JP5423123B2 - ユーザ認証システム,方法,スクラッチ媒体及びスクラッチ媒体の製造方法 - Google Patents
ユーザ認証システム,方法,スクラッチ媒体及びスクラッチ媒体の製造方法 Download PDFInfo
- Publication number
- JP5423123B2 JP5423123B2 JP2009104820A JP2009104820A JP5423123B2 JP 5423123 B2 JP5423123 B2 JP 5423123B2 JP 2009104820 A JP2009104820 A JP 2009104820A JP 2009104820 A JP2009104820 A JP 2009104820A JP 5423123 B2 JP5423123 B2 JP 5423123B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- time password
- password
- counter
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は,ユーザを認証する技術に関し、更に詳しくは,使い捨てのパスワードであるワンタイムパスワードを利用してユーザを認証する技術に関する。
フィッシング詐欺やスパイウェア対策として,ネットバンキングなどの用途において二要素認証が注目を集めている。二要素認証とは,異なる性質を持つ二つの認証要素を組み合せてユーザを認証する方式である。
オンラインバンキングなどセキュリティが高くユーザを認証することが必要なケースでは、「自分だけが知っている(know)」に係る認証要素であるPIN(Personal Identification Number)などのパスワードに加え、「自分だけが持っている(has)」に係る認証要素であるワンタイムパスワード(OTP: One Time Password)を用いた二要素認証により,ユーザを認証することが検討されている。
「自分だけが持っている(has)」に係る認証要素以外にも,「自分自身(is)」に係る認証要素であるバイオメトリクス情報(例えば,指紋)を用いることも可能であるが、バイオメトリクス情報に対してユーザは強い抵抗感をもつため,「自分だけが持っている(has)」に係る認証要素であるワンタイムパスワード(OTP: One Time Password)を利用するケースが増えている。
トークンを利用してOTPを生成する方式には、時刻同期方式とカウンタ方式の2つの方式があり,例えば、特許文献1では、カウンタ同期方式でOTPを生成する技術に関する発明が開示され、特許文献2では,時刻同期方式でOTPを生成する技術に関する発明が開示されている。
特許文献1はカウンタ同期方式に利用するカウンタを乱数に基づいて進めることで、ワンタイムパスワードを生成するときに利用する生成鍵の秘匿性を高める発明である。更に、特許文献2は時刻同期方式に利用する時刻に秒,又は,ワンタイムパスワードの発生回数を示すカウンタの値を含ませることで,ワンタイムパスワードの不正利用を防止する発明である。
また,特許文献3では、二要素認証でユーザを認証するとき,「自分だけが知っている(know)」に係る認証要素であるPIN(Personal Identification Number)などのパスワードに,カウンタ同期方式のカウンタの値を加え,「自分だけが持っている(has)」に係る認証要素となるOTPを生成する発明が開示されている。
二要素認証などで利用されるワンタイムパスワードを生成するトークンは,電子部品が内蔵されたデバイス(例えば,USBキー)によって実現することが望ましいが,該デバイスのコストが高くなってしまい,該デバイスが普及していないのが現状で,安価で該トークンを実現できることが望まれている。
また,二要素認証などで利用されるワンタイムパスワードを生成するトークンを,電子部品が内蔵されたデバイスによって実現すると,ワンタイムパスワードを生成するアルゴリズムや生成鍵の変更が容易に行えない問題がある。
そこで,本発明は,二要素認証などで利用されるカウンタ同期方式のワンタイムパスワードを生成するトークンとして機能し安価に実現できるスクラッチ媒体を提供すると共に,該スクラッチ媒体を利用したユーザ認証システム,ユーザ認証方法及びスクラッチ媒体の製造方法を提供することを目的とする。
上述した課題を解決する第1の発明は,カウンタ同期方式のワンタイムパスワードの算出に用いる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報が印刷され,更に,引っ掻き落とすことのできる隠蔽部材によって覆うことで,一つの前記ワンタイムパスワードを目視的に隠蔽した状態で印刷した隠蔽エリアが,前記ユーザ情報から導出した生成鍵を用い,前記ユーザ情報に対応するカウンタの初期値を設定値ずつインクリメントして得られる所定数のカウンタ値それぞれから算出した前記ワンタイムパスワード毎に,前記ワンタイムパスワードの利用順を示した状態で設けられていることを特徴とするスクラッチ媒体である。
更に,第2の発明は,カウンタ同期方式のワンタイムパスワードの算出に用いる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報が印刷され,更に,引っ掻き落とすことのできる隠蔽部材によって覆うことで,一つの前記ワンタイムパスワードを目視的に隠蔽した状態で印刷した隠蔽エリアが,前記ユーザ情報から導出した生成鍵を用い,前記ユーザ情報に対応するカウンタの初期値を設定値ずつインクリメントして得られる所定数のカウンタ値それぞれから算出した前記ワンタイムパスワード毎に,前記ワンタイムパスワードの利用順を示した状態で設けられているスクラッチ媒体と,前記スクラッチ媒体を所持するユーザをユーザ認証するユーザ認証装置とから少なくとも構成され,前記ユーザ認証装置は,前記スクラッチ媒体を所持するユーザが操作するクライアントから取得したパスワードを認証するパスワード認証手段と,前記スクラッチ媒体に隠蔽された前記ワンタイムパスワードを算出するときに利用したカウンタと同期する内部カウンタを有し,前記クライアントから取得した前記ユーザ情報から所定のアルゴリズムに従い前記生成鍵を算出し,算出した前記生成鍵を用い,前記内部カウンタのカウンタ値からユーザ認証に利用する参照ワンタイムパスワードを生成した後,所定のパスワード認証アルゴリズムに従い,前記参照ワンタイムパスワードを用いて前記クライアントから取得した前記ワンタイムパスワードを認証するワンタイムパスワード認証手段を備え,前記スクラッチ媒体に印字されている前記ユーザ情報,ユーザのパスワードおよび前記スクラッチ媒体の一つの前記隠蔽エリア内に隠蔽された前記ワンタイムパスワードを前記クライアントから取得すると,前記パスワード認証手段と前記ワンタイムパスワード認証手段を作動させ,前記パスワード認証手段が前記パスワードの認証に成功し,かつ,前記ワンタイムパスワード認証手段が前記ワンタイムパスワードの認証に成功すると,ユーザ認証に成功したと判定することを特徴とするユーザ認証システムである。
更に,第3の発明は,カウンタ同期方式のワンタイムパスワードの算出に用いる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報が印刷され,更に,引っ掻き落とすことのできる隠蔽部材によって覆うことで,一つの前記ワンタイムパスワードを目視的に隠蔽した状態で印刷した隠蔽エリアが,前記ユーザ情報から導出した生成鍵を用い,前記ユーザ情報に対応するカウンタの初期値を設定値ずつインクリメントして得られる所定数のカウンタ値それぞれから算出した前記ワンタイムパスワード毎に,前記ワンタイムパスワードの利用順を示した状態で設けられているスクラッチ媒体を所持するユーザを認証するユーザ認証装置に,前記スクラッチ媒体に印刷された前記ユーザ情報,ユーザのパスワードおよび前記スクラッチ媒体の一つの前記隠蔽エリア内に隠蔽された一つの前記ワンタイムパスワードをユーザが操作するクライアントから取得するステップa,前記ステップaで取得した前記パスワードを認証するステップb,前記ユーザ情報から所定のアルゴリズムに従い前記生成鍵を算出し,算出した前記生成鍵を用い,前記スクラッチ媒体に隠蔽された前記ワンタイムパスワードを算出するときに利用したカウンタと同期する内部カウンタのカウンタ値から,ユーザ認証に利用する参照ワンタイムパスワードを生成するステップc,所定のパスワード認証アルゴリズムに従い,前記参照ワンタイムパスワードを用いて,前記ステップaで取得した前記ワンタイムパスワードを認証するステップd,前記ステップbで前記パスワードの認証に成功し,かつ,前記ステップdで前記ワンタイムパスワードの認証に成功したときのみユーザ認証に成功したと判定するステップeを実行させることを特徴とするユーザ認証方法である。
更に,第4の発明は,カウンタ同期方式のワンタイムパスワードの算出に用いる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報が印刷され,更に,引っ掻き落とすことのできる隠蔽部材によって覆うことで,一つの前記ワンタイムパスワードを目視的に隠蔽した状態で印刷した隠蔽エリアが,前記ユーザ情報から導出した生成鍵を用い,前記ユーザ情報に対応するカウンタの初期値を設定値ずつインクリメントして得られる所定数のカウンタ値それぞれから算出した前記ワンタイムパスワード毎に,前記ワンタイムパスワードの利用順を示した状態で設けられているスクラッチ媒体の製造方法であって,前記スクラッチ媒体の発行元から得られ,前記スクラッチ媒体を所持するユーザのユーザ情報に関連付けて,前記ワンタイムパスワードを生成するときのカウンタの初期値が記憶されている発券情報を用い,前記発券情報に含まれる前記ユーザ情報毎に,前記ユーザ情報から所定のアルゴリズムに従い前記生成鍵を算出し,前記ユーザ情報に関連付けられた前記カウンタの初期値を設定値ずつインクリメントして得られる所定数のカウンタ値それぞれから,前記スクラッチ媒体に印刷する数の前記ワンタイムパスワードを前記生成鍵を利用して生成し,前記ユーザ情報に加え,前記ワンタイムパスワードの利用順を示した状態で前記ワンタイムパスワードそれぞれを前記隠蔽エリアの領域内に印刷した後,それぞれの前記隠蔽エリアを前記隠蔽部材で覆う印刷を実行することを特徴とするスクラッチ媒体の製造方法である。
上述した発明によれば,二要素認証などで利用されるカウンタ同期方式のワンタイムパスワードを生成するトークンとして機能する媒体を安価に実現でき,更に,該媒体を利用したユーザ認証システム及び方法を提供できる。
ここから,本発明に係わる発明について,図を参照しながら詳細に説明する。図1は,本発明に係わるスクラッチ媒体をスクラッチカード2としたときのユーザ認証システム1の構成を説明する図で,ユーザ8が所持するスクラッチカード2と,ユーザ8が操作するクライアント4と,ウェブアプリケーション(例えば,オンラインバンキング)を利用するユーザ8を認証するユーザ認証装置3とから構成され,クライアント4とユーザ認証装置3はネットワーク5を介して接続されている。
図1で図示したユーザ認証システム1のユーザ認証装置3は,2つの認証要素を組み合わせた二要素認証によりユーザ認証する装置で,本実施形態において,ユーザ認証には,ユーザ8のパスワードとスクラッチカード2から得られるワンタイムパスワード(OTP: One Time Password)の2つの認証要素が利用される。
ユーザ8のパスワード(例えば,PIN)は,「自分だけが知っている(know)」に当たり,また,OTPが隠蔽される複数の隠蔽エリア20が設けられたスクラッチカード2は,ユーザ8に郵送されるため,スクラッチカード2から得られるOTPは,「自分だけが持っている(has)」に係る認証要素に当たることになる。
オンラインバンキングなどにおけるユーザ認証にOTPを利用するとき,本発明とは異なり,電子部品が内蔵されたデバイス型のトークン(例えば,USBキー)をユーザ8に所持させることが一般的である。
電子部品が内蔵されたデバイス型のトークンでは,時刻同期方式とカウンタ同期方式のいずれの方式にも対応を取ることができるが,スクラッチカード2をトークンとして利用する場合,スクラッチカード2自身ではOTPを生成することができないため,本発明では,カウンタ同期方式のOTPが利用される。
また,電子部品が内蔵されたデバイス型のトークンでは,OTPを生成するイベントは,該デバイス型のトークンのボタンが押されることになるのに対し,OTPを生成するトークンをスクラッチカード2で実現したとき,OTPを生成するイベントは,スクラッチカード2に設けられた一つの隠蔽エリア20を削る動作になり,ユーザ8は,一つの隠蔽エリア20を削ることで,一つのOTPをスクラッチカード2から得る。
このように,スクラッチカード2は,電子部品が内蔵されたデバイス型のトークンと同様の機能を果たすことになるが,スクラッチカード2から得ることのできるOTPの数は,スクラッチカード2に設けられた隠蔽エリア20の数に限定される。例えば,図1では,10個の隠蔽エリア20がスクラッチカード2に設けられているため,スクラッチカード2から得ることのできるOTPの数は10個に限定される。
図1で図示したユーザ認証装置3は,オンラインバンキングなどのウェブサービスを利用するユーザ8のユーザ認証を実行するためにネットワーク5上に設けられたサーバで,ユーザ認証装置3は,ユーザ認証を実行するとき,ユーザ8に2つの認証要素の入力,ここでは,ユーザ8のパスワードと,ユーザ8が所持しているスクラッチカード2から得られる一つのOTPの入力を要求し,2つの認証要素の認証に成功したときのみ,該ユーザ8に対してウェブサービスの利用が許可される。
電子部品が内蔵されたデバイス型のトークンでOTPを生成するトークンを実現すると,デバイス型のトークンは高価になってしまい,ウェブサービスを利用するユーザ8すべてに該デバイス型のトークンを配布すると,ウェブサービス運営者側の負担額は非常に高額になってしまうが,本発明のように,紙媒体で実現できるスクラッチカード2でOTPを生成するトークンを実現すると,紙媒体で実現できるスクラッチカード2は安価で済むため,ウェブサービス運営者側の負担額を安価にすることができる。
加えて,OTPを生成するアルゴリズムやOTPを生成するときの暗号鍵を変更する必要性があるとき,電子部品が内蔵されたデバイス型のトークンのときは,デバイス型のトークンに記憶されたコンピュータプログラムや暗号鍵をセキュアに更新する仕組みが必要になるが,スクラッチカード2のときは,更新後のアルゴリズムや暗号鍵を適用して生成されたOTPが印刷されたスクラッチカード2をユーザ8に送信するだけで済むようになる。
ここから,図1で図示したスクラッチカード2及びユーザ認証装置3について,それぞれ詳細に説明する。
まず,本発明のスクラッチ媒体となるスクラッチカード2について詳細に説明する。図2は,スクラッチカード2を説明する図で,図2(a)はOTPが隠蔽されていない状態のスクラッチカード2を説明する図で,図2(b)はOTPが隠蔽されている状態のスクラッチカード2を説明する図である。
図2に図示したように,スクラッチカード2とは小さなトークンで,スクラッチカード2の素材及び形状は任意であるが,スクラッチカード2の素材は紙が一般的で,ユーザ8がスクラッチカード2を持ち運びできるように,スクラッチカード2の形状はキャッシュカードの同じ形状にするとよい。
図2(a)に図示したように,スクラッチカード2上には,カウンタの初期値を設定値ずつインクリメントして得られる所定数のカウンタ値それぞれから,ユーザ8を識別するためのユーザIDから導出される生成鍵を用いたアルゴリズムで生成したOTPが隠蔽エリア20内に印刷されている。
更に,スクラッチカード2には,複数の隠蔽エリア20に加え,OTPを生成するときに利用する生成鍵を生成するためのシード(種)となり,ユーザ8毎に異なるユーザ情報としてユーザID(例えば,ユーザ8の会員番号)が印刷されると共に,隠蔽されたOTPを利用する順番を示す番号が隠蔽エリア20の左側に印刷されている。
例えば,左側の番号が「1」の隠蔽エリア20内に印刷されているOTP(ここでは,「A0A1A2A3A4A5」)は最初に利用するOTPで,左側の番号が「3」の隠蔽エリア20内に印刷されているOTP(ここでは,「C0C1C2C3C4C5」)は3番目に利用するOTPである。
図2(b)で図示したように,ユーザ8に送信されるスクラッチカード2では,隠蔽エリア20内に印刷されたOTPは,ラテックスなどの隠蔽部材(latex)によって覆われ,隠蔽エリア20内に印刷されたOTPが透けて見えないように隠蔽されている。ユーザ8が,スクラッチカード2からOTPを得るときは,番号順に,隠蔽部材を削り落とすことで,隠蔽部材によって隠蔽されたOTPを露出させる。
スクラッチカード2の製造工程を説明する。図1において,スクラッチカード2の製造に利用される装置は,図1で図示したスクラッチカード印刷機6で,スクラッチカード印刷機6は印刷会社に設置され,スクラッチカード印刷機6で印刷されたスクラッチカード2がユーザ8に郵送される。
スクラッチカード印刷機6には,カード媒体に文字や数字などを印刷した後,該カードの一部或いは全面を隠蔽部材で隠蔽するカード印刷部60と,暗号鍵を内部に記憶し,該暗号鍵を用いた暗号演算を行うHSM61(Host Security Module)と,ウェブサービス運営者から受領した発券情報を利用し,ユーザ8毎にユーザ8に郵送するスクラッチカード2の印刷を印刷部に指示する発行コンピュータ62が備えられている。なお,スクラッチカード印刷機6のHSM61に記憶される暗号鍵及び発行コンピュータ62に記憶される発券情報は,所定の規則に従いウェブサービス運営者から印刷会社へ送信され,それぞれの装置に記憶される。
発行コンピュータ62に記憶される発券情報には,ユーザIDに関連付けて,ユーザIDで特定されるユーザ8に郵送するスクラッチカード2に印刷するOTPを生成するときのカウンタの初期値が記憶されている。なお,カウンタの初期値はユーザ8毎に同一でもよく,また,ユーザ8毎に異なっていても良い。加えて,ユーザ毎に複数枚のスクラッチカード2を印刷するときは,ユーザ毎に印刷する枚数に応じた発券情報が発行コンピュータ62に記憶される。
スクラッチカード印刷機6のHSM62には,発券情報に含まれる一つのユーザID及びカウンタ値が送信されると,内部に記憶している暗号鍵を利用した所定のアルゴリズムに従い,該ユーザIDからユーザ8毎に個別の生成鍵を生成し,該生成鍵を用い,所定のワンタイムパスワード生成アルゴリズムに従いOTPを生成するコンピュータプログラムが記憶されている。
図3は,スクラッチカード2の製造工程を説明するフロー図である。スクラッチカード印刷機6では,発行コンピュータ62に記憶された発券情報に含まれるユーザID毎に,スクラッチカード2が印刷され,一つのユーザIDに対応するスクラッチカード2は,図3の手順に従い製造される。
発行コンピュータ62は,一枚のスクラッチカード2を印刷するとき,スクラッチカード2を製造するユーザIDに関連付けられたカウンタの初期値をカウンタ値とし,該ユーザID及び該カウンタ値をHSM61に送信し(S1),HSM61は,該ユーザIDからユーザ8の個別鍵を生成した後,該生成鍵を用いて該カウンタ値に基づくOTPを生成し,該OTPを発行コンピュータ62に送信する(S2)。
発行コンピュータ62は,HSM61からOTPを受信すると,該OTPをHSM61から受信した順に記憶した後(S3),所定の数(ここでは,10個)だけOTPを生成したか確認する(S4)。
発行コンピュータ62は,所定数(ここでは,10個)だけOTPを生成していないときは,スクラッチカード2を製造するユーザIDに関連付けられたカウンタ値を設定値(例えば,+2)だけインクリメントし(S5),スクラッチカード2を製造するユーザID及びインクリメント後のカウンタ値をHSM61に送信し(S6),図3のS2に戻る。
また,図3のS3において,所定数(ここでは,10個)だけOTPを生成したとき,発行コンピュータ62は,HSM61から受信した順にそれぞれのOTPを所定の順番で並べて印刷した後,OTPを隠蔽部材で覆う印刷を実行することで,スクラッチカード2に所定数の隠蔽エリア20を生成し(S7),この手順を終了する。
図3で図示したフローは,一枚のスクラッチカード2を印刷するときのフローで,ユーザ毎に複数枚のスクラッチカード2を印刷する場合,図3で図示したフローが繰り返し実行される。
ここから,図1で図示したユーザ認証装置3について説明する。図4は,ユーザ認証装置3のハードゥエアブロック図で,図5は,ユーザ認証装置3の機能ブロック図である。
図4に図示したように,ユーザ認証装置3は、ハードウェアとして、CPU3a、RAM3b,ROM3c,大容量のデータ記憶装置であるハードディスク3e,及び,ネットワークインターフェース3d,ディスプレイ3f,キーボード3g及びマウス3hなどを備え,更に,ユーザ認証装置3には,スクラッチカード印刷機6と同じ機能を備えたHSM30が接続され,ユーザ認証装置3のハードディスク3eには,二要素認証によりユーザ認証を実行するコンピュータプログラムに加え,ユーザ認証するために必要な様々な情報が記憶されている。
図5に図示したように,ユーザ認証装置3のハードディスク3eにはユーザ認証に必要な情報が記憶されるユーザデータベース302と,印刷会社に送信した発券情報が記憶される発券情報データベース304が設けられ,図4で図示したハードウェア資源を利用したコンピュータプログラムで実現される機能として,ウェブサービスを利用するユーザ8から得られるOTPを認証するOTP認証手段300と,該ユーザ8のパスワードを認証するパスワード認証手段301と,スクラッチカード印刷機6においてスクラッチカード2が製造されるときに必要となる発券情報を生成する発券情報生成手段303が備えられ,本実施形態において,ユーザデータベース302には,ユーザIDに関連付けて,ユーザ8のカウンタ値及びユーザ8の参照パスワードが記憶されている。
まず,ユーザ認証する手順を示しながら,ユーザ認証装置3に備えられたOTP認証手段300及びパスワード認証手段301について説明する。
図6は,ユーザ認証装置3がユーザ認証する処理の手順を示したフロー図である。まず,ユーザ8からウェブサービスにアクセスがあると,ユーザ認証装置3は,ユーザ8にパスワードとOTPを入力させるウェブページをクライアント4に送信し,ユーザ8にパスワードとOTPの入力を要求する(S10)。
図7は,ユーザ認証装置3からクライアント4に送信するウェブページ7の一例を説明する図である。ウェブページ7には,ユーザIDを入力するフォーム70,ユーザ8のパスワードを入力するフォーム71,スクラッチカード2から得られるOTPを入力するフォーム72,ユーザID等を送信するときにクリックされるボタンオブジェクト73,ユーザID等の送信をキャンセルするときクリックされるボタンオブジェクト74が含まれる。
ユーザ8が,ユーザ8のユーザIDをフォーム70に入力し,ユーザ8のパスワードをフォーム71に入力し,更に,隠蔽エリア20の隠蔽部材が削られておらず,左側の番号は最も小さい隠蔽エリア20の隠蔽部材を削ることで露出するOTPをフォーム72に入力した後,ボタンオブジェクト73をクリックすると,ユーザ8のパスワード及びOTPがクライアント4からユーザ認証装置3へ送信される。
図6の説明に戻る。ユーザ認証装置3は,ユーザ8のユーザID,ユーザ8のパスワード及びOTPをクライアント4から受信すると(S11),まず,ユーザ認証手段301を作動させて,ユーザ8のパスワードを認証する(S12)。
ユーザ認証手段301は,ユーザデータベース302を参照し,クライアント4から受信したユーザIDに関連付けられている参照パスワードと,クライアント4から受信したパスワードを照合することで,「自分だけが知っている(know)」に係る認証要素であるユーザ8のパスワードを認証する。
ユーザ認証装置3は,ユーザ8のパスワードの認証結果によって処理を分岐させ(S13),ユーザ認証に失敗すると,ウェブアプリケーションの利用をユーザ8に許可することなく,図6の手順を終了し,パスワードの認証に成功すると,ユーザ認証装置3は,OTP認証手段300を作動させて,クライアントから取得したOTPの認証を開始する(S14)。
ユーザ認証装置3のOTP認証手段300は,ユーザデータベース302を参照し,クライアント4から受信したユーザIDに関連付けられているカウンタ値を取得し,該ユーザID及び該カウンタ値をHSM30に送信すると共に,該カウンタ値を所定の数(例えば,+2)だけインクリメントする(S15)。
ユーザ認証装置3に接続されたHSM30は,ユーザ認証装置3からユーザID及びカウンタ値を受信すると,該ユーザIDからユーザ8の個別鍵を生成した後,該生成鍵と該カウンタ値からOTPを生成し,該OTPをユーザ認証装置3に送信する(S16)。
ユーザ認証装置3は,HSM30からOTPを受信すると,クライアント4から受信したOTPとHSM30から受信したOTPを照合することで,「自分だけが持っている(has)」に係る認証要素に当たるOTPを認証する(S17)。
ユーザ認証装置3は,OTPの認証結果によって処理を分岐させ(S18),クライアント4から受信したOTPの認証に成功すると,ウェブサービスの利用をユーザ8に許可する処理を実行し(S19),クライアントから受信したOTPの認証に失敗すると,ウェブサービスの利用をユーザ8に許可することなく,図6で図示した手順を終了する。
次に,ユーザ認証する手順を示しながら,ユーザ認証装置3に備えられた発券情報生成手段303について説明する。ユーザ認証装置3に備えられた発券情報生成手段303は,ユーザ認証装置3の発券情報データベース304に記憶されている発券情報に基づき,スクラッチカード印刷機6の発行コンピュータ62に記憶される新たな発券情報を生成する手段である。
ユーザ認証装置3の発券情報データベース304には,スクラッチカード印刷機6を所持する印刷会社に送信した発券情報が,発券情報の生成日時に関連付けて記憶され,ユーザ認証装置3は,キーボード3g及びマウス3hが操作されるなどして発券情報の生成が指示されると,発券情報生成手段303を作動させ,発券情報生成手段303は,発券情報データベース304に記憶されている最新の発券情報を利用して,印刷会社に送信する発券情報を新規に生成する処理を実行する。
ユーザ認証装置3の発券情報生成手段303は,発券情報データベース304に記憶されている最新の発券情報に含まれるユーザID毎に,ユーザIDに関連付けられているカウンタの初期値に,1枚のスクラッチカード2上の隠蔽エリア20内に印刷されるOTPの数(ここでは,10個)を加算処理することで,印刷会社に送信する発券情報を新規に生成し,生成した発券情報を生成日時に関連付けて発券情報データベース304に記憶する。
なお,ユーザ毎に複数枚のスクラッチカード2を印刷する場合,上述した内容が繰り返し実行される。
なお,本発明は,これまで説明した実施の形態に限定されることなく,種々の変形や変更が可能である。
例えば,スクラッチ媒体の形態はスクラッチカード2でなくとも良く,例えば,ダイレクトメール(Direct Mail)のような圧着されたハガキの形態で実現することもできる。
1 ユーザ認証システム
2 スクラッチカード
20 隠蔽エリア
3 ユーザ認証装置
30 HSM
300 OTP認証手段
301 パスワード認証手段
4 クライアント
5 ネットワーク
6 スクラッチカード印刷機
60 カード印刷部
61 HSM
62 発行コンピュータ
2 スクラッチカード
20 隠蔽エリア
3 ユーザ認証装置
30 HSM
300 OTP認証手段
301 パスワード認証手段
4 クライアント
5 ネットワーク
6 スクラッチカード印刷機
60 カード印刷部
61 HSM
62 発行コンピュータ
Claims (4)
- カウンタ同期方式のワンタイムパスワードの算出に用いる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報が印刷され,更に,
引っ掻き落とすことのできる隠蔽部材によって覆うことで,一つの前記ワンタイムパスワードを目視的に隠蔽した状態で印刷した隠蔽エリアが,前記ユーザ情報から導出した生成鍵を用い,前記ユーザ情報に対応するカウンタの初期値を設定値ずつインクリメントして得られる所定数のカウンタ値それぞれから算出した前記ワンタイムパスワード毎に,前記ワンタイムパスワードの利用順を示した状態で設けられていることを特徴とするスクラッチ媒体。 - カウンタ同期方式のワンタイムパスワードの算出に用いる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報が印刷され,更に,引っ掻き落とすことのできる隠蔽部材によって覆うことで,一つの前記ワンタイムパスワードを目視的に隠蔽した状態で印刷した隠蔽エリアが,前記ユーザ情報から導出した生成鍵を用い,前記ユーザ情報に対応するカウンタの初期値を設定値ずつインクリメントして得られる所定数のカウンタ値それぞれから算出した前記ワンタイムパスワード毎に,前記ワンタイムパスワードの利用順を示した状態で設けられているスクラッチ媒体と,前記スクラッチ媒体を所持するユーザをユーザ認証するユーザ認証装置とから少なくとも構成され,
前記ユーザ認証装置は,前記スクラッチ媒体を所持するユーザが操作するクライアントから取得したパスワードを認証するパスワード認証手段と,前記スクラッチ媒体に隠蔽された前記ワンタイムパスワードを算出するときに利用したカウンタと同期する内部カウンタを有し,前記クライアントから取得した前記ユーザ情報から所定のアルゴリズムに従い前記生成鍵を算出し,算出した前記生成鍵を用い,前記内部カウンタのカウンタ値からユーザ認証に利用する参照ワンタイムパスワードを生成した後,所定のパスワード認証アルゴリズムに従い,前記参照ワンタイムパスワードを用いて前記クライアントから取得した前記ワンタイムパスワードを認証するワンタイムパスワード認証手段を備え,前記スクラッチ媒体に印字されている前記ユーザ情報,ユーザのパスワードおよび前記スクラッチ媒体の一つの前記隠蔽エリア内に隠蔽された前記ワンタイムパスワードを前記クライアントから取得すると,前記パスワード認証手段と前記ワンタイムパスワード認証手段を作動させ,前記パスワード認証手段が前記パスワードの認証に成功し,かつ,前記ワンタイムパスワード認証手段が前記ワンタイムパスワードの認証に成功すると,ユーザ認証に成功したと判定する,
ことを特徴とするユーザ認証システム。 - カウンタ同期方式のワンタイムパスワードの算出に用いる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報が印刷され,更に,引っ掻き落とすことのできる隠蔽部材によって覆うことで,一つの前記ワンタイムパスワードを目視的に隠蔽した状態で印刷した隠蔽エリアが,前記ユーザ情報から導出した生成鍵を用い,前記ユーザ情報に対応するカウンタの初期値を設定値ずつインクリメントして得られる所定数のカウンタ値それぞれから算出した前記ワンタイムパスワード毎に,前記ワンタイムパスワードの利用順を示した状態で設けられているスクラッチ媒体を所持するユーザを認証するユーザ認証装置に,前記スクラッチ媒体に印刷された前記ユーザ情報,ユーザのパスワードおよび前記スクラッチ媒体の一つの前記隠蔽エリア内に隠蔽された一つの前記ワンタイムパスワードをユーザが操作するクライアントから取得するステップa,前記ステップaで取得した前記パスワードを認証するステップb,前記ユーザ情報から所定のアルゴリズムに従い前記生成鍵を算出し,算出した前記生成鍵を用い,前記スクラッチ媒体に隠蔽された前記ワンタイムパスワードを算出するときに利用したカウンタと同期する内部カウンタのカウンタ値から,ユーザ認証に利用する参照ワンタイムパスワードを生成するステップc,所定のパスワード認証アルゴリズムに従い,前記参照ワンタイムパスワードを用いて,前記ステップaで取得した前記ワンタイムパスワードを認証するステップd,前記ステップbで前記パスワードの認証に成功し,かつ,前記ステップdで前記ワンタイムパスワードの認証に成功したときのみユーザ認証に成功したと判定するステップe,を実行させることを特徴とするユーザ認証方法。
- カウンタ同期方式のワンタイムパスワードの算出に用いる生成鍵を生成するためのシード(種)となり,ユーザ毎に異なるユーザ情報が印刷され,更に,引っ掻き落とすことのできる隠蔽部材によって覆うことで,一つの前記ワンタイムパスワードを目視的に隠蔽した状態で印刷した隠蔽エリアが,前記ユーザ情報から導出した生成鍵を用い,前記ユーザ情報に対応するカウンタの初期値を設定値ずつインクリメントして得られる所定数のカウンタ値それぞれから算出した前記ワンタイムパスワード毎に,前記ワンタイムパスワードの利用順を示した状態で設けられているスクラッチ媒体の製造方法であって,
前記スクラッチ媒体の発行元から得られ,前記スクラッチ媒体を所持するユーザのユーザ情報に関連付けて,前記ワンタイムパスワードを生成するときのカウンタの初期値が記憶されている発券情報を用い,前記発券情報に含まれる前記ユーザ情報毎に,前記ユーザ情報から所定のアルゴリズムに従い前記生成鍵を算出し,前記ユーザ情報に関連付けられた前記カウンタの初期値を設定値ずつインクリメントして得られる所定数のカウンタ値それぞれから,前記スクラッチ媒体に印刷する数の前記ワンタイムパスワードを前記生成鍵を利用して生成し,前記ユーザ情報に加え,前記ワンタイムパスワードの利用順を示した状態で前記ワンタイムパスワードそれぞれを前記隠蔽エリアの領域内に印刷した後,それぞれの前記隠蔽エリアを前記隠蔽部材で覆う印刷を実行することを特徴とするスクラッチ媒体の製造方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009104820A JP5423123B2 (ja) | 2009-04-23 | 2009-04-23 | ユーザ認証システム,方法,スクラッチ媒体及びスクラッチ媒体の製造方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009104820A JP5423123B2 (ja) | 2009-04-23 | 2009-04-23 | ユーザ認証システム,方法,スクラッチ媒体及びスクラッチ媒体の製造方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010257101A JP2010257101A (ja) | 2010-11-11 |
| JP5423123B2 true JP5423123B2 (ja) | 2014-02-19 |
Family
ID=43317955
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009104820A Expired - Fee Related JP5423123B2 (ja) | 2009-04-23 | 2009-04-23 | ユーザ認証システム,方法,スクラッチ媒体及びスクラッチ媒体の製造方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5423123B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10590861B2 (en) | 2014-08-13 | 2020-03-17 | Siemens Aktiengesellschaft | Power plant with emergency fuel system |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NL2010107C2 (nl) * | 2013-01-10 | 2014-07-15 | Medisecurecards Nederland B V | Werkwijze en systeem voor het overal ter wereld snel tot beschikking krijgen van medische gegevens. |
| JP6048210B2 (ja) * | 2013-02-26 | 2016-12-21 | 沖電気工業株式会社 | 情報処理装置及びプログラム |
| EP2843605A1 (en) | 2013-08-30 | 2015-03-04 | Gemalto SA | Method for authenticating transactions |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001154921A (ja) * | 1999-11-30 | 2001-06-08 | Toppan Forms Co Ltd | データ提供システムおよび方法 |
| JP2002163583A (ja) * | 2000-11-22 | 2002-06-07 | Ntt Data Corp | 電子取引方法、センタ及びプリペイドカード |
| US20050050330A1 (en) * | 2003-08-27 | 2005-03-03 | Leedor Agam | Security token |
| JP2006301684A (ja) * | 2005-04-15 | 2006-11-02 | Hitachi Advanced Digital Inc | 本人認証方式 |
-
2009
- 2009-04-23 JP JP2009104820A patent/JP5423123B2/ja not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10590861B2 (en) | 2014-08-13 | 2020-03-17 | Siemens Aktiengesellschaft | Power plant with emergency fuel system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010257101A (ja) | 2010-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6687390B2 (en) | System for and method of web signature recognition system based on object map | |
| TWI526037B (zh) | 用於交易鑑認之抽象化及隨機化單次使用密碼之方法及系統 | |
| Garfinkel et al. | Usable security: History, themes, and challenges | |
| JP5948498B2 (ja) | ユーザidを確保するための方法及びシステム | |
| JP5345850B2 (ja) | マウスホイールのスクロールによって安全にパスワードまたはpinを入力する方法および装置 | |
| TWI510954B (zh) | 祕密數值之產生方法和裝置 | |
| JP2009524881A5 (ja) | ||
| WO2015088986A1 (en) | System and method for high trust cloud digital signing and workflow automation in health sciences | |
| JP7090008B2 (ja) | 本人確認支援装置および本人確認支援方法 | |
| AU2004282865B2 (en) | Authentication system | |
| JP5423123B2 (ja) | ユーザ認証システム,方法,スクラッチ媒体及びスクラッチ媒体の製造方法 | |
| CN115485682A (zh) | 带有选择性声明的派生子可验证证书 | |
| JP2008176383A (ja) | ワンタイムパスワード生成方法、ワンタイムパスワード認証方法、ワンタイムパスワード生成装置、ワンタイムパスワードの生成機能を備えたicカード、ワンタイムパスワード認証装置、icカードプログラム及びコンピュータプログラム | |
| Szydlowski et al. | Secure input for web applications | |
| JP2007272600A (ja) | 環境認証と連携した本人認証方法、環境認証と連携した本人認証システムおよび環境認証と連携した本人認証用プログラム | |
| Nath et al. | Issues and challenges in two factor authentication algorithms | |
| AU2011100338A4 (en) | Method and /or device for managing authentication data | |
| CN106133720A (zh) | 持续小书签授权 | |
| CN115461746A (zh) | 具有动态声明的可验证凭证 | |
| JP2022123403A (ja) | 認証装置及び認証方法 | |
| JP2007280039A (ja) | ユーザ認証システムおよび方法 | |
| JP2008027177A (ja) | 分割情報処理装置、分割情報処理プログラム及び分割情報処理方法。 | |
| US20080209529A1 (en) | Transaction integrity and authenticity check process | |
| JP7359917B2 (ja) | 情報処理サーバ、情報処理システム、判定装置、及び方法 | |
| TWI677842B (zh) | 用於幫助持卡人首次設定金融卡密碼之系統及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120216 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130306 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130312 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130508 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20130823 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131029 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131111 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5423123 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |