のOTP生成器10に記憶される複数のシード情報は、互いに異なるものとし、より好ましくは、他のOTP生成器に記憶される複数のシード情報の何れとも異なることが好ましい。
Note that the plurality of seed information stored in one
図11に戻り、OTP生成器製造メーカ1からシードテーブル144及びOTP生成器固有ID145を通知されたシード情報管理サーバ40では、このOTP生成器固有ID145とシードテーブル144とを対応付け、記憶部44のシード情報管理テーブル443に登録する。
Returning to FIG. 11, the seed
図13は、シード情報管理サーバ40にて行われる、シード情報管理テーブル443の登録に係る処理の手順を示したフローチャートである。なお、本処理は、CPU41と、記憶部44に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 13 is a flowchart showing a procedure of processing related to registration of the seed information management table 443 performed in the seed
OTP生成器製造メーカ1からシードテーブル144及びOTP生成器固有ID145が操作部42、通信部46等を介して通知(入力)されると(ステップS21)、このOTP生成器固有ID145とシードテーブル144とを対応付け、シード情報管理サーバ40の記憶部44に、シード情報管理テーブル443として記憶され(ステップS22)、本処理は終了する。
When the
図11に戻り、各事業者3(事業者A〜C)にシード番号の使用権が割り当てられると、シード情報管理サーバ40では、シード番号と、当該シード番号に割り当てられた事業者名、事業者認証サーバ30のドメイン名、IPアドレス等の事業者に関する事業者関連情報と、当該事業者に所属する事業者認証サーバ30に記憶された秘密鍵345に対応する公開鍵とを対応付け、事業者情報テーブル442に登録する。
Returning to FIG. 11, when the right to use the seed number is assigned to each business operator 3 (business operators A to C), the seed
図14は、シード情報管理サーバ40にて行われる、事業者情報テーブル442の登録に係る処理の手順を示したフローチャートである。なお、本処理は、CPU41と、記憶部44に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 14 is a flowchart showing a procedure of processing related to registration of the provider information table 442 performed in the seed
まず、各事業者に割り当てられたシード番号が操作部42、通信部46等を介して通知(入力)される(ステップS31)。次いで、各事業者に関する関連情報が入力され(ステップS32)、各事業者に所属する事業者認証サーバ30に記憶された公開鍵が入力されると(ステップS33)、入力されたシード番号、公開鍵、事業者関連情報とが、事業者毎に対応付けられ、記憶部44の事業者情報テーブル442に登録されて(ステップS34)、本処理は終了する。
First, the seed number assigned to each business operator is notified (input) via the
一方、シード番号を割り当てられた事業者に所属する事業者認証サーバ30では、当該事業者に割り当てられたシード番号を、事業者固有シード番号344として記憶部44に記憶する。
On the other hand, the
上述したように、シード情報管理サーバ40(事業者情報テーブル442)と事業者認証サーバ30とに各事業者に応じたシード番号が定義付けられることにより、各OTP生成器10に記憶された各シード番号は、特定の事業者用と定義付けられることになる。例えば、シード番号「2」を事業者名「ABC銀行」に割り当て、事業者情報テーブル442に対応付けて記憶した場合には、図15に示すように、各OTP生成器10に記憶されたシード番号「2」は「ABC銀行」用と定義される。即ち、シード番号「2」に対応するシード情報を元に生成されるOTPを、「ABC銀行」に所属する事業者認証サーバ30へのアクセス時に用いることになる。
As described above, each seed stored in each
<ユーザ登録時の動作について>
次に、図16〜20を参照して、事業者認証サーバ30にユーザ情報の登録を行う際の動作について説明する。
<Operation during user registration>
Next, with reference to FIGS. 16-20, the operation | movement at the time of registering user information in the
図16は、ユーザ情報の登録時において、OTP生成器10で実行される処理を示したフローチャートである。なお、本処理は、CPU11と、ROM14に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 16 is a flowchart showing processing executed by the
まず、操作部12を介して、OTP生成器10のOTP生成器固有IDの表示を指示する旨の操作信号が入力されると(ステップS41)、ROM14に記憶されたOTP生成器固有ID145が読み出される(ステップS42)。そして、この読み出されたOTP生成器固有ID145が、図17に示すように表示部13に表示され(ステップS43)、本処理を終了する。
First, when an operation signal for instructing display of the OTP generator unique ID of the
なお、本実施の形態では、OTP生成器固有ID145を表示部13に出力することとしたが、これに限らず、I/F部18にアクセス端末20が接続されている場合には、当該I/F部18を介してアクセス端末20に出力する態様としてもよい。
In this embodiment, the OTP generator
図18は、ユーザ情報の登録に係る処理(ユーザ登録処理)の手順を示したラダーチャートである。なお、同図においてステップS51〜S56の各処理は、アクセス端末20のCPU21と記憶部24に記憶された各種プログラムとの協働により実行される処理を示しており、ステップS61〜S68の各処理は、事業者認証サーバ30のCPU31と記憶部34に記憶された各種プログラムとの協働により実行される処理を示しており、ステップS71〜S73の各処理は、シード情報管理サーバ40のCPU41と記憶部44に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 18 is a ladder chart showing a procedure of processing related to user information registration (user registration processing). In addition, each process of step S51-S56 in the same figure has shown the process performed by cooperation with CPU21 of the
まず、アクセス端末20では、操作部22を介した所定のユーザ操作に応じて、特定の事業者認証サーバ30にユーザ情報の登録を行う旨の指示情報(ユーザ登録要求情報)が送信される(ステップS51)。
First, in the
事業者認証サーバ30では、アクセス端末20からユーザ登録要求情報が受信されると(ステップS61)、ユーザの氏名やログインID、OTP生成器固有ID等を含んだユーザ情報の入力を促す画面の表示を指示する指示情報(登録画面表示情報)がアクセス端末20に送信される(ステップS62)。
When the user authentication request information is received from the access terminal 20 (step S61), the
一方、アクセス端末20では、事業者認証サーバ30から登録画面表示情報が受信されると(ステップS52)、この登録画面表示情報に基づき、表示部13にユーザ情報の入力を促す画面が表示される(ステップS53)。続いて、表示部13に表示された画面に基づき、操作部12を介してユーザの氏名やログインID、OTP生成器固有ID等のユーザ情報が入力されると、この入力されたユーザ情報が事業者認証サーバ30へと送信される(ステップS54)。ここで、ユーザ情報として入力されるOTP生成器固有IDは、図16の処理においてOTP生成器10の表示部13に表示されたOTP生成器固有IDが入力されるものとするが、その入力態様は特に問わず、ユーザから操作部22を介して入力される態様としてもよいし、I/F部27にOTP生成器10が接続されている場合には、当該OTP生成器10から入力される態様としてもよい。
On the other hand, in the
事業者認証サーバ30では、アクセス端末20からユーザ情報が受信されると(ステップS63)、本事業者認証サーバ30に割り当てられた事業者固有シード番号344が記憶部34から読み出され(ステップS64)、ユーザ情報に含まれたOTP生成器固有IDと、読み出された事業者固有シード番号とが検索キーとして、シード情報管理サーバ40に送信される(ステップS65)。
When the
シード情報管理サーバ40では、事業者認証サーバ30から検索キーが受信されると(ステップS71)、シード情報検索処理(ステップS72)へと移行する。以下、図19を参照して、ステップS72のシード情報検索処理について説明する。
In the seed
図19は、シード情報検索処理の手順を示したフローチャートである。
まず。検索キーに含まれたOTP生成器固有ID及び事業者固有シード番号に対応するシード情報がシード情報管理テーブル443から検索され(ステップS721)、該当するシード情報がシード情報管理テーブル443から読み出される(ステップS722)。次いで、検索キーに含まれた事業者固有シード番号に対応する公開鍵が事業者情報テーブル442から検索され(ステップS723)、該当する公開鍵が事業者情報テーブル442から読み出されると(ステップS724)、この公開鍵に基づいてステップS722で読み出されたシード情報が暗号化され(ステップS725)、ステップS73へと移行する。
FIG. 19 is a flowchart showing the seed information search process.
First. The seed information corresponding to the OTP generator unique ID and the provider unique seed number included in the search key is retrieved from the seed information management table 443 (step S721), and the corresponding seed information is read from the seed information management table 443 ( Step S722). Next, the public key corresponding to the provider-specific seed number included in the search key is searched from the provider information table 442 (step S723), and the corresponding public key is read from the provider information table 442 (step S724). Based on the public key, the seed information read in step S722 is encrypted (step S725), and the process proceeds to step S73.
図18に戻り、ステップS725で暗号化されたシード情報(以下、暗号化済シード情報という)が、この検索キーを送信した事業者認証サーバ30に送信され(ステップS73)、シード情報管理サーバ40の処理は終了する。
Returning to FIG. 18, the seed information encrypted in step S725 (hereinafter referred to as encrypted seed information) is transmitted to the
このように、暗号化されたシード情報を事業者認証サーバ30に送信するため、シード情報に係るセキュリティを向上させることができる。
Thus, since the encrypted seed information is transmitted to the
一方、事業者認証サーバ30では、シード情報管理サーバ40から暗号化済シード情報が受信されると(ステップS66)、ユーザ情報登録処理(ステップS67)へと移行する。以下、図20を参照して、ステップS67のユーザ情報登録処理について説明する。
On the other hand, when the encrypted seed information is received from the seed information management server 40 (step S66), the business
図20は、ユーザ情報登録処理の手順を示したフローチャートである。
まず、記憶部34に記憶された秘密鍵345が読み出され(ステップS671)、この秘密鍵345に基づいて暗号化済シード情報からシード情報が復号化される(ステップS672)。続いて、復号化されたシード情報が、ステップS63で受信したユーザ情報と対応付けてユーザ別シード情報テーブル343に登録され(ステップS673)、ステップS68へと移行する。
FIG. 20 is a flowchart showing a procedure of user information registration processing.
First, the
図18に戻り、本事業者認証サーバ30に割り当てられた事業者固有シード番号344及び登録完了の表示を指示する指示情報(登録完了情報)が、アクセス端末20に送信され(ステップS68)、事業者認証サーバ30の処理は終了する。
Returning to FIG. 18, the operator-
アクセス端末20では、事業者認証サーバ30から登録完了情報が受信されると(ステップS55)、この登録完了情報に基づき、表示部13に事業者固有シード番号及び登録完了を通知する画面が表示され(ステップS57)、アクセス端末20の処理は終了する。
In the
上記の処理により、事業者認証サーバ30にユーザ情報が登録され、これ以降、このユーザ情報に係るユーザは、アクセス端末20から事業者認証サーバ30にログインすることが可能となる。
Through the above processing, user information is registered in the
上述したとおり、OTP生成器10の記憶部17には、シード番号管理テーブル171が記憶されており、ユーザは操作部12を介して、シード番号と当該シード番号に割り当てられた事業者に関する情報とをシード番号管理テーブル171に登録する指示をCPU11に入力することが可能となっている。この場合、ステップS56で表示された事業者固有シード番号に対応するシード番号に、ユーザ情報の登録を行った事業者認証サーバ30に関する情報(以下、事業者識別情報という)を登録する態様が好ましく、これにより、後述する事業者認証サーバ30へのログイン時において、各事業者認証サーバ30への接続の便宜を向上させることができる。
As described above, the seed number management table 171 is stored in the
図21は、シード番号管理テーブル171への登録に係る処理(シード番号管理処理)の手順を示したフローチャートである。なお、本処理は、CPU11と、ROM14に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 21 is a flowchart showing a procedure of processing (seed number management processing) related to registration in the seed number management table 171. This process indicates a process executed by the cooperation of the CPU 11 and various programs stored in the
まず、操作部12を介した所定のユーザ操作により、事業者識別情報の登録を行う旨の指示信号が入力されると(ステップS81)、シードテーブル144に登録された全てのシード番号が読み出され(ステップS82)、この読み出された全てのシード番号が、操作部12を介して選択可能な態様で表示部13に表示される(ステップS83)。
First, when an instruction signal for registering operator identification information is input by a predetermined user operation via the operation unit 12 (step S81), all seed numbers registered in the seed table 144 are read. Then, all the read seed numbers are displayed on the
ここで、操作部12を介した所定のユーザ操作により、特定のシード番号が選択され、その指示信号が入力されると(ステップS84)、続いて、事業者識別情報の入力を促す画面が表示部13に表示される(ステップS85)。
Here, when a specific seed number is selected by a predetermined user operation via the
続いて、操作部12を介した所定のユーザ操作により、事業者識別情報が入力され、その指示信号が入力されると(ステップS86)、この入力された事業者識別情報と、ステップS84で選択されたシード番号とが対応付けて、シード番号管理テーブル171に登録され(ステップS87)、本処理を終了する。
Subsequently, when the operator identification information is input by a predetermined user operation via the
なお、本実施の形態では、シードテーブル144に登録された全てのシード番号から事業者識別情報を対応付けるシード番号を選択する態様としたが、これに限らず、例えば、上述したユーザ登録処理のステップS57においてOTP生成器10の表示部13に表示された事業者固有シード番号をOTP生成器10におけるシード番号とし、このシード番号と事業者識別情報とを対応付けてシード番号管理テーブル171に登録する態様としてもよい。
In the present embodiment, the seed number associated with the operator identification information is selected from all the seed numbers registered in the seed table 144. However, the present invention is not limited to this. For example, the step of the user registration process described above is used. In S57, the operator-specific seed number displayed on the
このように、シード情報管理サーバ40では、複数のシード情報が一のOTP生成器10に記憶された場合であっても、これら複数のシード情報夫々に対応する事業者認証サーバ30に適切なシード情報を送信することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
また、事業者認証サーバ30では、複数のシード情報が一のOTP生成器10に記憶された場合であっても、これら複数のシード情報のうち、自己の事業者認証サーバ30に応じた一のシード情報を記憶し、このシード情報に基づいて認証することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
As described above, in the seed
Further, even if a plurality of seed information is stored in one
<ログイン時の動作について>
次に、図22〜24を参照して、アクセス端末20から事業者認証サーバ30にログインを行う際の動作について説明する。
<Operation at login>
Next, with reference to FIGS. 22-24, the operation | movement at the time of logging into the
図22は、ログイン時において、OTP生成器10で実行される処理を示したフローチャートである。なお、本処理は、CPU11と、ROM14に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 22 is a flowchart showing processing executed by the
まず、操作部12を介した所定のユーザ操作により、OTPの生成を行う旨の指示情報が入力されると(ステップS91)、シードテーブル144に格納された全てのシード番号が読み出され(ステップS92)、この読み出された全てのシード番号が、操作部12を介して選択可能な態様で表示部13に表示される(ステップS93)。なお、読み出されたシード番号のうち、シード番号管理テーブル171に登録されたシード番号については、各シード番号に対応付けられた事業者識別情報をシード番号管理テーブル171から読み出し、対応するシード情報と併せて表示する態様としてもよい。
First, when instruction information for generating an OTP is input by a predetermined user operation via the operation unit 12 (step S91), all seed numbers stored in the seed table 144 are read (step S91). (S92) All the read seed numbers are displayed on the
次いで、操作部12を介した所定のユーザ操作により、特定のシード番号が選択され、その指示信号が入力されると(ステップS94)、この入力されたシード番号に対応するシード情報がシードテーブル144から読み出され(ステップS95)、このシード情報及び計時部16から入力される時刻情報を元にOTPが生成される(ステップS96)。このように、表示部13に表示された複数のシード番号から一のシード番号を指定することで、この指定されたシード番号に対応する一のシード情報を選択することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
Next, when a specific seed number is selected by a predetermined user operation via the
続いて、ステップS94で選択されたシード番号に対応する事業者識別情報がシード番号管理テーブル171から読み出され(ステップS97)、ステップS94で選択されたシード番号、ステップS97で読み出された事業者識別情報及びステップS96で生成されたOTPが、表示部13に表示され(ステップS98)、本処理は終了する。 Subsequently, the operator identification information corresponding to the seed number selected in step S94 is read from the seed number management table 171 (step S97), the seed number selected in step S94, and the business read in step S97. The person identification information and the OTP generated in step S96 are displayed on the display unit 13 (step S98), and this process ends.
このように、OTP生成器10では、複数のシード情報からOTPを生成する一のシード情報を選択することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
As described above, since the
図23は、表示部13に表示された、シード番号、事業者識別情報及びOTPの一例を示した図である。図23に示すように、上記した処理により、OTP生成器10の表示部13に、シード番号「1」、事業者識別情報「aaaa−bank」、OTP「1072502002」が表示される。このように、表示部13に生成されたOTP、このOTPの生成元となったシード情報に対応するシード番号を表示するため、OTP及びシード番号をユーザが視認可能な状態で通知することができる。
ユーザは、表示部13に表示された各種情報を、操作部22を介してアクセス端末20に入力し、所望する事業者認証サーバ30に送信することで、当該事業者認証サーバ30へのログインを行う。
FIG. 23 is a diagram illustrating an example of a seed number, business operator identification information, and OTP displayed on the
The user inputs various information displayed on the
図24は、アクセス端末20から事業者認証サーバ30へのログインに係る処理の手順を示したラダーチャートである。なお、同図において、ステップS101〜S106の各処理は、アクセス端末20のCPU21と記憶部24に記憶された各種プログラムとの協働により実行される処理を示しており、ステップS111〜S121の各処理は、事業者認証サーバ30のCPU31と記憶部34に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 24 is a ladder chart showing a procedure of processing related to login from the
まず、アクセス端末20において、操作部22を介した所定のユーザ操作に応じ、ログインを行う旨の指示情報(ログイン要求情報)が特定の事業者認証サーバ30に送信される(ステップS101)。
First, in the
事業者認証サーバ30では、アクセス端末20からログイン要求情報が受信されると(ステップS111)、ログインID、OTP等のログイン情報の入力を促す画面の表示を指示する指示情報(ログイン画面表示情報)がアクセス端末20に送信される(ステップS112)。
When the
一方、アクセス端末20では、事業者認証サーバ30からログイン画面表示情報が受信されると(ステップS102)、このログイン画面表示情報に基づき、表示部23にログイン情報の入力を促す画面(図25参照)が表示される(ステップS103)。続いて、表示部23に表示された画面に基づき、操作部12を介してログインID、OTP等のログイン情報が入力されると、この入力されたログイン情報が事業者認証サーバ30へと送信される(ステップS104)。
On the other hand, in the
ここで、ログイン情報として入力されるOTPは、図19の処理においてOTP生成器10の表示部13に表示されたOTP(例えば、1072502002)が入力されるものとするが、その入力態様は特に問わず、ユーザから操作部22を介して入力される態様としてもよいし、I/F部27にOTP生成器10が接続されている場合には、当該OTP生成器10から入力される態様としてもよい。
Here, as the OTP input as the login information, the OTP (for example, 1072502002) displayed on the
事業者認証サーバ30では、アクセス端末20からログイン情報が受信されると(ステップS113)、このログイン情報に含まれたログインIDに対応するシード情報がユーザ別シード情報テーブル343から検索され(ステップS114)、該当するシード情報がユーザ別シード情報テーブル343から読み出される(ステップS115)。次いで、このシード情報及び計時部36から入力される時刻情報を元に照合用のOTPが生成され(ステップS116)、この照合用のOTPと、ログイン情報に含まれたOTPとが比較・照合される(ステップS117)。
When the login information is received from the access terminal 20 (step S113), the
続いて、両OTPが一致するか否かが判定され、両OTPが一致すると判定された場合には(ステップS118;Yes)、本事業者認証サーバ30へのログインが許可され(ステップS119)、ステップS121へと移行する。一方、ステップS118において、両OTPが一致しないと判定された場合には(ステップS118;No)、本事業者認証サーバ30へのログインは許可されず(ステップS120)、ステップS121へと移行する。
Subsequently, it is determined whether or not both OTPs match. If it is determined that both OTPs match (step S118; Yes), login to the
ステップS121では、ステップS119又はステップS120で決定されたログイン結果を示す指示情報(ログイン結果情報)が、アクセス端末20へと送信され(ステップS121)、事業者認証サーバ30の処理は終了する。
In step S121, instruction information (login result information) indicating the login result determined in step S119 or step S120 is transmitted to the access terminal 20 (step S121), and the processing of the
一方、アクセス端末20では、事業者認証サーバ30からログイン結果情報が受信されると(ステップS105)、このログイン結果情報に基づいてログイン結果を通知する画面が表示部23に表示され(ステップS106)、アクセス端末20の処理は終了する。
On the other hand, in the
以上のように、複数のシード情報が一のOTP生成器10に記憶された場合であっても、これら複数のシード情報夫々に対応する事業者認証サーバ30に応じたシード情報を各事業者認証サーバ30に記憶させることができ、このシード情報に基づいてOTP生成器10を所有するユーザを認証することができるため、シード情報の運用、利用に係る利便性を向上させることができる。
As described above, even when a plurality of seed information is stored in one
なお、本発明の適用は、上述した例に限らず、本発明の趣旨を逸脱しない範囲で適宜変更可能である。 The application of the present invention is not limited to the example described above, and can be changed as appropriate without departing from the spirit of the present invention.
例えば、上記実施形態では、シード情報管理テーブルをOTP生成器10が記憶する態様としたが、これに限らず、アクセス端末20の記憶部24に記憶する態様としてもよい。この場合、シード番号管理プログラムも記憶部24に記憶し、このアカウント情報管理プログラムとCPU21との協働により、シード番号管理テーブルの記憶・管理に係る諸機能が実現されるものとする。
For example, in the above-described embodiment, the seed information management table is stored in the
また、上記実施形態では、OTP生成器10とアクセス端末20とが、夫々が独立した状態で認証システム100を構成する態様としたが、これに限らないものとする。例えば、OTP生成器10とアクセス端末20とをI/F部18及びI/F部27を介して接続し、OTP生成器10から送信される各種情報をアクセス端末20が事業者認証サーバ30に直接送信する態様としてもよく、これにより、ログインに係るユーザの労力を省力化することができる。
In the above embodiment, the
100 認証システム
10 OTP生成器
11 CPU
12 操作部
13 表示部
14 ROM
141 システムプログラム
142 OTP生成プログラム
143 シード番号管理プログラム
144 シードテーブル
145 OTP生成器固有ID
15 RAM
16 計時部
17 記憶部
171 シード番号管理テーブル
18 I/F部
19 バス
20 アクセス端末
21 CPU
22 操作部
23 表示部
24 記憶部
241 システムプログラム
25 RAM
26 通信部
27 I/F部
28 バス
30 事業者認証サーバ
31 CPU
32 操作部
33 表示部
34 記憶部
341 システムプログラム
342 OTP生成プログラム
343 ユーザ別シード情報テーブル
344 事業者固有シード番号
345 秘密鍵
35 RAM
36 計時部
37 通信部
38バス
40 シード情報管理サーバ
41 CPU
42 操作部
43 表示部
44 記憶部
441 システムプログラム
442 事業者情報テーブル
443 シード情報管理テーブル
45 RAM
46 通信部
47 バス
100
12
141
15 RAM
16
22
26 Communication Unit 27 I /
32 Operation unit 33
36
42
46
Claims (6)
複数の前記識別情報生成装置毎に割り当てられた固有IDと、各識別情報生成装置が記憶する複数のシード情報と、当該複数のシード情報の夫々に対応する複数の選択情報と、を対応付けて記憶するシード情報記憶手段と、
前記認証サーバから特定の固有IDと、当該認証サーバに割り当てられた選択情報とを検索キーとする指示情報を受信する受信手段と、
前記受信された指示情報に対応するシード情報を前記シード情報記憶手段に記憶された複数のシード情報から検索し、該当するシード情報を読み出す読出手段と、
前記読み出されたシード情報を前記認証サーバに送信する送信手段と、
を備えたことを特徴とするシード情報管理サーバ。 A plurality of authentication servers that perform authentication by comparing the identification information generated by the identification information generation device based on one seed information and the identification information for verification generated based on the same seed information as the seed information A seed information management server connected via a communication line to
A unique ID assigned to each of the plurality of identification information generation devices, a plurality of seed information stored in each identification information generation device, and a plurality of selection information corresponding to each of the plurality of seed information are associated with each other. Seed information storage means for storing;
Receiving means for receiving, from the authentication server, instruction information using a specific unique ID and selection information assigned to the authentication server as a search key;
Reading means for retrieving seed information corresponding to the received instruction information from a plurality of seed information stored in the seed information storage means, and reading out the corresponding seed information;
Transmitting means for transmitting the read seed information to the authentication server;
A seed information management server comprising:
前記送信手段は、前記暗号化手段により暗号化されたシード情報を前記認証サーバに送信することを特徴とする請求項1又は2に記載のシード情報管理サーバ。 An encryption means for encrypting the seed information;
The transmission unit, the seed information management server according to claim 1 or 2, characterized in that transmitting the seed information encrypted by the encrypting means to the authentication server.
前記認証サーバは、
前記識別情報生成装置に固有の固有IDと当該識別情報生成装置を所持するユーザに関するユーザ情報とを前記アクセス端末から受信する固有ID受信手段と、
前記認証サーバが所属する事業者毎に予め割り当てられた選択情報を記憶する選択情報記憶手段と、
前記受信された固有IDを前記選択情報とともに前記シード情報管理サーバに送信する送信手段と、
前記送信された固有ID及び選択情報に対応する一のシード情報を、前記シード情報管理サーバから受信するシード情報受信手段と、
前記受信されたシード情報を前記ユーザ情報と対応付けて記憶するユーザ別シード情報記憶手段と、
前記アクセス端末から前記ユーザ情報及び識別情報が送信された場合に、前記ユーザ情報に対応するシード情報を前記ユーザ別シード情報記憶手段から読み出し、この読み出したシード情報を元に前記照合用の識別情報を生成する生成手段と、
前記生成された照合用の識別情報と前記送信された識別情報とを照合し、ユーザ認証を行う認証手段と、
を備えたことを特徴とする認証システム。 The seed information management server according to any one of claims 1 to 3, the seed information management server and an access terminal connected via a communication line, and among a plurality of seed information stored in the identification information generation device, An authentication system comprising an authentication server that performs authentication by comparing identification information generated based on one seed information and verification identification information generated based on the same seed information as the seed information. ,
The authentication server is
Unique ID receiving means for receiving, from the access terminal, a unique ID unique to the identification information generating device and user information relating to a user possessing the identification information generating device;
Selection information storage means for storing selection information pre-assigned to each operator to which the authentication server belongs;
Transmitting means for transmitting the received unique ID together with the selection information to the seed information management server;
Seed information receiving means for receiving, from the seed information management server, one seed information corresponding to the transmitted unique ID and selection information;
User-specific seed information storage means for storing the received seed information in association with the user information;
When the user information and identification information are transmitted from the access terminal, the seed information corresponding to the user information is read from the seed information storage unit for each user, and the identification information for verification is based on the read seed information. Generating means for generating
An authentication means for performing user authentication by comparing the generated identification information for verification with the transmitted identification information;
An authentication system characterized by comprising:
前記ユーザ別シード情報記憶手段は、前記復号化されたシード情報を前記ユーザ情報と対応付けて記憶することを特徴とする請求項4に記載の認証システム。 The authentication server comprises decryption means for decrypting the seed information encrypted by the seed information management server,
The authentication system according to claim 4 , wherein the user-specific seed information storage unit stores the decrypted seed information in association with the user information.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006091144A JP4857857B2 (en) | 2006-03-29 | 2006-03-29 | Seed information management server and authentication system |
US11/729,416 US20070234064A1 (en) | 2006-03-29 | 2007-03-28 | Identification information output device |
PCT/JP2007/057510 WO2007119667A1 (en) | 2006-03-29 | 2007-03-28 | Identification information output device |
EP07740946A EP1999678A1 (en) | 2006-03-29 | 2007-03-28 | Identification information output device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006091144A JP4857857B2 (en) | 2006-03-29 | 2006-03-29 | Seed information management server and authentication system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007265170A JP2007265170A (en) | 2007-10-11 |
JP4857857B2 true JP4857857B2 (en) | 2012-01-18 |
Family
ID=38638078
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006091144A Active JP4857857B2 (en) | 2006-03-29 | 2006-03-29 | Seed information management server and authentication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4857857B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100786551B1 (en) * | 2006-09-15 | 2007-12-21 | 이니텍(주) | Method for registering and certificating user of one time password by a plurality of mode and computer-readable recording medium where program executing the same method is recorded |
JP4663676B2 (en) * | 2007-04-20 | 2011-04-06 | さくら情報システム株式会社 | One-time password device and system |
JP5589471B2 (en) * | 2010-03-19 | 2014-09-17 | 大日本印刷株式会社 | Royalty management system, royalty management method and token |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6985583B1 (en) * | 1999-05-04 | 2006-01-10 | Rsa Security Inc. | System and method for authentication seed distribution |
CA2394742A1 (en) * | 2002-01-17 | 2003-07-17 | Michel Caron | Portable device, activated by the fingerprint of the holder, that will provide a unique and different access code each time the holder uses it |
JP2004295271A (en) * | 2003-03-26 | 2004-10-21 | Renesas Technology Corp | Card and pass code generator |
-
2006
- 2006-03-29 JP JP2006091144A patent/JP4857857B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2007265170A (en) | 2007-10-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6668183B2 (en) | Communication device, communication method, communication system and program | |
US20070234064A1 (en) | Identification information output device | |
JP4413774B2 (en) | User authentication method and system using e-mail address and hardware information | |
JP4671783B2 (en) | Communications system | |
US8037308B2 (en) | Electronic certificate issuance system, electronic certificate issuing device, communication device, and program therefor | |
JP3754004B2 (en) | Data update method | |
JP4800377B2 (en) | Authentication system, CE device, portable terminal, key certificate issuing authority, and key certificate acquisition method | |
JP5365512B2 (en) | Software IC card system, management server, terminal, service providing server, service providing method and program | |
JP4607567B2 (en) | Certificate transfer method, certificate transfer apparatus, certificate transfer system, program, and recording medium | |
JP4843320B2 (en) | Method and system for securely authenticating a service user of a remote service interface to a storage medium | |
JP6609788B1 (en) | Information communication device, authentication program for information communication device, and authentication method | |
JP2004021755A (en) | Storage device | |
US20070255951A1 (en) | Token Based Multi-protocol Authentication System and Methods | |
JP4533935B2 (en) | License authentication system and authentication method | |
JP4350769B2 (en) | Authentication server and online service system | |
JP2005284985A (en) | Network compatible device, maintenance method for maintaining network compatible device, program, medium storing program thereon, and maintenance system thereof | |
EP3782062B1 (en) | Password reset for multi-domain environment | |
JP2011238036A (en) | Authentication system, single sign-on system, server device and program | |
JP4857857B2 (en) | Seed information management server and authentication system | |
JP6240102B2 (en) | Authentication system, authentication key management device, authentication key management method, and authentication key management program | |
JP2002157226A (en) | Centralized password managing system | |
KR101996317B1 (en) | Block chain based user authentication system using authentication variable and method thereof | |
CN109428725B (en) | Information processing apparatus, control method, and storage medium | |
JP4611680B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JPWO2017029708A1 (en) | Personal authentication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080604 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110705 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110901 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110901 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111004 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111017 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4857857 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141111 Year of fee payment: 3 |