JP5021093B1 - Portable device, information server device, and information management system - Google Patents
Portable device, information server device, and information management system Download PDFInfo
- Publication number
- JP5021093B1 JP5021093B1 JP2011225274A JP2011225274A JP5021093B1 JP 5021093 B1 JP5021093 B1 JP 5021093B1 JP 2011225274 A JP2011225274 A JP 2011225274A JP 2011225274 A JP2011225274 A JP 2011225274A JP 5021093 B1 JP5021093 B1 JP 5021093B1
- Authority
- JP
- Japan
- Prior art keywords
- information
- time password
- time
- server
- passcode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
【課題】どこでだれがこの情報を読もうとしているのかを把握する。
【解決手段】自装置の固有番号と、所望の情報の管理番号と、位置情報および時刻情報とに応じて、デバイスが所望の情報を読み取ってもよいかどうかの情報サーバ装置の認証を受け、読み取ってもよいと認証される場合にワンタイムパスワード(OTP)を生成するための数列に対応するサービス番号を取得する取得手段と、情報サーバ装置が発行した第2OTPと第1OTPとが一致すると判定される場合に、所望の情報を読むための第1パスコードであって、この一致したOTPによって暗号化された第1パスコードを取得する取得手段とを含み、情報サーバ装置は、デバイスがログインしようとした際、デバイスが認証を受けた際、第2OTPと第1OTPとが一致するかどうかが検出される際に、ログとして情報サーバ装置が認識しうるデバイスの情報について記録する。
【選択図】図1[PROBLEMS] To find out who is trying to read this information.
In response to the unique number of the own device, the management number of the desired information, the position information and the time information, the information server device receives authentication of whether the device may read the desired information, It is determined that the acquisition unit that acquires the service number corresponding to the sequence for generating the one-time password (OTP) when it is authenticated that it can be read, and the second OTP and the first OTP issued by the information server device match. A first passcode for reading the desired information, and obtaining means for obtaining the first passcode encrypted by the matched OTP, wherein the information server device logs in the device When the device is authenticated, the information server device recognizes it as a log when it is detected whether the second OTP and the first OTP match. Sell recorded information of the device.
[Selection] Figure 1
Description
本発明は、情報へのアクセスの管理を行うための携帯デバイス、情報サーバ装置、および情報管理システムに関する。 The present invention relates to a portable device, an information server device, and an information management system for managing access to information.
ネットワークではユーザを認証する技術が重要である。ユーザ認証は、例えば、PDA、携帯電話、ノートPC等の端末からネットワークを介して、コンピュータシステムに接続する際に、接続しようとする端末のユーザが適切であるかどうかを判断するための技術である。安全かつ確実に重要な情報にアクセスするためには、ユーザ認証技術が重要になる。ユーザ認証の際に、よく利用されるのがIDとパスワードである。近年、パスワードの漏洩による不正アクセスの増加が問題となっている。 Technology for authenticating users is important in networks. User authentication is a technique for determining whether or not a user of a terminal to be connected is appropriate when connecting to a computer system from a terminal such as a PDA, a mobile phone, or a notebook PC via a network. is there. In order to access important information safely and reliably, user authentication technology is important. In user authentication, ID and password are often used. In recent years, an increase in unauthorized access due to password leakage has become a problem.
不正アクセスへの対策として、誰がいつどこでコンピュータにログインしたかどうかの証跡を残すための手段を提供する技術がある(例えば特許文献1参照)。この技術は、ユーザがパスワードを利用しコンピュータにログインを試みた際に、コンピュータは、パスワードの正当性を確認することにより、正当なユーザしかログインできないようにするとともに、ログイン後、コンピュータがネットワークに接続した際にログインした事実をサーバに通知する。この結果サーバはどのコンピュータにいつ誰がどこでログインしたかの証跡を管理することができる。 As a countermeasure against unauthorized access, there is a technology that provides means for leaving a trail of who logged in to a computer when and where (see, for example, Patent Document 1). In this technology, when a user attempts to log in to a computer using a password, the computer checks the validity of the password so that only a legitimate user can log in, and after logging in, the computer enters the network. Notify the server that you are logged in when you connect. As a result, the server can manage a trail of when and who logged in on which computer.
またこれとは別に、ファイル共有ソフトの利用等による情報漏洩を防止するため、こうした情報漏洩の予防および対策の高度化および容易化を図り、情報セキュリティ確保を図ることを目的とした技術がある(例えば非特許文献1参照)。 In addition to this, there is a technology aimed at ensuring information security by preventing and preventing information leakage due to the use of file sharing software, etc., and enhancing and facilitating such information leakage ( For example, refer nonpatent literature 1).
しかし、この技術ではコンピュータへのログインの管理しかできない。すなわち、不正にログインして情報が漏洩した場合には、漏洩した情報が読まれたかどうか等のアクセス管理をすることができない。 However, this technology can only manage logins to computers. That is, when information is leaked due to unauthorized login, access management such as whether the leaked information has been read cannot be performed.
そこで本発明が解決しようとする課題は、上述した事情を考慮してなされたものであり、情報が漏洩した場合でもどこでだれがこの情報を読もうとしているのかを把握することができる携帯デバイス、情報サーバ装置、および情報管理システムを提供することである。 Therefore, the problem to be solved by the present invention has been made in consideration of the above-described circumstances, and even when information is leaked, a portable device that can grasp who is trying to read this information, An information server device and an information management system are provided.
上述の課題を解決するため、本発明のデバイスは、複数の情報を保存している情報サーバ装置から所望の情報を読み取り、特定手段と、第1取得手段と、第2取得手段と、OTP発行手段と、第3取得手段と、復号化手段と、読取手段と、を備えている。特定手段は、前記情報サーバ装置にログインし、所望の情報を特定する。第1取得手段は、自装置の位置情報と時刻情報とを取得する。第2取得手段は、自装置の固有番号と、前記所望の情報の管理番号と、前記位置情報および前記時刻情報とに応じて、前記デバイスが前記所望の情報を読み取ってもよいかどうかの前記情報サーバ装置の認証を受け、前記所望の情報を読み取ってもよいと認証される場合にワンタイムパスワードを生成するための数列に対応するサービス番号を取得する。OTP発行手段は、前記サービス番号と前記時刻情報とに対応する数値である第1ワンタイムパスワードを発行する。第3取得手段は、前記情報サーバ装置が発行した第2ワンタイムパスワードと前記第1ワンタイムパスワードとが一致すると判定される場合に、前記所望の情報を読むための第1パスコードであって、この一致したワンタイムパスワードによって暗号化された第1パスコードを取得する。復号化手段は、前記第1ワンタイムパスワードによって前記暗号化された第1パスコードを復号化する。読取手段は、前記復号化された第1パスコードによって前記所望の情報を読み取る。前記情報サーバ装置は、前記デバイスがログインしようとした際、前記デバイスが認証を受けた際、前記第2ワンタイムパスワードと前記第1ワンタイムパスワードとが一致するかどうかが検出される際に、ログとして前記情報サーバ装置が認識しうる前記デバイスの情報について記録する。 In order to solve the above-described problem, the device of the present invention reads desired information from an information server device storing a plurality of information, and specifies a specifying unit, a first acquiring unit, a second acquiring unit, and an OTP issue Means, third acquisition means, decryption means, and reading means. The specifying means logs in to the information server device and specifies desired information. A 1st acquisition means acquires the positional information and time information of an own apparatus. The second acquisition means determines whether or not the device may read the desired information according to the unique number of the own device, the management number of the desired information, the position information, and the time information. Upon receiving authentication of the information server device, if it is authenticated that the desired information can be read, a service number corresponding to a sequence for generating a one-time password is acquired. The OTP issuing means issues a first one-time password that is a numerical value corresponding to the service number and the time information. The third acquisition means is a first pass code for reading the desired information when it is determined that the second one-time password issued by the information server device matches the first one-time password. The first passcode encrypted by the matched one-time password is acquired. The decrypting means decrypts the encrypted first passcode with the first one-time password. The reading means reads the desired information with the decoded first pass code. The information server device is configured to detect whether the second one-time password matches the first one-time password when the device is about to log in, when the device is authenticated, The device information that can be recognized by the information server device is recorded as a log.
本発明の携帯デバイス、情報サーバ装置、および情報管理システムによれば、情報が漏洩した場合でもどこでだれがこの情報を読もうとしているのかを把握することができる。 According to the portable device, the information server device, and the information management system of the present invention, it is possible to grasp who is trying to read this information even when information is leaked.
以下、図面を参照しながら本発明の実施形態に係る携帯デバイス、情報サーバ装置、および情報管理システムについて詳細に説明する。なお、以下の実施形態中では、同一の番号を付した部分については同様の動作を行うものとして、重ねての説明を省略する。
まずワンタイムパスワードについて簡単に説明する。不正アクセスの防止策として、パスワードを利用する認証よりも強力なワンタイムパスワードを利用する技術がある。ワンタイムパスワードは、例えば、OTP(one time password:ワンタイムパスワード)発行装置(トークンとも呼ばれる)によって、通信相手が発行したOTPシードと、時刻情報とに対応させて生成される。この通信相手であるサーバ装置は、このユーザの識別情報に対応するOTPシードと、OTPシードと時刻情報とに対応したワンタイムパスワードとのテーブルを保存している。さらに、時刻情報を取得して同じ時刻にすれば、OTP発行装置が生成するワンタイムパスワードとサーバ装置が生成するワンタイムパスワードは同一になり、ユーザ認証を行うことができる。
テーブルを保存せず、この通信相手であるサーバ装置は、このユーザの識別情報に対応するOTPシードを格納し、OTPシードと時刻情報とに対応したワンタイムパスワードを生成してもよい。この場合、OTP発行装置とサーバ装置では、同一のOTPシード情報を所有し、ワンタイムパスワードを生成するアルゴリズムも同一に設定してある。さらに、時刻情報も同期させておけば、OTP発行装置が生成するワンタイムパスワードとサーバ装置が生成するワンタイムパスワードは同一になり、ユーザ認証を行うことができる。
このワンタイムパスワードは、時刻情報が変化するため、認証のために1回しか使用することができないので、ワンタイムパスワード認証は高い安全性を確保することができる。
Hereinafter, a mobile device, an information server device, and an information management system according to embodiments of the present invention will be described in detail with reference to the drawings. Note that, in the following embodiments, the same numbered portions are assumed to perform the same operation, and repeated description is omitted.
First, I will briefly explain the one-time password. As a measure for preventing unauthorized access, there is a technology that uses a stronger one-time password than authentication using a password. The one-time password is generated, for example, by an OTP (one time password) issuing device (also called a token) in association with the OTP seed issued by the communication partner and the time information. The server device as the communication partner stores a table of an OTP seed corresponding to the user identification information and a one-time password corresponding to the OTP seed and time information. Furthermore, if the time information is acquired and set to the same time, the one-time password generated by the OTP issuing device and the one-time password generated by the server device are the same, and user authentication can be performed.
Without storing the table, the server device that is the communication partner may store the OTP seed corresponding to the identification information of the user and generate a one-time password corresponding to the OTP seed and the time information. In this case, the OTP issuing device and the server device have the same OTP seed information and the same algorithm for generating a one-time password is set. Furthermore, if the time information is also synchronized, the one-time password generated by the OTP issuing device and the one-time password generated by the server device are the same, and user authentication can be performed.
Since the one-time password can be used only once for authentication because time information changes, the one-time password authentication can ensure high security.
次に、実施形態の携帯デバイス、情報サーバ装置、および情報管理システムについて図1を参照して説明する。
本実施形態の情報管理システムは、情報サーバ装置100と携帯デバイス110とを具備している。情報サーバ装置100は、情報管理部101、認証サービス部102、および認証ログデータベース103を具備し、携帯デバイス110は、リーダー部111、GPS部112、およびOTP発行部113を具備している。
Next, a portable device, an information server device, and an information management system according to an embodiment will be described with reference to FIG.
The information management system of this embodiment includes an information server device 100 and a portable device 110. The information server device 100 includes an
情報管理部101は、複数の情報と、それぞれの情報ごとに対応するパスコードαおよびβを保存して管理している。情報管理部101は他に、情報サーバ装置100に登録されている全てのユーザのユーザIDおよびパスワードを保存して管理している。このユーザIDによりログインしたユーザは、所望の情報を含んでいるパケットにアクセスしたり、このパケットをダウンロードすることができる。ここでパケットにアクセスするとは、パケットを携帯デバイス110にダウンロードするのではなく、情報サーバ装置100内にあるパケットを情報サーバ装置100から出すことなく、このパケットに接続して直接扱うことを意味する。これらアクセスおよびダウンロードは、インターネットまたは携帯網120等を利用する。この他の情報サーバ装置100と携帯デバイス110との情報のやり取りはインターネットまたは携帯網120等を利用する。
情報は情報部203に格納され、情報部203は図2に示すように、可読部201とヘッダー部202とを付加している。情報管理部101は、可読部201とヘッダー部202と情報部203とを含むパケット200を単位として複数のパケット200を保存している。可読部201は、パケット200を識別する管理番号と、このパケット200のヘッダー部202および情報部203が暗号化されているかどうかを示す制限情報と、認証を受けるための参照先の情報(例えばURL)とを含み、暗号化されていないのでパケット200を受け取るとこれらの情報を直ちに認識することができる。ヘッダー部202は、OTPのシードに対応するサービス番号と、位置情報および時刻に基づいて情報が可読となる位置範囲および/または時間範囲とを含み、パスコードαによって暗号化されている。情報部203は、情報を含み、パスコードβによって暗号化されている。パスコードα、βはそれぞれパケット200によって異なる。
また可読部201は、この可読部201を含むパケット200に含まれる情報が可読である携帯デバイス110の固有番号を含んでいてもよい。
The
The information is stored in the information unit 203. The information unit 203 has a readable unit 201 and a header unit 202 added thereto as shown in FIG. The
The readable unit 201 may include a unique number of the mobile device 110 in which information included in the packet 200 including the readable unit 201 is readable.
認証サービス部102は、パケット200が暗号化されている場合に、パスコードを取得するためにアクセスしてくる携帯デバイス110に認証処理を行う。認証サービス部102は、認証に来たデバイスの固有番号、このデバイスが計算したチェックサム(例えばCRC(cyclic redundancy check)値であり、より具体的にはCRC32、CRC64の値がある)、データの管理番号、位置情報及びそのときの時刻に基づいて、認証処理を行う。認証処理は、この管理番号で指定される情報をこの携帯デバイス110のユーザに読まれてもよいかどうか、さらに携帯デバイス110がいる位置およびそのときの時刻に応じて情報を可読とするかどうか、リーダー部111によって計算されたチェックサムと認証サービス部102によって計算されたチェックサムとが一致するかどうかに基づいて、認証が成功したとするかどうかを判定する。認証が成功しなかったと判定した場合には、認証サービス部102は情報サーバ装置100の管理者に警報を出して注意を促す。ここで、パケットに基づいて計算するチェックサムの算出方法は、リーダー部111と認証サービス部102とで同一に予め設定しておく。例えばリーダー部111が計算したチェックサムと認証サービス部102が計算したチェックサムとが異なれば、パケットが改ざんされた可能性が高くなるので、認証失敗と判定し、チェックサムが同一であればこのチェックサムの点では認証成功と判定する。
また認証サービス部102は、サービス番号と時刻で決まるOTPのテーブルを保存している。テーブルの一例を図3に示す。例えば、サービス番号は256ビットのデータで示され、サービス番号と、32ビットの時刻とに応じて算出した20ビットのOTPがテーブル化されている。認証サービス部102は、携帯デバイス110が所望しているパケットに付されているサービス番号と、携帯デバイス110から送信されてきた位置情報取得時の時刻とから、テーブルを参照してOTPを求める。OTP発行部113もこれと同様なテーブルを保存している。しかしながら、認証サービス部102で使用する時計とOTP発行部113で使用する時計が同期していて、かつ、OTPを生成するアルゴリズムがOTP発行部113と同一であればテーブルは不要である。また、時刻を情報サーバ装置100と携帯デバイス110との間でやり取りして同一の時刻を参照してOTPを生成する場合には、OTPを生成するアルゴリズムだけが認証サービス部102とOTP発行部113とで同一であればテーブルは不要である。
さらに認証サービス部102は、情報サーバ装置100にログインしようとしてユーザIDを入力して以降、ログアウトするまでそのログを取得し、これらのログを認証ログデータベース103に保存する。認証サービス部102は、例えば、携帯デバイス110の固有番号、パケット200の管理番号、ログイン時のデバイスの位置情報および時刻、ユーザIDを認証ログデータベース103に記録する。さらに認証サービス部102は、携帯デバイス110によるパケット200のチェックサムも認証ログデータベース103に記録してもよい。認証ログデータベース103には、図4に示すように、情報サーバ装置100側で認識しうる携帯デバイス110の情報についてログを残す。認証サービス部102は、例えばログイン、パケットをダウンロード、認証が成功したか失敗したか、警報を出したか、OTPが一致したか不一致であるか等を、他の認識しうる情報と共にテーブルにして認証ログデータベース103に記録する。このように認証ログデータベース103にデータを記録することにより、情報が漏洩した場合でもどこでだれがこの情報を読もうとしているのかを把握することができる。情報が漏洩した場合でもどこでだれがこの情報を読もうとしているのかを把握することができる。
When the packet 200 is encrypted, the
The
Further, the
また認証サービス部102は、登録してある携帯デバイス110の固有番号、パケット200のチェックサム、ユーザIDおよびパスワード、管理番号、制限情報、パスコードαおよびβを保存していてもよい。これとは別に、認証サービス部102はこれらの情報を情報管理部101から取得してきてもよい。これらの情報は、情報管理部101または認証サービス部102のどこかに保存しておき、必要な際にその保存場所から取得するようにしておいてもよい。
Further, the
リーダー部111は、最終的には暗号化されているパケット200を復号化し表示するが、最初は情報管理部101にアクセスして、情報管理部101にユーザID及びパスワードを入力し、さらに情報管理部101に欲しい情報を指定して、情報管理部101からこの情報を含んでいるパケット200にアクセスするか、またはこのパケット200をダウンロードして取得する。この時点ではこのパケット200の制限情報に制限ありの情報がある場合には可読部201のみを解読することができる。
可読部201の制限情報に制限ありとの情報がある場合には、リーダー部111は、GPS部112から位置情報及びそのときの時刻を取得し、これら位置情報及び時刻、情報の管理番号、デバイスの固有番号、パケット200に基づいて計算したチェックサムを認証サービス部102に通知し、認証サービス部102の認証処理を受ける。認証処理で認証が成功したと認定されれば、認証サービス部102がパスコードαをリーダー部111に送信する。リーダー部111は、ヘッダー部202を復号化しサービス番号を取得し、このサービス番号と時刻によって携帯デバイス110で生成されるOTP(デ)を発行し、認証サービス部102に送信する。認証サービス部102は、認証サービス部102で発行したOTP(サ)とOTP(デ)とを比較し、同一である場合にはこのOTP(=OTP(サ)=OTP(デ))でパスコードβを暗号化し、暗号化されたパスコードβを携帯デバイス110に送信する。リーダー部111は、OTP(デ)によって暗号化されたパスコードを復号化し、パスコードβを取得し、パケット200の情報部203にある情報をパスコードβで復号化しこの情報を読み取る。実施形態ではパスコードαおよびβのやり取りは、情報サーバ装置100と携帯デバイス110との間でなされ、ユーザが入力するなどで人間を介在しない。したがって、本実施形態でのパスコードαおよびβは、自在に大きなデータとすることができ、人間が介在することに比較して安全性を格段に高めることができる。例えば、総当たりパスワードアタックにも耐えられるようなパスコード長に設定することが可能になる。
The reader unit 111 finally decrypts and displays the encrypted packet 200, but first accesses the
When the restriction information of the readable unit 201 includes information indicating that there is a restriction, the reader unit 111 acquires the position information and the time at that time from the GPS unit 112, and the position information and time, the management number of the information, the device The
GPS部112は、携帯デバイス110の位置情報とそのときの時刻とを取得する。例えば人工衛星によりこれらの情報を取得する。GPS部112が取得する位置情報の精度は予め設定され、認証サービス部102が認証する際に使用する位置情報よりも良い精度に設定しておく必要がある。認証サービス部102は携帯デバイス110の位置が認証成功する位置範囲内であるかどうかを判定する。認証サービス部102は位置範囲を1つの緯度の値と1つの経度値とにより規定する。例えば北緯35°05′34.2″、東経136°52′47.5″のうち、緯度は左から何桁まで使用し、経度も左から何桁までを使用するかによって位置範囲を定める。1″は1′よりも60倍小さい距離を定め、1′は1°よりも60倍小さい距離を定めるので、どの桁まで使用するかによって位置範囲を定めることができる。
The GPS unit 112 acquires the position information of the mobile device 110 and the time at that time. For example, such information is acquired by an artificial satellite. The accuracy of the location information acquired by the GPS unit 112 is set in advance, and it is necessary to set the accuracy better than the location information used when the
地球が半径6400kmの球であると近似した場合をモデル例として考える。この場合、1°は約111701.0mに相当し、1′は約1861.7mに相当し、1″は約31.0mに相当し、0.1″は約3.1mする。認証サービス部102が位置範囲を北緯35°05′34″と東経136°52′47″とのそれぞれ秒の精度、緯度は左から6桁、経度は左から7桁までの精度で指定して場合には、この位置範囲は、北緯35°05′34.0″から北緯35°05′35.0″までと東経136°52′47.0″から東経136°52′48.0″までの範囲となる。このように位置範囲を指定することで、緯度と経度それぞれ2つずつ指定して位置範囲を定めるよりも情報が少なくできる。しかし、情報量を少なくできるならばここに示した手法に限らず他の手法により位置範囲を指定してもよい。
A case where the earth is approximated as a sphere having a radius of 6400 km is considered as an example model. In this case, 1 ° corresponds to approximately 111701.0 m, 1 ′ corresponds to approximately 1861.7 m, 1 ″ corresponds to approximately 31.0 m, and 0.1 ″ corresponds to approximately 3.1 m. The
OTP発行部113は、リーダー部111からサービス番号を取得し、GPS部112から取得した時刻とこのサービス番号によってOTPを発行し、このOTPをリーダー部111に渡す。OTP発行部113は、サービス番号と時刻で決まる、図3に示したOTPのテーブルを有していて、このテーブルからOTPを発行する。
The
これとは別にOTP発行部113とリーダー部111とが別体である場合には、リーダー部111は、情報ワードを表示して、この情報ワードをOTP発行部113に入力することによってOTP発行部113はワンタイムパスワードを発行する。情報ワードは、例えば、情報資産に付加されている固有のID番号と、リーダー部111の固有番号、位置情報および時刻情報を圧縮した英文字と数字とを組み合わせたものが使用される。
If the
次に、情報管理システムの動作の一例について図5を参照して説明する。
リーダー部111は、情報管理部101にユーザID及びパスワードを入力し情報管理部101にログインする(ステップS501)。さらにリーダー部111は、情報管理部101に欲しい情報を指定して、情報管理部101からこの情報を含んでいるパケット200にアクセスする(ステップS502−1)か、またはこのパケット200をダウンロードして取得する(ステップS502)。ここの例では、リーダー部111がパケット200をダウンロードする場合について説明する。しかし、パケット200にアクセスする場合での処理は、パケット200をダウンロードする場合での処理と本質的に変わりはなく、本発明の内容に影響はしない。
Next, an example of the operation of the information management system will be described with reference to FIG.
The reader unit 111 inputs the user ID and password to the
GPS部112が携帯デバイス110の位置情報を取得し、さらにこの位置情報を取得した時刻も取得する(ステップS503)。 The GPS unit 112 acquires the position information of the portable device 110, and further acquires the time when the position information is acquired (step S503).
リーダー部111は、パケット200の可読部201を参照し制限情報を解読する(ステップS504)。さらに、リーダー部111は、パケット200に対応するチェックサムを計算する。制限情報に、パケット200のヘッダー部202および情報部203が暗号化されているという制限がある場合にはステップS507に進み、パケット200のヘッダー部202および情報部203が暗号化されていない場合にはステップS506に進む(ステップS505)。ステップS506ではパケット200が暗号化されていないので、情報部203に含まれる情報を読み取ることができる(ステップS506)。 The reader unit 111 decodes the restriction information with reference to the readable unit 201 of the packet 200 (step S504). Further, the reader unit 111 calculates a checksum corresponding to the packet 200. When the restriction information includes a restriction that the header part 202 and the information part 203 of the packet 200 are encrypted, the process proceeds to step S507, and when the header part 202 and the information part 203 of the packet 200 are not encrypted. Advances to step S506 (step S505). In step S506, since the packet 200 is not encrypted, the information included in the information unit 203 can be read (step S506).
ステップS507では、リーダー部111は、ステップS503で取得した位置情報および時刻、可読部201に含まれる管理番号、携帯デバイス110の固有番号、およびリーダー部111がパケット200に基づいて計算したチェックサムを情報サーバ装置100へ送信する(ステップS507)。情報サーバ装置100と携帯デバイス110とでOTPを生成するアルゴリズムを同一に設定し、これらの装置間で時刻を同期させておけば、ステップS507で時刻を送信する必要はない。 In step S507, the reader unit 111 calculates the position information and time acquired in step S503, the management number included in the readable unit 201, the unique number of the mobile device 110, and the checksum calculated by the reader unit 111 based on the packet 200. The information is transmitted to the information server device 100 (step S507). If the information server apparatus 100 and the portable device 110 set the same algorithm for generating an OTP and synchronize the time between these apparatuses, it is not necessary to transmit the time in step S507.
情報サーバ装置100では認証サービス部102が、ステップS507で送信された情報を取得し、これらの情報に基づいて携帯デバイス110を認証する(ステップS508)。認証が成功した場合にはステップS511に進み、認証が成功しなかった場合にはステップS510に進む(ステップS509)。ステップS510では認証サービス部102が情報サーバ装置100の管理者に警報を出して注意を促す。ステップS511では認証サービス部102がステップS502でダウンロードしたパケット200のヘッダー部202を暗号化しているパスコードαを携帯デバイス110へ送信する(ステップS510)。
In the information server device 100, the
携帯デバイス110のリーダー部111が、ステップS510で取得したパスコードαでヘッダー部202を復号化し、パケット200に対応するサービス番号を取得する(ステップS512)。リーダー部111はステップS512で取得したサービス番号をOTP発行部113に渡し、OTP発行部113はこのサービス番号とステップS503で取得した時刻に対応するOTP(デ)を発行し(ステップS513)、リーダー部111がOTP発行部113からOTP(デ)を取得して認証サービス部102へ送信する(ステップS515)。情報サーバ装置100では、ステップS509での認証が成功したらその後、認証サービス部102はステップS502でダウンロードされたパケット200のサービス番号とステップS507で取得した時刻とに対応するOTP(サ)を発行する(ステップS514)。
The reader unit 111 of the portable device 110 decrypts the header unit 202 with the passcode α acquired in step S510, and acquires a service number corresponding to the packet 200 (step S512). The reader unit 111 passes the service number acquired in step S512 to the
認証サービス部102は、OTP(サ)とステップS515で取得したOTP(デ)を比較し、OTP(サ)とOTP(デ)とが同一の場合にはステップS518に進み、OTP(サ)とOTP(デ)とが同一でない場合にはステップS517に進む(ステップS516)。ステップS517では携帯デバイス110は情報サーバ装置100が発行するOTPを発行していないので、この携帯デバイス110は信頼できる相手ではないとしてステップS502でダウンロードされたパケットに含まれる情報を読み取られることを拒絶し、ステップS510に進む(ステップS517)。ステップS518では認証サービス部102がOTP(サ)とOTP(デ)と同一なOTPでパスコードβを暗号化する(ステップS518)。
The
認証サービス部102は、ステップS518で暗号化されたパスコードβを携帯デバイス110へ送信する(ステップS519)。リーダー部111は、ステップS519の暗号化されたパスコードβを取得し、暗号化されたパスコードβをOTP(デ)で復号化する(ステップS520)。リーダー部111は、復号化したパスコードβで情報部203を復号化し所望の情報を読み取る(ステップS521)。
The
次に、情報サーバ装置100と携帯デバイス110がそれぞれ複数ある場合でのOTP発行について図6および図7を参照して説明する。
携帯デバイス110のOTP発行部113は、図6に示すように、情報サーバ装置ID、CID(communication identifier)、OTPシードを1組としたデータを、ユーザが提携している情報サーバ装置の数だけ格納している。これらのCIDとOTPシードは、ユーザごと(すなわち、携帯デバイス110ごと)に定まっている。すなわち、一般的には、同一の情報サーバ装置でも、ユーザに依存して、CIDとOTPシードは異なっている。したがって、CIDとOTPシードから生成されるワンタイムパスワードは安全性に優れ、ネットワーク上の正しい相手と通信が可能になる。
Next, OTP issuance in the case where there are a plurality of information server devices 100 and a plurality of portable devices 110 will be described with reference to FIGS.
As shown in FIG. 6, the
OTP発行部113が格納する鍵データは、提携している情報サーバ装置の数だけあるが、例えば100件程度であり、プロバイダID、CIDは、例えば、それぞれ8桁で示され、OTPシードは、例えば、256ビットを有している。この場合、OTP発行部113は、4000バイト程度のデータを格納することになる。
The key data stored in the
OTP発行部113は、発生した時刻と、格納されているOTPシードのうちのユーザが入力した情報サーバ装置100に対応するOTPシードと、を入力して、この時刻とOTPシードから数値を生成する。この数値は、例えば、ハッシュ関数を使用して生成される。OTP発行部113のハッシュ関数(例えば、SHA−256)は、例えば、時刻として32ビットのデータと、OTPシードとして256ビットのデータを入力とし、256ビットの数値を出力する。OTP発行部113は、ハッシュ関数で得られた数値の一部(例えば、20ビット)をワンタイムパスワードとして出力する。
The
なお、携帯デバイス110のOTP発行部113に格納されている鍵データのうちのある情報サーバ装置100に関するOTPシードは、この情報サーバ装置100の認証サービス部102が格納しているOTPシードのうちのこのユーザに対応するOTPシードと一致するように設定しておく。例えば、ユーザが、対応する情報サーバ装置100ごとに利用登録を行う際にユーザのCIDとワンタイムパスワードを情報サーバ装置100に送信する。また、鍵管理会社が、事前にユーザと情報サーバ装置100に鍵データを郵送して、ユーザが携帯デバイス110のOTP発行部113に鍵データをコピーする。他に、秘匿性に優れる通信回線、または、秘匿性に優れる通信技術を使用して、携帯デバイス110は情報サーバ装置100から鍵データをダウンロードしてもよい。
The OTP seed related to the information server device 100 among the key data stored in the
情報サーバ装置100の認証サービス部102は、図7に示すように、鍵データを情報サーバ装置ごとに格納している。この情報サーバ装置ごとの鍵データは、登録しているユーザのCIDと、該CIDに対応するワンタイムパスワードを生成するための数列であるOTPシードと、を対応付けて1組とし、この組を複数組格納している。認証サービス部102が格納しているCIDとOTPシードは、組ごとに全て異なる内容になっている。また、ワンタイムパスワード装置のOTP発行部113が格納している鍵データのうちの対応する情報サーバ装置に関するOTPシードは、認証サービス部102が格納しているOTPシードのうちの対応ユーザのOTPシードに一致している。
As shown in FIG. 7, the
情報サーバ装置100の認証サービス部102は、情報サーバ装置100ごとに、CID、OTPシードを1組としたデータをユーザの数以上格納している。これらのCIDとOTPシードは、ユーザごとに定まっている。すなわち、一般的には、同一の情報サーバ装置100でも、ユーザによって、CIDとOTPシードは異なっている。したがって、CIDとOTPシードから生成されるワンタイムパスワードは安全性に優れ、ネットワーク上の正しい相手と通信が可能になる。
The
情報サーバ装置100が格納する鍵データは、登録している携帯デバイス110の数だけあるが、例えば1000万件程度であり、CIDは例えば8桁で示され、OTPシードは例えば256ビットを有している。この場合、認証サービス部102は、1つの情報サーバ装置につき3.6億バイト程度のデータを格納することになる。
The number of key data stored in the information server apparatus 100 is the same as the number of registered mobile devices 110, but there are about 10 million cases, for example, the CID is shown by 8 digits, for example, and the OTP seed has 256 bits, for example. ing. In this case, the
以上に示した実施形態によれば、情報サーバ装置側で認識しうる携帯デバイスの情報についてログを残すので、情報が漏洩した場合でもどこでだれがこの情報を読もうとしているのかを把握することができる。情報が漏洩した場合でもどこでだれがこの情報を読もうとしているのかを把握することができる。 According to the embodiment described above, since the log of portable device information that can be recognized on the information server device side is left, it is possible to grasp who is trying to read this information even when the information is leaked. it can. Even if information is leaked, you can know who is trying to read this information.
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。 Although several embodiments of the present invention have been described, these embodiments are presented by way of example and are not intended to limit the scope of the invention. These novel embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the scope of the invention. These embodiments and modifications thereof are included in the scope and gist of the invention, and are included in the invention described in the claims and the equivalents thereof.
100・・・情報サーバ装置、101・・・情報管理部、102・・・認証サービス部、103・・・認証ログデータベース、110・・・携帯デバイス、111・・・リーダー部、112・・・GPS部、113・・・OTP発行部、120・・・インターネットまたは携帯網、200・・・パケット、201・・・可読部、202・・・ヘッダー部、203・・・情報部。 DESCRIPTION OF SYMBOLS 100 ... Information server apparatus, 101 ... Information management part, 102 ... Authentication service part, 103 ... Authentication log database, 110 ... Portable device, 111 ... Reader part, 112 ... GPS unit, 113... OTP issuing unit, 120... Internet or mobile network, 200... Packet, 201.
Claims (18)
前記情報サーバ装置にログインし、所望の情報を特定する特定手段と、
自装置の位置情報と時刻情報とを取得する第1取得手段と、
自装置の固有番号と、前記所望の情報の管理番号と、前記位置情報および前記時刻情報とに応じて、前記デバイスが前記所望の情報を読み取ってもよいかどうかの前記情報サーバ装置の認証を受け、前記所望の情報を読み取ってもよいと認証される場合にワンタイムパスワードを生成するための数列に対応するサービス番号を取得する第2取得手段と、
前記サービス番号と前記時刻情報とに対応する数値である第1ワンタイムパスワードを発行するOTP発行手段と、
前記情報サーバ装置が発行した第2ワンタイムパスワードと前記第1ワンタイムパスワードとが一致すると判定される場合に、前記所望の情報を読むための第1パスコードであって、この一致したワンタイムパスワードによって暗号化された第1パスコードを取得する第3取得手段と、
前記第1ワンタイムパスワードによって前記暗号化された第1パスコードを復号化する復号化手段と、
前記復号化された第1パスコードによって前記所望の情報を読み取る読取手段と、を具備し、
前記情報サーバ装置は、前記デバイスがログインしようとした際、前記デバイスが認証を受けた際、前記第2ワンタイムパスワードと前記第1ワンタイムパスワードとが一致するかどうかが検出される際に、ログとして前記情報サーバ装置が認識しうる前記デバイスの情報について記録することを特徴とするデバイス。 A device for reading desired information from an information server device storing a plurality of information,
A specifying means for logging in to the information server device and specifying desired information;
First acquisition means for acquiring position information and time information of the device itself;
The information server apparatus authenticates whether the device may read the desired information according to the unique number of the own device, the management number of the desired information, the position information, and the time information. And a second acquisition means for acquiring a service number corresponding to a number sequence for generating a one-time password when it is authenticated that the desired information may be read;
OTP issuing means for issuing a first one-time password that is a numerical value corresponding to the service number and the time information;
A first pass code for reading the desired information when it is determined that the second one-time password issued by the information server device and the first one-time password match, and the matching one-time password Third acquisition means for acquiring a first passcode encrypted by a password;
Decryption means for decrypting the encrypted first passcode with the first one-time password;
Reading means for reading the desired information by the decrypted first pass code,
The information server device is configured to detect whether the second one-time password matches the first one-time password when the device is about to log in, when the device is authenticated, A device that records information on the device that can be recognized by the information server device as a log.
前記第3取得手段は、前記暗号化された第1パスコードを前記情報サーバ装置から取得することを特徴とする請求項1に記載のデバイス。 The desired information is included in a first part of a packet which is a management unit in the information server device, and the first part is encrypted with the first passcode,
The device according to claim 1, wherein the third acquisition unit acquires the encrypted first passcode from the information server device.
前記第2取得手段は、前記第2パスコードを前記情報サーバ装置から受け取り、該第2パスコードによって前記第2部分を復号化して前記サービス番号を取得することを特徴とする請求項1または請求項2に記載のデバイス。 The service number is included in a second part of a packet that is a management unit in the information server device, and the second part is encrypted with a second passcode,
The said 2nd acquisition means receives the said 2nd passcode from the said information server apparatus, decodes the said 2nd part with this 2nd passcode, and acquires the said service number, The Claim 1 or Claim characterized by the above-mentioned. Item 3. The device according to Item 2.
情報サーバ装置のサーバ情報と、該サーバ情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応づけて1組とし、この組を複数の情報サーバ装置分だけ格納して、サーバ情報とシードは組ごとに全て異なる格納手段と、
前記情報サーバ装置にログインし、所望の情報を特定する特定手段と、
自装置の位置情報と時刻情報とを取得する第1取得手段と、
自装置の固有番号と、前記所望の情報の管理番号と、前記位置情報および前記時刻情報とに応じて、前記デバイスが前記所望の情報を読み取ってもよいかどうかの前記情報サーバ装置の認証を受け、前記所望の情報を読み取ってもよいと認証される場合に情報サーバ装置の第1サーバ情報を取得する第2取得手段と、
前記第1サーバ情報に対応する第1対応シードと前記時刻情報とに対応する数値である第1ワンタイムパスワードを発行するOTP発行手段と、
前記情報サーバ装置が発行した第2ワンタイムパスワードと前記第1ワンタイムパスワードとが一致すると判定される場合に、前記所望の情報を読むための第1パスコードであって、この一致したワンタイムパスワードによって暗号化された第1パスコードを取得する第3取得手段と、
前記第1ワンタイムパスワードによって前記暗号化された第1パスコードを復号化する復号化手段と、
前記復号化された第1パスコードによって前記所望の情報を読み取る読取手段と、を具備し、
前記情報サーバ装置は、デバイスの固有番号と、該デバイスの固有番号に対応するワンタイムパスワードを生成するための数列であるシードと、を対応づけて1組とし、この組を複数格納し、前記第2ワンタイムパスワードは、前記時刻情報と、前記デバイスの固有番号に対応する第2対応シードと、に対応していて、
前記情報サーバ装置は、前記デバイスがログインしようとした際、前記デバイスが認証を受けた際、前記第2ワンタイムパスワードと前記第1ワンタイムパスワードとが一致するかどうかが検出される際に、ログとして前記情報サーバ装置が認識しうる前記デバイスの情報について記録することを特徴とするデバイス。 A device for generating a one-time password used for reading desired information of an information server device,
And server information of the information server apparatus, the server and the seed is a sequence for generating a one-time password corresponding to the server information, in association with a a pair, the pair only a plurality of information server apparatus min store, the server information and the seeds and all different storage means for each set,
A specifying means for logging in to the information server device and specifying desired information;
First acquisition means for acquiring position information and time information of the device itself;
The information server apparatus authenticates whether the device may read the desired information according to the unique number of the own device, the management number of the desired information, the position information, and the time information. receiving a second acquisition means for acquiring a first server information of the information server apparatus when said authenticated the desired information may be read,
And OTP issuing means for issuing a first correspondence seed and the first one-time password is a numeric value corresponding to said time information corresponding to the first server information,
A first pass code for reading the desired information when it is determined that the second one-time password issued by the information server device and the first one-time password match, and the matching one-time password Third acquisition means for acquiring a first passcode encrypted by a password;
Decryption means for decrypting the encrypted first passcode with the first one-time password;
Reading means for reading the desired information by the decrypted first pass code,
The information server device associates a unique number of a device with a seed that is a sequence for generating a one-time password corresponding to the unique number of the device into one set, and stores a plurality of the sets, The second one-time password corresponds to the time information and a second corresponding seed corresponding to the unique number of the device,
The information server device is configured to detect whether the second one-time password matches the first one-time password when the device is about to log in, when the device is authenticated, A device that records information on the device that can be recognized by the information server device as a log.
前記特定手段は、前記所望の情報を含むパケットをダウンロードすることを特徴とする請求項1から請求項6のいずれか1項に記載のデバイス。 Each of the plurality of information is included in one packet,
The device according to claim 1, wherein the specifying unit downloads a packet including the desired information.
前記特定手段は、前記所望の情報を含むパケットにアクセスすることを特徴とする請求項1から請求項6のいずれか1項に記載のデバイス。 Each of the plurality of information is included in one packet,
The device according to claim 1, wherein the specifying unit accesses a packet including the desired information.
デバイスの固有番号と、該デバイスによって特定される所望の情報の管理番号と、該デバイスの位置情報および該デバイスの時刻情報とに応じて、前記デバイスが前記所望の情報を読み取ってもよいかどうかを認証する認証手段と、
前記所望の情報を読み取ってもよいと認証される場合にワンタイムパスワードを生成するための数列に対応するサービス番号を前記デバイスに送信する送信手段と、
前記サービス番号と前記時刻情報とに対応する数値である第2ワンタイムパスワードを発行するOTP発行手段と、
前記デバイスが発行した第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致するかどうかを判定する判定手段と、
前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致すると判定される場合に、この一致したワンタイムパスワードによって前記所望の情報を読むための第1パスコードを暗号化する暗号化手段と、
前記デバイスがログインしようとした際、前記デバイスが認証を受けた際、前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致するかどうかが判定される際に、ログとして情報サーバ装置が認識しうる前記デバイスの情報について記録する記録手段と、を具備し、
前記デバイスは、前記第1ワンタイムパスワードによって前記暗号化された第1パスコードを復号化し、前記復号化された第1パスコードによって前記所望の情報を読み取ることを特徴とする情報サーバ装置。 A storage means for storing a plurality of information;
Whether or not the device may read the desired information according to the unique number of the device, the management number of the desired information specified by the device, the position information of the device, and the time information of the device An authentication means for authenticating
Transmitting means for transmitting to the device a service number corresponding to a number sequence for generating a one-time password when it is authenticated that the desired information may be read;
An OTP issuing means for issuing a second one-time password which is a numerical value corresponding to the service number and the time information;
Determining means for determining whether or not the first one-time password issued by the device matches the second one-time password;
An encryption means for encrypting a first passcode for reading the desired information with the matched one-time password when it is determined that the first one-time password and the second one-time password match; ,
When the device attempts to log in, when the device is authenticated, when it is determined whether the first one-time password and the second one-time password match, the information server apparatus logs Recording means for recording information on the device that can be recognized,
The information server device, wherein the device decrypts the encrypted first passcode with the first one-time password and reads the desired information with the decrypted first passcode.
前記暗号化された第1パスコードが前記デバイスに送信されることを特徴とする請求項9に記載の情報サーバ装置。 The desired information is included in a first part of a packet which is a management unit in the information server device, and the first part is encrypted with the first passcode,
The information server apparatus according to claim 9, wherein the encrypted first passcode is transmitted to the device.
前記第2パスコードが前記デバイスに送信され、前記デバイスは該第2パスコードによって前記第2部分を復号化して前記サービス番号を取得することを特徴とする請求項9または請求項10に記載の情報サーバ装置。 The service number is included in a second part of a packet that is a management unit in the information server device, and the second part is encrypted with a second passcode,
The said 2nd passcode is transmitted to the said device, The said device decodes the said 2nd part with this 2nd passcode, and acquires the said service number, The Claim 10 characterized by the above-mentioned. Information server device.
デバイスの固有番号と、該デバイスによって特定される所望の情報の管理番号と、該デバイスの位置情報および該デバイスの時刻情報とに応じて、前記デバイスが前記所望の情報を読み取ってもよいかどうかを認証する認証手段と、
前記所望の情報を読み取ってもよいと認証される場合に自サーバ装置の第1サーバ情報を前記デバイスに送信する送信手段と、
デバイスの固有番号と、該デバイスの固有番号に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納して、デバイスの固有番号とシードは組ごとに全て異なる第2格納手段と、
前記時刻情報と、前記デバイスの固有番号に対応する第2対応シードとに対応する第2ワンタイムパスワードを発生するOTP発生手段と、
前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致するかどうかを判定する判定手段と、
前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致すると判定される場合に、この一致したワンタイムパスワードによって前記所望の情報を読むための第1パスコードを暗号化する暗号化手段と、
前記デバイスがログインしようとした際、前記デバイスが認証を受けた際、前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致するかどうかが判定される際に、ログとして情報サーバ装置が認識しうる前記デバイスの情報について記録する記録手段と、を具備し、
前記デバイスは、情報サーバ装置のサーバ情報と、該サーバ情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応づけて1組とし、この組を複数の情報サーバ装置分だけ格納して、サーバ情報とシードは組ごとに全て異なり、前記第1ワンタイムパスワードは、前記時刻情報と、前記サーバ情報に対応する第1対応シードに対応していて、
前記デバイスは、前記第1ワンタイムパスワードによって前記暗号化された第1パスコードを復号化し、前記復号化された第1パスコードによって前記所望の情報を読み取ることを特徴とする情報サーバ装置。 A storage means for storing a plurality of information;
Whether or not the device may read the desired information according to the unique number of the device, the management number of the desired information specified by the device, the position information of the device, and the time information of the device An authentication means for authenticating
Transmitting means for transmitting the first server information of the own server device to the device when it is authenticated that the desired information may be read;
A unique number of a device and a seed that is a sequence for generating a one-time password corresponding to the unique number of the device are associated with one set, and a plurality of such sets are stored, and the unique number of the device and the seed Are different second storage means for each set,
OTP generation means for generating a second one-time password corresponding to the time information and a second corresponding seed corresponding to the unique number of the device;
Determining means for determining whether the first one-time password and the second one-time password match;
An encryption means for encrypting a first passcode for reading the desired information with the matched one-time password when it is determined that the first one-time password and the second one-time password match; ,
When the device attempts to log in, when the device is authenticated, when it is determined whether the first one-time password and the second one-time password match, the information server apparatus logs Recording means for recording information on the device that can be recognized,
The device, and server information of the information server apparatus, and the seed is a sequence for generating a one-time password corresponding to the server information, a set in association with the information of the set plurality of containing only the server component, the server information and the seed all different for each set, the first one-time password, and the time information, it corresponds to the first corresponding seed that corresponds to the server information And
The information server device, wherein the device decrypts the encrypted first passcode with the first one-time password and reads the desired information with the decrypted first passcode.
前記デバイスは、前記所望の情報を含むパケットをダウンロードすることを特徴とする請求項9から請求項14のいずれか1項に記載の情報サーバ装置。 The storage means stores the plurality of pieces of information so as to be included in one packet,
15. The information server apparatus according to claim 9, wherein the device downloads a packet including the desired information.
前記デバイスは、前記所望の情報を含むパケットにアクセスすることを特徴とする請求項9から請求項14のいずれか1項に記載の情報サーバ装置。 The storage means stores the plurality of pieces of information so as to be included in one packet,
15. The information server apparatus according to claim 9, wherein the device accesses a packet including the desired information.
前記デバイスは、
前記情報サーバ装置にログインし、所望の情報を特定する特定手段と、
自装置の位置情報と時刻情報とを取得する第1取得手段と、を具備し、
前記情報サーバ装置は、
複数の情報を保存している保存手段と、
デバイスの固有番号と、該デバイスによって特定される所望の情報の管理番号と、該デバイスの位置情報および該デバイスの時刻情報とに応じて、前記デバイスが前記所望の情報を読み取ってもよいかどうかを認証する認証手段と、
前記所望の情報を読み取ってもよいと認証される場合にワンタイムパスワードを生成するための数列に対応するサービス番号を前記デバイスに送信する送信手段と、
前記サービス番号と前記時刻情報とに対応する数値である第2ワンタイムパスワードを発行するOTP発行手段と、を具備し、
前記デバイスは、さらに、
前記サービス番号を取得する第2取得手段と、
前記サービス番号と前記時刻情報とに対応する数値である第1ワンタイムパスワードを発行するOTP発行手段と、を具備し、
前記情報サーバ装置は、さらに、
第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致するかどうかを判定する判定手段と、
前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致すると判定される場合に、この一致したワンタイムパスワードによって前記所望の情報を読むための第1パスコードを暗号化する暗号化手段と、
前記デバイスがログインしようとした際、前記デバイスが認証を受けた際、前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致するかどうかが判定される際に、ログとして情報サーバ装置が認識しうる前記デバイスの情報について記録する記録手段と、を具備し、
前記デバイスは、さらに、
暗号化された第1パスコードを取得する第3取得手段と、
前記第1ワンタイムパスワードによって前記暗号化された第1パスコードを復号化する復号化手段と、
前記復号化された第1パスコードによって前記所望の情報を読み取る読取手段と、を具備することを特徴とする情報管理システム。 An information management system comprising an information server device and a device for reading desired information from the information server device,
The device is
A specifying means for logging in to the information server device and specifying desired information;
First acquisition means for acquiring position information and time information of the device itself,
The information server device
A storage means for storing a plurality of information;
Whether or not the device may read the desired information according to the unique number of the device, the management number of the desired information specified by the device, the position information of the device, and the time information of the device An authentication means for authenticating
Transmitting means for transmitting to the device a service number corresponding to a number sequence for generating a one-time password when it is authenticated that the desired information may be read;
OTP issuing means for issuing a second one-time password that is a numerical value corresponding to the service number and the time information,
The device further comprises:
Second acquisition means for acquiring the service number;
OTP issuing means for issuing a first one-time password that is a numerical value corresponding to the service number and the time information,
The information server device further includes:
Determination means for determining whether or not the first one-time password matches the second one-time password;
An encryption means for encrypting a first passcode for reading the desired information with the matched one-time password when it is determined that the first one-time password and the second one-time password match; ,
When the device attempts to log in, when the device is authenticated, when it is determined whether the first one-time password and the second one-time password match, the information server apparatus logs Recording means for recording information on the device that can be recognized,
The device further comprises:
Third acquisition means for acquiring the encrypted first passcode;
Decryption means for decrypting the encrypted first passcode with the first one-time password;
Reading means for reading the desired information by the decrypted first pass code.
前記デバイスは、
情報サーバ装置のサーバ情報と、該サーバ情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応づけて1組とし、この組を複数の情報サーバ装置分だけ格納して、サーバ情報とシードは組ごとに全て異なる格納手段と、
前記情報サーバ装置にログインし、所望の情報を特定する特定手段と、
自装置の位置情報と時刻情報とを取得する第1取得手段と、を具備し、
前記情報サーバ装置は、
複数の情報を保存している保存手段と、
デバイスの固有番号と、該デバイスによって特定される所望の情報の管理番号と、該デバイスの位置情報および該デバイスの時刻情報とに応じて、前記デバイスが前記所望の情報を読み取ってもよいかどうかを認証する認証手段と、
前記所望の情報を読み取ってもよいと認証される場合に自サーバ装置の第1サーバ情報を前記デバイスに送信する送信手段と、
デバイスの固有番号と、デバイスの固有番号に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納して、デバイスの固有番号とシードは組ごとに全て異なる第2格納手段と、
前記時刻情報と、前記デバイスの固有番号に対応する第2対応シードとに対応する第2ワンタイムパスワードを発生するOTP発生手段と、を具備し、
前記デバイスは、さらに、
前記第1サーバ情報に対応する第1対応シードと前記時刻情報とに対応する数値である第1ワンタイムパスワードを発行するOTP発行手段と、を具備し、
前記情報サーバ装置は、さらに
前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致しているかどうかを判定する判定手段と、
前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致すると判定される場合に、この一致したワンタイムパスワードによって前記所望の情報を読むための第1パスコードを暗号化する暗号化手段と、
前記デバイスがログインしようとした際、前記デバイスが認証を受けた際、前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致するかどうかが判定される際に、ログとして情報サーバ装置が認識しうる前記デバイスの情報について記録する記録手段と、を具備し、
前記デバイスは、さらに
前記暗号化された第1パスコードを取得する第3取得手段と、
前記第1ワンタイムパスワードによって前記暗号化された第1パスコードを復号化する復号化手段と、
前記復号化された第1パスコードによって前記所望の情報を読み取る読取手段と、を具備することを特徴とする情報管理システム。 An information management system comprising an information server device and a device for reading desired information from the information server device,
The device is
And server information of the information server apparatus, the server and the seed is a sequence for generating a one-time password corresponding to the server information, in association with a a pair, the pair only a plurality of information server apparatus min store, the server information and the seeds and all different storage means for each set,
A specifying means for logging in to the information server device and specifying desired information;
First acquisition means for acquiring position information and time information of the device itself,
The information server device
A storage means for storing a plurality of information;
Whether or not the device may read the desired information according to the unique number of the device, the management number of the desired information specified by the device, the position information of the device, and the time information of the device An authentication means for authenticating
Transmitting means for transmitting the first server information of the own server device to the device when it is authenticated that the desired information may be read;
A unique number of the device, in association with, and seed is a sequence for generating a one-time password corresponding to the ID number of the device as a pair, the pairs a plurality stored unique number and seed of the device Different second storage means for each set;
OTP generating means for generating a second one-time password corresponding to the time information and a second corresponding seed corresponding to the unique number of the device,
The device further comprises:
Anda OTP issuing means for issuing a first one-time password is a numeric value corresponding to the first correspondence seed and said time information corresponding to the first server information,
The information server device further includes a determination unit that determines whether or not the first one-time password and the second one-time password match.
An encryption means for encrypting a first passcode for reading the desired information with the matched one-time password when it is determined that the first one-time password and the second one-time password match; ,
When the device attempts to log in, when the device is authenticated, when it is determined whether the first one-time password and the second one-time password match, the information server apparatus logs Recording means for recording information on the device that can be recognized,
The device further includes third acquisition means for acquiring the encrypted first passcode;
Decryption means for decrypting the encrypted first passcode with the first one-time password;
Reading means for reading the desired information by the decrypted first pass code.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011225274A JP5021093B1 (en) | 2011-10-07 | 2011-10-12 | Portable device, information server device, and information management system |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011222873 | 2011-10-07 | ||
JP2011222873 | 2011-10-07 | ||
JP2011225274A JP5021093B1 (en) | 2011-10-07 | 2011-10-12 | Portable device, information server device, and information management system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP5021093B1 true JP5021093B1 (en) | 2012-09-05 |
JP2013092812A JP2013092812A (en) | 2013-05-16 |
Family
ID=46980497
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011225274A Active JP5021093B1 (en) | 2011-10-07 | 2011-10-12 | Portable device, information server device, and information management system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5021093B1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11527120B2 (en) | 2017-01-09 | 2022-12-13 | Yunding Network Technology (Beijing) Co., Ltd. | Methods and systems for offline verification code generation based on smart door lock system |
CN106898064A (en) * | 2017-01-09 | 2017-06-27 | 云丁网络技术(北京)有限公司 | A kind of generation method and its system of the off-line verification code based on intelligent door lock system |
JP2019036092A (en) * | 2017-08-14 | 2019-03-07 | 株式会社東芝 | Authentication information generation method and authentication information generation apparatus |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007122417A (en) * | 2005-10-28 | 2007-05-17 | Bank Of Tokyo-Mitsubishi Ufj Ltd | Information processor, its control method, and program |
JP2007264835A (en) * | 2006-03-27 | 2007-10-11 | Nec Corp | Authentication method and system |
JP2008197710A (en) * | 2007-02-08 | 2008-08-28 | Nec Corp | Authentication method and system, portable device, authentication server, and authentication requesting terminal |
JP2008269342A (en) * | 2007-04-20 | 2008-11-06 | Sakura Information Systems Co Ltd | Onetime password device and system |
-
2011
- 2011-10-12 JP JP2011225274A patent/JP5021093B1/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007122417A (en) * | 2005-10-28 | 2007-05-17 | Bank Of Tokyo-Mitsubishi Ufj Ltd | Information processor, its control method, and program |
JP2007264835A (en) * | 2006-03-27 | 2007-10-11 | Nec Corp | Authentication method and system |
JP2008197710A (en) * | 2007-02-08 | 2008-08-28 | Nec Corp | Authentication method and system, portable device, authentication server, and authentication requesting terminal |
JP2008269342A (en) * | 2007-04-20 | 2008-11-06 | Sakura Information Systems Co Ltd | Onetime password device and system |
Also Published As
Publication number | Publication date |
---|---|
JP2013092812A (en) | 2013-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10015150B2 (en) | Systems and methods for Smartkey information management | |
ES2596308T3 (en) | Method and provision for secure authentication | |
CN101272237B (en) | Method and system for automatically generating and filling login information | |
ES2741513T3 (en) | Software based multi-channel polymorphic data obfuscation | |
ES2456815T3 (en) | User authentication procedures in data processing systems | |
CN107181714B (en) | Verification method and device based on service code and generation method and device of service code | |
US20090063861A1 (en) | Information security transmission system | |
CN104662870A (en) | Data security management system | |
JP2007249726A (en) | Authentication system | |
CN101103358A (en) | Security code production method and methods of using the same, and programmable device therefor | |
US10158493B2 (en) | Solution for generating and issuing security codes with guaranteed issuer authenticity and origin | |
JP2014109826A (en) | Data management mechanism in emergency for wide-area distributed medical information network | |
JP6182080B2 (en) | Authentication system, program | |
US9654455B2 (en) | Communication system, communication device, key management apparatus, and communication method | |
JP2002297551A (en) | Identification system | |
JP5021093B1 (en) | Portable device, information server device, and information management system | |
JP2006215795A (en) | Server device, control method, and program | |
CN109740319B (en) | Digital identity verification method and server | |
JP2009290508A (en) | Electronized information distribution system, client device, server device and electronized information distribution method | |
KR101372090B1 (en) | Log in system and method | |
JP2008015639A (en) | Privacy-protecting authentication system and apparatus capable of searching database for id | |
KR101996579B1 (en) | Security broker system and method for securely sharing file stored in external storage device | |
JP2006268411A (en) | Method and system for authenticating remote accessing user by using living body data and user device | |
KR20150005789A (en) | Method for Authenticating by using Certificate | |
TWI640887B (en) | User verification system implemented along with a mobile device and method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120515 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120613 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5021093 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150622 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |