JP5175490B2 - Authentication device, authentication system, authentication method, and authentication program - Google Patents
Authentication device, authentication system, authentication method, and authentication program Download PDFInfo
- Publication number
- JP5175490B2 JP5175490B2 JP2007131313A JP2007131313A JP5175490B2 JP 5175490 B2 JP5175490 B2 JP 5175490B2 JP 2007131313 A JP2007131313 A JP 2007131313A JP 2007131313 A JP2007131313 A JP 2007131313A JP 5175490 B2 JP5175490 B2 JP 5175490B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- token
- time password
- password
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、ワンタイムパスワードを用いてユーザの正当性を認証する認証技術に関する。 The present invention relates to an authentication technique for authenticating a user's validity using a one-time password.
近年、フィッシング詐欺に代表される、インターネット上でのユーザID、パスワードなどの詐取・盗難(identity theft)が問題となっている。そのため、より高いセキュリティを確保し、ユーザの正当性を認証する技術が求められている。例えば、特許文献1には、ワンタイムパスワードを用いて、ユーザ認証を行うワンタイムパスワード認証システムが記載されている。
さて、ワンタイムパスワードを生成・発行する装置として、例えば、ハードトークンや、ワンタイムパスワード生成機能を有する携帯電話(ソフトトークン)などがある。そして、1人のユーザは、ハードトークンまたは携帯電話のいずれか1つのトークンを利用している。 As a device for generating / issuing a one-time password, for example, there are a hard token and a mobile phone (soft token) having a one-time password generation function. One user uses either one token of a hard token or a mobile phone.
しかしながら、ユーザは、ハードトークンと携帯電話とを併用し、状況に応じて両者を切替えて利用したい場合がある。例えば、通常は携帯電話を利用しているユーザが、海外出張に行く場合、海外出張の期間だけハードトークンを利用したい場合がある。また、ハードトークンを利用しているユーザが、ハードトークンを携帯するのが煩わしいなどの理由により携帯電話を利用したい場合がある。また、ビジネス用とプライベート用の2つの携帯電話を所有するユーザは、通常はプライベート用の携帯電話を利用しているが、ある期間はビジネス用の携帯電話を利用したい場合もある。 However, there are cases where the user wants to use both a hard token and a mobile phone and switch between them depending on the situation. For example, when a user who normally uses a mobile phone goes on an overseas business trip, he may want to use a hard token only during the overseas business trip. In addition, there are cases where a user who uses a hard token wants to use a mobile phone because it is troublesome to carry the hard token. In addition, a user who owns two mobile phones for business use and private use usually uses a private use mobile phone, but may want to use a business use mobile phone for a certain period.
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、複数のトークンのワンタイムパスワードを認証可能な認証技術を提供し、ユーザの利便性をより向上することにある。 The present invention has been made in view of the above circumstances, and an object of the present invention is to provide an authentication technique capable of authenticating one-time passwords of a plurality of tokens, and to improve user convenience.
上記課題を解決するために、本発明は、1つのアカウントに対応させた複数のトークンのワンタイムパスワードを認証する認証装置であって、複数のトークン毎にパスワード生成キーが記憶された認証記憶手段と、端末からトークンの変更指示を受け付け、前記認証記憶手段の指示されたトークンのパスワード生成キーにフラグを設定する変更手段と、前記端末から第1のワンタイムパスワードを含む認証要求を受け付け、前記認証記憶手段から前記フラグが設定されたパスワード生成キーを特定する要求受付手段と、前記特定したパスワード生成キーに基づいて第2のワンタイムパスワードを生成する生成手段と、前記要求受付手段が受け付けた第1のワンタイムパスワードと、前記生成手段が生成した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証手段と、を有する。 In order to solve the above-described problem, the present invention is an authentication device for authenticating one-time passwords of a plurality of tokens corresponding to one account, and an authentication storage unit in which a password generation key is stored for each of the plurality of tokens Receiving a token change instruction from the terminal, accepting an authentication request including a first one-time password from the terminal, a changing means for setting a flag in the password generation key of the instructed token in the authentication storage means, Request receiving means for specifying the password generation key set with the flag from the authentication storage means, generation means for generating a second one-time password based on the specified password generation key, and the request receiving means The first one-time password and the second one-time password generated by the generating means are one Whether to verify, with an authentication means for determining that the authentication has succeeded if they match.
また、本発明は、ワンタイムパスワードを発行する発行装置と、ワンタイムパスワードを認証する認証装置とを有する認証システムであって、前記発行装置は、第1のワンタイムパスワードを生成するための第1のパスワード生成キーを記憶する発行管理記憶手段と、第1の端末からパスワード生成要求を受け付ける第1の要求受付手段と、前記発行管理記憶手段の第1のパスワード生成キーに基づいて、第1のワンタイムパスワードを生成し、前記第1の端末に送信する第1の生成手段と、を有し、前記認証装置は、前記発行装置からワンタイムパスワードを取得する第1の端末を含む複数のトークン毎に、第2のパスワード生成キーが記憶された認証記憶手段と、第2の端末からトークンの変更指示を受け付け、前記認証記憶手段の指示されたトークンのパスワード生成キーにフラグを設定する変更手段と、前記第2の端末から第1のワンタイムパスワードまたはオフライントークンが生成した第2のワンタイムパスワードを含む認証要求を受け付け、前記認証記憶手段から前記フラグが設定された第2のパスワード生成キーを特定する第2の要求受付手段と、前記特定した第2のパスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成手段と、前記第2の要求受付手段が受け付けた第1または第2のワンタイムパスワードと、前記第2の生成手段が生成した第3のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証手段と、を有する。 The present invention is also an authentication system having an issuing device for issuing a one-time password and an authentication device for authenticating the one-time password, the issuing device generating a first one-time password. An issuance management storage means for storing one password generation key; a first request reception means for receiving a password generation request from the first terminal; and a first password generation key based on the first password generation key of the issuance management storage means. Generating a one-time password and transmitting it to the first terminal, and the authentication device includes a plurality of first terminals that acquire the one-time password from the issuing device An authentication storage unit storing a second password generation key for each token, and a token change instruction from the second terminal, and an instruction from the authentication storage unit Change means for setting a flag in the password generation key of the generated token, and an authentication request including a first one-time password generated from the second terminal or a second one-time password generated by an offline token, and the authentication storage Second request receiving means for specifying the second password generation key set with the flag from the means, and second generation for generating a third one-time password based on the specified second password generation key Verifying whether the means and the first or second one-time password received by the second request receiving means match the third one-time password generated by the second generation means; Authentication means for determining that the authentication is successful when the two match.
また、本発明は、認証装置が行う、1つのアカウントに対応させた複数のトークンのワンタイムパスワードを認証する認証方法であって、前記認証装置は、複数のトークン毎にパスワード生成キーが記憶された認証記憶部と、処理部とを有し、前記処理部は、端末からトークンの変更指示を受け付け、前記認証記憶部の指示されたトークンのパスワード生成キーにフラグを設定する変更ステップと、前記端末から第1のワンタイムパスワードを含む認証要求を受け付け、前記認証記憶部から前記フラグが設定されたパスワード生成キーを特定する要求受付ステップと、前記特定したパスワード生成キーに基づいて第2のワンタイムパスワードを生成する生成ステップと、前記要求受付ステップで受け付けた第1のワンタイムパスワードと、前記生成ステップで生成した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を行う。 Further, the present invention is an authentication method for authenticating one-time passwords of a plurality of tokens corresponding to one account performed by an authentication device, wherein the authentication device stores a password generation key for each of the plurality of tokens. An authentication storage unit, and a processing unit, wherein the processing unit receives a token change instruction from a terminal and sets a flag in a password generation key of the instructed token of the authentication storage unit; A request receiving step of receiving an authentication request including a first one-time password from a terminal, specifying a password generation key with the flag set from the authentication storage unit, and a second one based on the specified password generation key A generating step for generating a time password; a first one-time password received in the request receiving step; Whether or not the second one-time password generated by the generating step is identical to verify, it performs an authentication step of determining that the authentication succeeds if they match.
また、本発明は、1つのアカウントに対応させた認証装置が実行する複数のトークンのワンタイムパスワードを認証する認証プログラムであって、前記認証装置は、複数のトークン毎にパスワード生成キーが記憶された認証記憶部と、処理部とを有し、前記処理部に、端末からトークンの変更指示を受け付け、前記認証記憶部の指示されたトークンのパスワード生成キーにフラグを設定する変更ステップと、前記端末から第1のワンタイムパスワードを含む認証要求を受け付け、前記認証記憶部から前記フラグが設定されたパスワード生成キーを特定する要求受付ステップと、前記特定したパスワード生成キーに基づいて第2のワンタイムパスワードを生成する生成ステップと、前記要求受付ステップで受け付けた第1のワンタイムパスワードと、前記生成ステップで生成した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を実行させる。 Further, the present invention is an authentication program for authenticating a one-time password of a plurality of tokens executed by an authentication apparatus corresponding to one account, and the authentication apparatus stores a password generation key for each of the plurality of tokens. An authentication storage unit, and a processing unit, wherein the processing unit accepts a token change instruction from a terminal and sets a flag in the password generation key of the instructed token in the authentication storage unit; and A request receiving step of receiving an authentication request including a first one-time password from a terminal, specifying a password generation key with the flag set from the authentication storage unit, and a second one based on the specified password generation key A generation step for generating a time password, and a first one-time password received in the request reception step When the second one-time password generated by said generating step to verify whether the match, the authentication step to determine that the authentication has succeeded if they match, thereby executing.
本発明では、複数のトークンのワンタイムパスワードを認証可能な認証技術を提供し、ユーザの利便性をより向上することができる。 In the present invention, it is possible to provide an authentication technique capable of authenticating one-time passwords of a plurality of tokens, thereby further improving user convenience.
以下、本発明の実施の形態について説明する。 Embodiments of the present invention will be described below.
図1は、本発明の実施形態が適用された認証システムの全体構成図である。本認証システムのユーザは、ワンタイムパスワードを取得または生成する装置(トークン)として、少なくとも1つの携帯電話1と、ハードトークン5(オフライントークン)とを所有するものとする。そして、ユーザは、状況に応じて、携帯電話1またはハードトークン5のいずれかのトークンを利用し、ワンタイムパスワードを取得するものとする。また、ユーザは、PC(Personal Computer)などの端末2から認証サーバ4のWebサイトにログインする際に、携帯電話1またはハードトークン5を用いて取得したワンタイムパスワードを使用するものとする。
FIG. 1 is an overall configuration diagram of an authentication system to which an embodiment of the present invention is applied. The user of this authentication system possesses at least one mobile phone 1 and a hard token 5 (offline token) as a device (token) for acquiring or generating a one-time password. And a user shall acquire a one-time password using the token of either the mobile telephone 1 or the hard token 5 according to a condition. Further, it is assumed that the user uses the one-time password acquired using the mobile phone 1 or the hard token 5 when logging in to the Web site of the authentication server 4 from a
なお、ユーザは、認証サーバ4が提供するWebサイトのサービスを利用可能なユーザであって、あらかじめ認証サーバ4のWebサイトに登録し、ユーザID(アカウント)を取得しているものとする。 It is assumed that the user is a user who can use the website service provided by the authentication server 4 and has registered in advance on the website of the authentication server 4 and has acquired a user ID (account).
図示する認証システムでは、1人のユーザが2つの携帯電話1(例えばビジネス用とプライベート用など)を所有するものとする。携帯電話1は、携帯電話網などのネットワーク8を介して発行サーバ3からワンタイムパスワードを取得するブラウザ型トークンである。携帯電話1は、ユーザの指示を受け付ける指示受付部と、各種の情報・画面を表示する表示部とを有し、ブラウザと同様の機能を有する。また、携帯電話1は、図示しないメモリ等の記憶装置に、機体識別番号などの携帯電話ID(端末識別情報)があらかじめ記憶されているものとする。なお、携帯電話IDが記憶されているメモリ等は、携帯電話1から着脱可能なICカードであってもよい。
In the illustrated authentication system, it is assumed that one user owns two mobile phones 1 (for example, for business use and private use). The mobile phone 1 is a browser-type token that acquires a one-time password from the issuing
また、ユーザは、携帯電話1のほかに、ワンタイムパスワードを生成するオフライントークン5を所有する。オフライントークンは、例えばハードトークン5やソフトトークンなど、携帯電話1から発行サーバ3が発行するワンタイムパスワードを取得する場合以外のトークンである。本実施形態では、オフライントークンとして、ハードトークン5を用いるものとする。ハードトークン5は、ワンタイムパスワードを生成する生成部と、生成したワンタイムパスワードを表示する表示部と、ワンタイムパスワードを生成するための情報を記憶するメモリなどの記憶部とを有する。
In addition to the mobile phone 1, the user owns an offline token 5 that generates a one-time password. The offline token is a token other than the case of acquiring a one-time password issued by the issuing
端末2は、インターネットなどのネットワーク9を介して認証サーバ4に接続される。端末2は、ユーザの指示を受け付ける指示受付部と、各種の情報・画面を表示する表示部とを有し、ブラウザと同様の機能を有する。
The
発行サーバ3は、携帯電話1からの要求によりワンタイムパスワードを生成し、携帯電話1に送信する。図示する発行サーバ3は、携帯電話1からの要求を受け付ける要求受付部31と、ワンタイムパスワードを生成する生成部32と、認証サーバ4からの変更通知を受け付けて発行管理テーブル35の設定を変更する変更部33と、発行管理テーブル35とを有する。発行管理テーブル35には、ワンタイムパスワードの発行に必要な各種の情報が登録される。
The issuing
認証サーバ4は、端末2から入力されたワンタイムパスワードを認証し、認証に成功した場合に所定のサービスを提供する。図示する認証サーバ4は、ログイン要求などの認証要求を受け付ける要求受付部41と、ワンタイムパスワードを生成する生成部42と、ワンタイムパスワードを認証する認証部43と、各種の業務処理を行う業務処理部44と、端末2から利用するトークンの変更要求を受け付けて認証テーブル48の設定を変更する変更部45と、ハードトークン5が生成したワンタイムパスワードを要求する要求部46と、認証テーブル48のカウンタを補正する補正部47と、認証テーブル48とを有する。認証テーブル48には、ワンタイムパスワードの認証に必要な各種の情報が登録される。
The authentication server 4 authenticates the one-time password input from the
次に、発行サーバ3の発行管理テーブル35、および、認証サーバ4の認証テーブル48について説明する。
Next, the issue management table 35 of the
図2は、発行サーバ3の発行管理テーブル35の一例を示す図である。図示する発行管理テーブルは、ユーザID201と、PIN(Personal Identification Number)202と、カウンタ203と、トークン種別204と、携帯電話ID205と、パスワード生成キー206と、フラグ207と有する。本実施形態のユーザは2つの携帯電話1を所有するため、図示する発行管理テーブル35は、携帯電話1毎に携帯電話ID205、パスワード生成キー206およびフラグ207を有する。
FIG. 2 is a diagram illustrating an example of the issue management table 35 of the
PIN202は、ユーザが任意に設定する暗証番号である。カウンタ203には、毎回異なるワンタイムパスワードを生成するための可変情報が設定される。本実施形態ではカウンタ同期方式を用いたワンタイムパスワードの生成を行うため、カウンタ203にはワンタイムパスワードの生成回数を設定するものとする。しかしながら、生成回数に限定されず、例えば時刻同期方式を用いてワンタイムパスワードの生成を行う場合は、時刻情報(タイムスタンプ)などを用いて可変情報の値を変化させることとしてもよい。
The
携帯電話ID205としては、例えば、携帯電話1の機体識別番号、携帯電話の電話番号、携帯電話のICメモリに記憶されたユーザ情報、などを用いることが考えられる。パスワード生成キー206は、ワンタイムパスワードを生成するための所定の文字列(いわゆるシード)であって、本実施形態では携帯電話1毎にユニークな文字列が割り当てられる。フラグ207には、ユーザが現在利用しているトークンを判別するための情報が設定される。本実施形態ではフラグ207に「ON」が設定されたトークンを現在利用しており、「OFF」が設定されたトークンについては現在利用していないものとする。すなわち、発行サーバ3は、フラグ207に「ON」が設定されたトークンに対してのみワンタイムパスワードを発行し、「OFF」が設定されたトークンについてはワンタイムパスワードの発行を行わないものとする。
As the
図3は、認証サーバ4の認証テーブル48の一例を示す図である。図示する認証テーブル48は、ユーザID301と、カウンタ302と、トークン種別303と、パスワード生成キー304と、フラグ305と、変更時ワンタイムパスワード306と、を有する。本実施形態では、1人のユーザは2つの携帯電話1とハードトークン5の3つのトークンを所有するため、図示する認証テーブル48は、トークン毎にパスワード生成キー304およびフラグ305を有する。
FIG. 3 is a diagram illustrating an example of the authentication table 48 of the authentication server 4. The illustrated authentication table 48 includes a
カウンタ302には、毎回異なるワンタイムパスワードを生成するための可変情報(本実施形態ではワンタイムパスワードの生成回数)が設定される。なお、カウンタ302に設定される値は、利用するトークンを変更するたびに後述する処理により補正される。パスワード生成キー304は、ワンタイムパスワードを生成するための所定の文字列(いわゆるシード)であって、トークン毎にユニークな文字列が割り当てられる。トークンが携帯電話1の場合、パスワード生成キー304に設定される情報は、発行管理テーブル35の対応するパスワード生成キー206に設定される情報と同じものである。また、トークンがハードトークン5の場合、パスワード生成キー304に設定される情報は、対応するユーザIDのユーザが所有するハードトークン5の記憶部に記憶される情報と同じものである。
The
フラグ305には、ユーザが現在利用しているトークンを判別するための情報が設定される。本実施形態ではフラグ305に「ON」が設定されたトークンを現在利用しており、「OFF」が設定されたトークンについては現在利用していないものとする。本実施形態では、1人のユーザは、状況に応じていずれか1つのトークンを選択し、当該トークンで取得したワンタイムパスワードを用いて端末2から認証サーバ4にログインするものとする。
Information for determining the token currently used by the user is set in the
変更時ワンタイムパスワード306には、後述するトークンの変更処理において、ハードトークンへの変更時にハードトークン5が生成したワンタイムパスワードが設定される。
The changed one-
上記説明した、携帯電話1、端末2、発行サーバ3および認証サーバ4は、いずれも、例えば図4に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。
The mobile phone 1,
例えば、発行サーバ3および認証サーバ4の各機能は、発行サーバ3用のプログラムの場合は発行サーバ3のCPU901が、そして、認証サーバ4用のプログラムの場合は認証サーバ4のCPU901が、それぞれ実行することにより実現される。
For example, the functions of the issuing
なお、発行サーバ3の発行管理テーブル35には、発行サーバ3のメモリ902または外部記憶装置903が用いられるものとする。また、認証サーバ4の認証テーブル48には、認証サーバ4のメモリ902または外部記憶装置903が用いられるものとする。また、入力装置904および出力装置905については、各装置が必要に応じて備えるものとする。
Note that the issue management table 35 of the
次に、ワンタイムパスワードの取得処理について説明する。ユーザは、端末2を用いて認証サーバ4のWebサイトにログインする前に、携帯電話1またはハードトークン5を用いてワンタイムパスワードを取得し、取得したワンタイムパスワードをユーザIDとともに端末2から入力する。まず、ブラウザ型トークンである携帯電話1を用いて、発行サーバ3からワンタイムパスワードを取得する第1の処理について説明する。
Next, the one-time password acquisition process will be described. The user acquires a one-time password using the mobile phone 1 or the hard token 5 before logging in to the authentication server 4 website using the
図5は、第1のワンタイムパスワード発行処理のシーケンス図である。図6は、携帯電話1の出力装置に表示される各種画面(画面遷移)の一例を示したものである。 FIG. 5 is a sequence diagram of the first one-time password issuing process. FIG. 6 shows an example of various screens (screen transitions) displayed on the output device of the mobile phone 1.
まず、携帯電話1は、ユーザの指示を受け付けて所定のURL(Uniform Resource Locator)を指定して発行サーバ3にアクセスし、例えば図6に示すメニュー画面61を出力装置に表示する。そして、携帯電話1は、ユーザの指示を受け付けて、ワンタイムパスワード発行要求を発行サーバ3に送信する(S11)。図示する例では、ユーザは、メニュー画面61のOTP発行ボタンをクリックするものとする。
First, the mobile phone 1 receives a user instruction, specifies a predetermined URL (Uniform Resource Locator), accesses the issuing
発行サーバ3の要求受付部31は、ワンタイムパスワード発行要求を受け付けると、PIN入力画面を携帯電話1に送信する(S12)。携帯電話1は、例えば図6に示すPIN入力画面62を出力装置に表示する。ユーザは、発行サーバ3にあらかじめ登録したPINをPIN入力画面62に入力する。そして、携帯電話1は、入力されたPINを発行サーバ3に送信する(S13)。なお、携帯電話1は、発行サーバ3に情報を送信する際に、当該携帯電話1のメモリ等に記憶された携帯電話IDを併せて送信するものとする。
When receiving the one-time password issuing request, the
発行サーバ3の要求受付部31は、発行管理テーブル35(図2参照)の中から受け付けた携帯電話IDに対応するPINを特定し、当該PINと携帯電話から送信されたPINとが一致するか検証する。そして、要求受付部31は、発行管理テーブル35を参照し、受け付けた携帯電話IDに対応するフラグが「ON」の場合に、当該携帯電話IDのパスワード生成キーと、対応するカウンタとを生成部32に送出する(S16)。
The
なお、PINが一致しない場合、要求受付部31は、不正なユーザからの要求であると判別し、エラーメッセージを携帯電話1に送信する。また、受け付けた携帯電話IDのフラグが「OFF」の場合、要求受付部31は、現在使用していないトークンからのワンタイムパスワード発行要求であると判別し、エラーメッセージを携帯電話1に送信する。
If the PINs do not match, the
生成部32は、送出されたパスワード生成キーおよびカウンタに基づいて、所定のアルゴリズム(例えば、ハッシュ関数等の一方向性関数)によりワンタイムパスワードを生成する(S15)。そして、生成部32は、発行管理テーブル35の当該カウンタ203の値を1つカウントアップし、カウンタの値を変化させる(S16)。
The
そして、発行サーバ3の生成部32は、生成したワンタイムパスワードを含むワンタイムパスワード表示画面を携帯電話1に送信する(S17)。携帯電話1は、例えば、図6のワンタイムパスワード表示画面63を出力装置に表示する。ユーザは、端末2からWebサイトにログインする際に、携帯電話1に表示されたワンタイムパスワードを入力する。
Then, the
次に、ハードトークン5を用いた第2のワンタイムパスワード発行処理について説明する。 Next, the second one-time password issuing process using the hard token 5 will be described.
ハードトークン5の記憶部には、当該ハードトークン5を使用するユーザに割り当てられたユーザIDのパスワード生成キーが設定されている。ハードトークン5に記憶されたパスワード生成キーと、認証テーブル48の対応するユーザIDのパスワード生成キーとは、同じものが設定されている。また、本実施形態ではカウンタ同期方式を用いたワンタイムパスワードの生成を行うため、ハードトークン5の記憶部にはワンタイムパスワードの生成回数を記憶するカウンタが設けられている。 In the storage unit of the hard token 5, a password generation key of a user ID assigned to a user who uses the hard token 5 is set. The same password generation key stored in the hard token 5 and the password generation key of the corresponding user ID in the authentication table 48 are set. In this embodiment, in order to generate a one-time password using the counter synchronization method, the storage unit of the hard token 5 is provided with a counter that stores the number of times the one-time password is generated.
ユーザは、認証サーバ4のWebサイトにログインする際に、ハードトークン5の入力装置を操作することにより、ワンタイムパスワードの生成指示を入力する。これにより、ハードトークン5の生成部は、記憶部に記憶されたパスワード生成キーと、カウンタとに基づいて、発行サーバ3の生成部32と同様の所定のアルゴリズム(例えば、ハッシュ関数等の一方向性関数)によりワンタイムパスワードを生成し、カウンタの値を1つカウントアップする。そして、ハードトークン5の表示部は、生成したワンタイムパスワードを、ディスプレイなどの表示装置に表示する。
When the user logs in to the Web site of the authentication server 4, the user inputs a one-time password generation instruction by operating the input device of the hard token 5. Thereby, the generation unit of the hard token 5 is based on the password generation key stored in the storage unit and the counter, and a predetermined algorithm similar to the
次に、ワンタイムパスワードの認証処理と、利用するトークンを変更する処理について説明する。 Next, a one-time password authentication process and a process for changing a token to be used will be described.
図7は、ワンタイムパスワードの認証処理と、トークンの変更処理のシーケンス図である。図8は、ブラウザ型トークンである携帯電話1からハードトークンに変更する場合の端末2の各種画面(画面遷移)の一例を示したものである。図9は、ハードトークンからブラウザ型トークンである携帯電話1に変更する場合の端末2の各種画面の一例を示したものである。
FIG. 7 is a sequence diagram of the one-time password authentication process and the token change process. FIG. 8 shows an example of various screens (screen transitions) of the
最初に、図8を参照して、携帯電話1で取得したワンタイムパスワードを用いて認証サーバ4にログインし、その後、利用するトークンをハードトークン5に変更する処理について説明する。なお、セキュリティを確保するために、本実施形態では、ワンタイムパスワードの認証に成功した後に、トークンの変更が行えるものとする。 First, with reference to FIG. 8, a process of logging in to the authentication server 4 using the one-time password acquired by the mobile phone 1 and then changing the token to be used to the hard token 5 will be described. In order to ensure security, in the present embodiment, it is assumed that the token can be changed after successful authentication of the one-time password.
まず、端末2は、ユーザの指示を受け付けて、所定のURLを指定して認証サーバ4のWebサイトにアクセスし、認証サーバ4が提供するログイン画面を出力装置に表示する。図8(a)に示すログイン画面81には、ユーザID入力欄と、パスワード入力欄とが表示されている。ユーザは、あらかじめ当該Webサイトに登録済みのユーザIDと、携帯電話1を用いて取得したワンタイムパスワードとをそれぞれの入力欄に入力する。端末2は、ユーザIDおよびワンタイムパスワードを含むログイン要求を、認証サーバ4に送信する(S31)。
First, the
認証サーバ4の要求受付部41は、認証テーブル48(図3参照)の中から受け付けたユーザIDに対応するカウンタおよびフラグがONになっているパスワード生成キーを取得して生成部42に送出する。さらに、要求受付部41は、発行フラグがONになっているパスワード生成キーがハードトークン5のもので、かつ、ハードトークン5に変更後の最初のログイン要求の場合(S32:YES)、後述するカウンタ補正を行う(S33)。なお、要求受付部41は、認証テーブル48の変更時OTPにワンタイムパスワードが設定されている場合はハードトークン5に変更後の最初のログイン要求であると判別する。
The
ここでは、携帯電話1のブラウザ型トークンであるため(S32:NO)、S34に進む。なお、認証テーブル48の中に受け付けたユーザIDが存在しない場合、要求受付部41は、未登録または不正なユーザからの要求であると判別し、エラーメッセージを端末2に送信する。
Here, since it is a browser type token of the mobile phone 1 (S32: NO), the process proceeds to S34. If the received user ID does not exist in the authentication table 48, the
生成部42は、送出されたパスワード生成キーおよびカウンタに基づいて、発行サーバ3の生成部32およびハードトークン5の生成部と同一のアルゴリズムによりワンタイムパスワードを生成する(S34)。そして、生成部42は、認証テーブル48の当該レコードのカウンタの値を1つカウントアップする(S35)。
The
そして、認証部43は、S31のログイン要求で指定されたワンタイムパスワードと、生成部42が生成したワンタイムパスワードとが一致するか否かを検証する(S36)。ワンタイムパスワードが一致した場合、認証部43は、正当なユーザからのログイン要求であると認証し、認証に成功した場合は認証後画面を端末2に送信する(S37)。なお、ワンタイムパスワードが一致しない場合、認証部43は、認証に失敗した旨を示すエラーメッセージを端末2に送信する。
Then, the
端末2は、例えば図8(a)に示す認証後画面82を出力装置に表示する。図示する認証後画面82には、認証サーバ4が提供する各種のサービスが表示されおり、「トークン変更」サービスも含まれている。ユーザは「トークン変更」を選択し、これにより、端末2は、トークン変更要求を認証サーバ4に送信する(S38)。なお、「トークン変更」以外のサービスを選択した場合、認証サーバ4の業務処理部44は、選択されたサービスをユーザに提供する。
For example, the
認証サーバ4の変更部45は、トークン変更要求を受け付けると、例えば図8(a)に示すトークン変更画面83を端末2に送信する(S39)。なお、変更部45は、認証テーブル48を参照し、フラグが「ON」になっているトークンのラジオボタン(画面83では、携帯電話(1))を選択された状態とする。
When receiving the token change request, the changing
端末2は、トークン変更画面83を出力装置に表示する。ユーザは、トークン変更画面83からハードトークン5への変更指示を入力する。これにより、トークン変更画面83は、ハードトークンが選択されたトークン変更画面84の状態となる。端末2は、トークン変更画面84で選択されたハードトークン5への変更指示を認証サーバ4に送信する(S40)。
The
変更指示を受け付けた認証サーバ4の変更部45は、認証テーブル48のフラグを更新する(S41)。図8(a)に示す場合、変更部45は、認証テーブル48の携帯電話(1)のフラグを「ON」から「OFF」に変更するとともに、ハードトークンのフラグを「OFF」から「ON」に変更する。これにより、ハードトークン以外のワンタイムパスワードについては、認証サーバ4での認証に失敗することになる。
The changing
そして、変更部45は、変更後のトークンとユーザIDとを含むトークン変更通知を発行サーバ3に送信する(S42)。発行サーバ3の変更部33は、トークン変更通知に基づいて、発行管理テーブル35のフラグを更新する。図8(a)に示す場合、変更部33は、発行管理テーブル35の対応するユーザIDの携帯電話(1)のフラグを「ON」から「OFF」に変更する。これにより、発行サーバ3は、携帯電話(1)に対するワンタイムパスワードの発行を停止する。そして、変更部33は、発行管理テーブル35の変更処理が完了したことを認証サーバ4に通知する(S43)。
Then, the changing
ここでは、ハードトークン5への変更処理のため(S44:YES)、認証サーバ4の要求部46は、ハードトークン5が生成したワンタイムパスワードを端末2に要求する(S45)。すなわち、要求部46は、例えば図8(a)のワンタイムパスワード入力画面85を、端末2に送信する。
Here, for the change process to the hard token 5 (S44: YES), the
端末2は、ワンタイムパスワード入力画面85を出力装置に表示する。ユーザは、ハードトークン5にワンタイムパスワードの生成指示を入力する。これにより、ハードトークンは、ワンタイムパスワードを生成し、生成したワンタイムパスワードを表示部に表示する。ユーザは、ハードトークンが生成したワンタイムパスワードをワンタイムパスワード入力画面85に入力する。そして、端末2は、入力されたワンタイムパスワードを認証サーバ4に送信する(S46)。
The
認証サーバ4の要求部46は、認証テーブル48の当該ハードトークンの変更時OTPに、送信されたワンタイムパスワードを設定する(S47)。変更時OTPに設定されたハードトークン5のワンタイムパスワードは、次回ログインする際に、認証テーブル48のカウンタを補正するために用いられる。そして、変更部45は、例えば図8(a)の変更完了画面86を端末2に送信し(S48)、端末2は、変更完了画面86を表示する。
The
図8(a)のトークン変更後、ユーザは、図8(b)に示すように、認証サーバ4のWebサイトにログインする際に、ハードトークン5で生成したワンタイムパスワードをログイン画面87に入力する。そして、端末2は、ログイン画面87に入力されたユーザIDおよびワンタイムパスワードを認証サーバ4に送信する(S31)。ここで、認証サーバ4の要求受付部41は、認証テーブル48の中から当該ユーザIDのフラグがONになっているパスワード生成キーが、ハードトークンのもので、かつ、変更時OTPにワンタイムパスワードが設定されているためハードトークンに変更後の最初のログイン要求であると判別する(S32:YES)。
After the token change in FIG. 8A, the user inputs the one-time password generated by the hard token 5 to the
この場合、補正部47は、認証テーブル48の変更時OTPに設定されたワンタイムパスワードと、S31のログイン要求で入力されたワンタイムパスワードの連続して生成された2つのワンタイムパスワードに基づいて、認証テーブル48の当該ユーザIDのカウンタを補正する(S33)。
In this case, the
カウンタ同期方式を用いたワンタイムパスワードの生成においては、連続して生成される2つのワンタイムパスワードを所定の連立方程式に入力することにより、カウンタの値(ワンタイムパスワードの生成回数)を算出することができる。補正部47は、図8(a)のワンタイムパスワード入力画面85で入力されたワンタイムパスワードと、図8(b)のログイン画面87で入力された連続するワンタイムパスワードからハードトークン5のカウンタの値を算出し、算出した値を認証テーブル48のカウンタに設定する。これにより、認証テーブル48のカウンタを、ハードトークン5のカウンタと同期させることができる。なお、補正部47は、カウンタを補正後、認証テーブル48の変更時OTPに設定されたワンタイムパスワードを削除するものとする。
In the generation of one-time passwords using the counter synchronization method, the counter value (number of one-time password generations) is calculated by inputting two consecutively generated one-time passwords into a predetermined simultaneous equation. be able to. The
そして、認証サーバ4は、ハードトークンのパスワード生成キーと、補正後のカウンタとを用いてワンタイムパスワードを生成し(S34)、認証テーブル48のカウンタをカウントアップし(S35)、ワンタイムパスワードの認証を行い(S36)、認証後画面88を端末2に送信する(S37)。
Then, the authentication server 4 generates a one-time password using the hard token password generation key and the corrected counter (S34), counts up the counter of the authentication table 48 (S35), and determines the one-time password. Authentication is performed (S36), and the
次に、図7および図9を参照して、ハードトークン5が生成したワンタイムパスワードを用いて認証サーバ4にログインし、その後、利用するトークンを携帯電話1のブラウザ型トークンに変更する処理について説明する。
まず、端末2は、認証サーバ4のWebサイトにアクセスし、例えば図9(a)のログイン画面91を出力装置に表示する。ユーザは、ユーザIDとハードトークン5が生成したワンタイムパスワードとを入力する。端末2は、ユーザIDおよびワンタイムパスワードを含むログイン要求を、認証サーバ4に送信する(S31)。
Next, referring to FIG. 7 and FIG. 9, a process of logging in to the authentication server 4 using the one-time password generated by the hard token 5 and then changing the token to be used to the browser type token of the mobile phone 1. explain.
First, the
認証サーバ4の要求受付部41は、認証テーブル48(図3参照)の中から受け付けたユーザIDに対応するカウンタおよびフラグがONになっているパスワード生成キーを取得して生成部42に送出する。ここでは、ONになっているパスワード生成キーはハードトークンのもので、かつ、ハードトークンに変更後の最初のログイン要求でないものとする(S32:NO)。
The
生成部42は、送出されたパスワード生成キーおよびカウンタに基づいて、ハードトークン5と同一のアルゴリズムによりワンタイムパスワードを生成し(S34)、認証テーブル48のカウンタの値を1つカウントアップする(S35)。
The
そして、認証部43は、S31のログイン要求で指定されたワンタイムパスワードと、生成部42が生成したワンタイムパスワードとが一致するか否かを検証し(S36)、認証に成功した場合に例えば図9(a)に示す認証後画面92を端末2に送信する(S37)。端末2は、ユーザの指示を受け付けて、トークン変更要求を認証サーバ4に送信する(S38)。
Then, the
認証サーバ4の変更部45は、例えば図9(a)のトークン変更画面93を端末2に送信する(S39)。ユーザは、トークン変更画面93から携帯電話(1)への変更指示を入力する。これにより、トークン変更画面93は、携帯電話(1)が選択されたトークン変更画面94の状態となる。端末2は、トークン変更画面94で選択された携帯電話(1)への変更指示を認証サーバ4に送信する(S40)。
The
認証サーバ4の変更部45は、認証テーブル48のフラグを更新する(S41)。すなわち、変更部45は、認証テーブル48のハードトークンのフラグを「ON」から「OFF」に変更するとともに、携帯電話(1)のフラグを「OFF」から「ON」に変更する。これにより、携帯電話(1)以外のワンタイムパスワードについては、認証サーバ4での認証に失敗することになる。
The changing
そして、変更部45は、変更後のトークンとユーザIDとを含むトークン変更通知を発行サーバ3に送信する(S42)。発行サーバ3の変更部33は、トークン変更通知に基づいて、発行管理テーブル35のフラグを更新する。すなわち、変更部33は、発行管理テーブル35の対応するユーザIDの携帯電話(1)のフラグを「OFF」から「ON」に変更する。これにより、発行サーバ3は、携帯電話(1)に対するワンタイムパスワードの発行を開始する。そして、変更部33は、発行管理テーブル35の変更処理が完了したことを認証サーバ4に通知するとともに、発行管理テーブル35の対応するユーザIDのカウンタに設定されたワンタイムパスワードの生成回数を、認証サーバ4に送信する(S43)。
Then, the changing
ここでは、携帯電話への変更処理のため(S44:NO)、認証サーバ4の補正部47は、発行サーバ3から取得した生成回数を、認証テーブル48の当該ユーザIDのカウンタに設定する。これにより、認証テーブル48のカウンタと、発行管理テーブル35のカウンタとの同期を合わせることができる。そして、変更部45は、例えば図9(a)の変更完了画面95を端末2に送信する(S48)。
Here, for the change process to the mobile phone (S44: NO), the
図9(a)のトークン変更後、ユーザは、図9(b)に示すように、認証サーバ4のWebサイトにログインする際に、携帯電話(1)で取得したワンタイムパスワードをログイン画面97に入力する。そして、端末2は、ログイン画面97に入力されたユーザIDおよびワンタイムパスワードを認証サーバ4に送信する(S31)。そして、認証サーバ4は、携帯電話(1)のパスワード生成キーと、補正後のカウンタ(発行サーバ3から取得したカウンタ)とを用いてワンタイムパスワードを生成し(S34)、認証テーブル48のカウンタをカウントアップし(S35)、ワンタイムパスワードの認証を行い(S36)、認証後画面98を端末2に送信する(S37)。
After the token change in FIG. 9A, the user logs in the
なお、利用するトークンを、携帯電話(1)から携帯電話(2)に変更する場合についても、いままで説明した処理と同様である。 Note that the process for changing the token to be used from the mobile phone (1) to the mobile phone (2) is the same as the processing described so far.
以上説明した本実施形態の認証サーバ4は、端末2からのトークン変更要求を受け付けて、認証テーブル48の設定を変更するとともに、変更情報を発行サーバ3に通知して発行管理テーブル35の設定を変更させる。これにより、本実施形態では、1人のユーザが使用する複数のトークンのワンタイムパスワードを認証することができ、ユーザの利便性をより向上することができる。すなわち、ユーザは、ハードトークンと携帯電話とを併用し、状況に応じて両者を切替えて利用することができる。例えば、ブラウザ型トークンである携帯電話を利用しているユーザが、海外出張に行くときにハードトークンに変更することにより海外でもワンタイムパスワードを取得することができる。
The authentication server 4 according to the present embodiment described above receives a token change request from the
また、本実施形態では、ハードトークンへ変更する際に(図8参照)、ハードドークンが生成したワンタイムパスワードを認証テーブル48に記憶しておく。そして、認証テーブル48に記憶しておいたワンタイムパスワードと、次回ログインする際に入力されたワンタイムパスワードとを用いて、認証テーブル48のカウンタを補正する。これにより、認証サーバのカウンタと、ハードトークンのカウンタとを同期させることができる。 In the present embodiment, when changing to a hard token (see FIG. 8), the one-time password generated by the hard token is stored in the authentication table 48. Then, the counter of the authentication table 48 is corrected using the one-time password stored in the authentication table 48 and the one-time password input at the next login. Thereby, the counter of the authentication server and the counter of the hard token can be synchronized.
また、本実施形態では、携帯電話へ変更する際に(図9参照)、発行サーバから発行管理テーブルのカウンタの値を取得し、認証サーバの認証テーブルのカウンタを補正する。これにより、認証サーバのカウンタと、発行サーバのカウンタとを同期させることができる。 In this embodiment, when changing to a mobile phone (see FIG. 9), the counter value of the issue management table is acquired from the issue server, and the authentication table counter of the authentication server is corrected. As a result, the counter of the authentication server and the counter of the issuing server can be synchronized.
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。 In addition, this invention is not limited to said embodiment, Many deformation | transformation are possible within the range of the summary.
1:携帯電話、2:端末、3:発行サーバ、31:要求受付部、32:生成部、33:変更部、35:発行管理テーブル、4:認証サーバ、41:要求受付部、42:生成部、43:認証部、44:業務処理部、45:変更部、46:要求部、47:補正部、48:認証テーブル、5:ハードトークン、8:ネットワーク、9:ネットワーク 1: mobile phone, 2: terminal, 3: issuing server, 31: request receiving unit, 32: generating unit, 33: changing unit, 35: issuing management table, 4: authentication server, 41: request receiving unit, 42: generating Part: 43: authentication part, 44: business processing part, 45: change part, 46: request part, 47: correction part, 48: authentication table, 5: hard token, 8: network, 9: network
Claims (7)
各トークン毎にパスワード生成キーが記憶された認証記憶手段と、
現在利用している種別のトークンから他の種別のトークンの利用に切り替えるための変更指示を端末から受け付け、前記認証記憶手段の前記指示された他の種別のトークンのパスワード生成キーにフラグを設定する変更手段と、
前記端末から第1のワンタイムパスワードを含む認証要求を受け付け、前記認証記憶手段から前記フラグが設定されたパスワード生成キーを特定する要求受付手段と、
前記特定したパスワード生成キーに基づいて第2のワンタイムパスワードを生成する生成手段と、
前記要求受付手段が受け付けた第1のワンタイムパスワードと、前記生成手段が生成した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証手段と、を有すること
を特徴とする認証装置。 An authentication device for authenticating a plurality of types of one-time passwords of a browser type token and an offline token corresponding to one account,
An authentication storage means in which a password generation key is stored for each token;
A change instruction for switching from the currently used token type to the use of another type of token is received from the terminal, and a flag is set in the password generation key of the indicated other type of token in the authentication storage unit Change means,
A request receiving means for receiving an authentication request including a first one-time password from the terminal, and specifying a password generation key in which the flag is set from the authentication storage means;
Generating means for generating a second one-time password based on the specified password generation key;
Authentication that verifies whether or not the first one-time password received by the request reception unit matches the second one-time password generated by the generation unit, and determines that the authentication is successful if they match And an authentication device.
前記認証記憶手段は、毎回異なるワンタイムパスワードを生成するための可変情報を、さらに有し、
前記生成手段は、前記パスワード生成キーおよび前記可変情報を用いてワンタイムパスワードを生成後、前記認証記憶手段に記憶された可変情報を変化させること
を特徴とする認証装置。 The authentication device according to claim 1,
The authentication storage means further includes variable information for generating a different one-time password each time,
The generating unit changes the variable information stored in the authentication storage unit after generating a one-time password using the password generation key and the variable information.
前記変更手段が受け付けた変更指示がオフライントークンへの変更指示の場合、オフライントークンが生成したワンタイムパスワードを前記端末に要求する要求手段と、
前記要求手段が要求したワンタイムパスワードと、オフライントークンへの変更後はじめて前記要求受付手段が受け付けたワンタイムパスワードとの連続する2つのワンタイムパスワードに基づいて、前記可変情報を補正する補正手段と、をさらに有すること、
を特徴とする認証装置。 The authentication device according to claim 2,
If the change instruction received by the change means is an instruction to change to an offline token, request means for requesting the terminal a one-time password generated by the offline token;
Correction means for correcting the variable information based on two consecutive one-time passwords, the one-time password requested by the requesting means and the one-time password accepted by the request accepting means for the first time after changing to an offline token. Having further,
An authentication device.
前記変更手段が受け付けた変更指示がワンタイムパスワード発行装置からワンタイムパスワードを取得する携帯電話への変更指示の場合、当該ワンタイムパスワード発行装置に記憶された可変情報を取得し、前記認証記憶手段の可変情報に設定する補正手段を、さらに有すること
を特徴とする認証装置。 The authentication device according to claim 2,
If the change instruction received by the changing means is a change instruction to a mobile phone that acquires a one-time password from a one-time password issuing device, variable information stored in the one-time password issuing device is acquired, and the authentication storage means An authentication device further comprising correction means for setting the variable information.
前記発行装置は、
第1のワンタイムパスワードを生成するための第1のパスワード生成キーを記憶する発行管理記憶手段と、
第1の端末からパスワード生成要求を受け付ける第1の要求受付手段と、
前記発行管理記憶手段の第1のパスワード生成キーに基づいて、第1のワンタイムパスワードを生成し、前記第1の端末に送信する第1の生成手段と、を有し、
前記認証装置は、
前記発行装置からワンタイムパスワードを取得する第1の端末を含む各トークン毎に、第2のパスワード生成キーが記憶された認証記憶手段と、
現在利用している種別のトークンから他の種別のトークンの利用に切り替えるための変更指示を第2の端末から受け付け、前記認証記憶手段の前記指示された他の種別のトークンのパスワード生成キーにフラグを設定する変更手段と
前記第2の端末から第1のワンタイムパスワードまたはオフライントークンが生成した第2のワンタイムパスワードを含む認証要求を受け付け、前記認証記憶手段から前記フラグが設定された第2のパスワード生成キーを特定する第2の要求受付手段と、
前記特定した第2のパスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成手段と、
前記第2の要求受付手段が受け付けた第1または第2のワンタイムパスワードと、前記第2の生成手段が生成した第3のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証手段と、を有すること
を特徴とする認証システム。 An authentication system having an issuing device for issuing a one-time password and an authentication device for authenticating a plurality of types of one-time passwords of a browser type token and an offline token corresponding to one account,
The issuing device is:
Issuance management storage means for storing a first password generation key for generating a first one-time password;
First request accepting means for accepting a password generation request from the first terminal;
First generation means for generating a first one-time password based on a first password generation key of the issuance management storage means and transmitting the first one-time password to the first terminal;
The authentication device
An authentication storage means in which a second password generation key is stored for each token including a first terminal for obtaining a one-time password from the issuing device;
A change instruction for switching from the currently used type of token to the use of another type of token is received from the second terminal, and a flag is generated as a password generation key of the indicated other type of token in the authentication storage unit An authentication request including a first one-time password or a second one-time password generated by an offline token is received from the second terminal, and the flag is set from the authentication storage unit. Second request receiving means for specifying the password generation key of
Second generation means for generating a third one-time password based on the identified second password generation key;
When verifying whether the first or second one-time password received by the second request receiving means matches the third one-time password generated by the second generation means And an authentication means for determining that the authentication is successful.
前記認証装置は、各トークン毎にパスワード生成キーが記憶された認証記憶部と、処理部と、を有し、
前記処理部は、
現在利用している種別のトークンから他の種別のトークンの利用に切り替えるための変更指示を端末から受け付け、前記認証記憶部の前記指示された他の種別のトークンのパスワード生成キーにフラグを設定する変更ステップと、
前記端末から第1のワンタイムパスワードを含む認証要求を受け付け、前記認証記憶部から前記フラグが設定されたパスワード生成キーを特定する要求受付ステップと、
前記特定したパスワード生成キーに基づいて第2のワンタイムパスワードを生成する生成ステップと、
前記要求受付ステップで受け付けた第1のワンタイムパスワードと、前記生成ステップで生成した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を行うこと
を特徴とする認証方法。 An authentication method for authenticating one-time passwords of a plurality of types of tokens of a browser type token and an offline token corresponding to one account performed by an authentication device,
The authentication device includes an authentication storage unit in which a password generation key is stored for each token, and a processing unit.
The processor is
A change instruction for switching from the currently used token type to the use of another type of token is received from the terminal, and a flag is set in the password generation key of the specified other type of token in the authentication storage unit Change steps,
A request receiving step for receiving an authentication request including a first one-time password from the terminal, and specifying a password generation key in which the flag is set from the authentication storage unit;
Generating a second one-time password based on the identified password generation key;
Authentication that verifies whether the first one-time password received in the request reception step matches the second one-time password generated in the generation step, and determines that the authentication is successful if they match And an authentication method.
前記認証装置は、各トークン毎にパスワード生成キーが記憶された認証記憶部と、処理部と、を有し、
前記処理部に、
現在利用している種別のトークンから他の種別のトークンの利用に切り替えるための変更指示を端末から受け付け、前記認証記憶部の前記指示された他の種別のトークンのパスワード生成キーにフラグを設定する変更ステップと、
前記端末から第1のワンタイムパスワードを含む認証要求を受け付け、前記認証記憶部から前記フラグが設定されたパスワード生成キーを特定する要求受付ステップと、
前記特定したパスワード生成キーに基づいて第2のワンタイムパスワードを生成する生成ステップと、
前記要求受付ステップで受け付けた第1のワンタイムパスワードと、前記生成ステップで生成した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を実行させること
を特徴とする認証プログラム。 An authentication program for authenticating one-time passwords of a plurality of types of tokens of a browser type token and an offline token corresponding to one account, executed by an authentication device,
The authentication device includes an authentication storage unit in which a password generation key is stored for each token, and a processing unit.
In the processing unit,
A change instruction for switching from the currently used token type to the use of another type of token is received from the terminal, and a flag is set in the password generation key of the specified other type of token in the authentication storage unit Change steps,
A request receiving step for receiving an authentication request including a first one-time password from the terminal, and specifying a password generation key in which the flag is set from the authentication storage unit;
Generating a second one-time password based on the identified password generation key;
Authentication that verifies whether the first one-time password received in the request reception step matches the second one-time password generated in the generation step, and determines that the authentication is successful if they match And an authentication program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007131313A JP5175490B2 (en) | 2007-05-17 | 2007-05-17 | Authentication device, authentication system, authentication method, and authentication program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007131313A JP5175490B2 (en) | 2007-05-17 | 2007-05-17 | Authentication device, authentication system, authentication method, and authentication program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008287461A JP2008287461A (en) | 2008-11-27 |
JP5175490B2 true JP5175490B2 (en) | 2013-04-03 |
Family
ID=40147121
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007131313A Expired - Fee Related JP5175490B2 (en) | 2007-05-17 | 2007-05-17 | Authentication device, authentication system, authentication method, and authentication program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5175490B2 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010211294A (en) * | 2009-03-06 | 2010-09-24 | Toshiba Corp | User authentication system and user authentication method |
JP5317795B2 (en) * | 2009-03-30 | 2013-10-16 | 株式会社野村総合研究所 | Authentication system and authentication method |
JP5575493B2 (en) * | 2010-01-22 | 2014-08-20 | 株式会社ジェーシービー | Payment system |
JP2013061881A (en) * | 2011-09-14 | 2013-04-04 | Ricoh Co Ltd | Image display system, image display device, and password generation device |
KR101671463B1 (en) * | 2015-03-24 | 2016-11-01 | 에스지앤 주식회사 | One time password generation and recognition system and method thereof |
JP7490471B2 (en) * | 2020-07-01 | 2024-05-27 | キヤノン株式会社 | Image processing device and method |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001243196A (en) * | 2000-03-01 | 2001-09-07 | Fujitsu Ltd | Personal authentification system using mobile telephone and ic card |
JP2001352324A (en) * | 2000-06-07 | 2001-12-21 | Nec Corp | One-time password generator, authentication method and recording medium with one-time password generating program recorded therein |
JP3756772B2 (en) * | 2001-03-13 | 2006-03-15 | 新キャタピラー三菱株式会社 | Vehicle monitoring method and monitoring system therefor |
JP2003186838A (en) * | 2001-12-20 | 2003-07-04 | Sony Ericsson Mobilecommunications Japan Inc | Password issuing system and authentication system |
JP2004295271A (en) * | 2003-03-26 | 2004-10-21 | Renesas Technology Corp | Card and pass code generator |
AU2004305800A1 (en) * | 2003-09-12 | 2005-03-31 | Emc Corporation | System and method providing disconnected authentication |
JP4755866B2 (en) * | 2005-08-23 | 2011-08-24 | 株式会社野村総合研究所 | Authentication system, authentication server, authentication method, and authentication program |
JP4824986B2 (en) * | 2005-10-17 | 2011-11-30 | 株式会社野村総合研究所 | Authentication system, authentication method, and authentication program |
-
2007
- 2007-05-17 JP JP2007131313A patent/JP5175490B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008287461A (en) | 2008-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8918853B2 (en) | Method and system for automatic recovery from lost security token on embedded device | |
US20210273794A1 (en) | Method employed in user authentication system and information processing apparatus included in user authentication system | |
US20150222435A1 (en) | Identity generation mechanism | |
JP4889395B2 (en) | Authentication system, authentication method, and authentication program | |
JP4960738B2 (en) | Authentication system, authentication method, and authentication program | |
US10375061B2 (en) | Communication apparatus, reminder apparatus, and information recording medium | |
JP5462021B2 (en) | Authentication system, authentication method, and authentication program | |
JPWO2008099756A1 (en) | Client device, key device, service providing device, user authentication system, user authentication method, program, recording medium | |
JP2005527909A (en) | User authentication method and system using e-mail address and hardware information | |
US9124571B1 (en) | Network authentication method for secure user identity verification | |
JP5175490B2 (en) | Authentication device, authentication system, authentication method, and authentication program | |
JP2011215753A (en) | Authentication system and authentication method | |
JP4824986B2 (en) | Authentication system, authentication method, and authentication program | |
JP6430689B2 (en) | Authentication method, terminal and program | |
JP4913624B2 (en) | Authentication system and authentication method | |
US20160381009A1 (en) | Systems and Methods for Authenticating Devices Using Single Factor Dynamic Authentication | |
JP2010237741A (en) | Authentication system and authentication method | |
EP2916509B1 (en) | Network authentication method for secure user identity verification | |
JP2011164837A (en) | Authentication system and authentication method | |
JP5793593B2 (en) | Network authentication method for securely verifying user identification information | |
WO2023170902A1 (en) | Information processing system, information processing method, and program | |
JP4636632B2 (en) | Authentication system | |
KR101576038B1 (en) | Network authentication method for secure user identity verification | |
JP6052919B2 (en) | Authentication apparatus, authentication method, and authentication program | |
JP2022076134A (en) | Authentication device, authentication method and authentication program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100312 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120606 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120619 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120816 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121002 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121122 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121211 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130107 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5175490 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |