JP5434203B2 - Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program - Google Patents

Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program Download PDF

Info

Publication number
JP5434203B2
JP5434203B2 JP2009090274A JP2009090274A JP5434203B2 JP 5434203 B2 JP5434203 B2 JP 5434203B2 JP 2009090274 A JP2009090274 A JP 2009090274A JP 2009090274 A JP2009090274 A JP 2009090274A JP 5434203 B2 JP5434203 B2 JP 5434203B2
Authority
JP
Japan
Prior art keywords
counter
password
generation
unit
update
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009090274A
Other languages
Japanese (ja)
Other versions
JP2010244191A (en
Inventor
隆史 工藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2009090274A priority Critical patent/JP5434203B2/en
Publication of JP2010244191A publication Critical patent/JP2010244191A/en
Application granted granted Critical
Publication of JP5434203B2 publication Critical patent/JP5434203B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、ワンタイムパスワードにより認証を行う認証装置、認証プログラム、および認証システム、並びに、ワンタイムパスワードを生成するパスワード生成装置、携帯型セキュリティデバイス、およびパスワード生成プログラムに関するものである。   The present invention relates to an authentication device, an authentication program, and an authentication system that perform authentication using a one-time password, a password generation device that generates a one-time password, a portable security device, and a password generation program.

近年、パスワードの通信傍受などによるシステムへの不正アクセスを回避してセキュリティを強化するために、1回のみ有効なOTP(ワンタイムパスワード)を用いた認証システムが広く普及している。OTPを生成する方法としては、カウンタ同期方式(例えば、特許文献1)、時刻同期方式、チャレンジアンドレスポンス方式などが知られている。   In recent years, an authentication system using an OTP (one-time password) that is effective only once has been widely used in order to prevent unauthorized access to the system due to interception of password communication and the like to enhance security. As a method for generating the OTP, a counter synchronization method (for example, Patent Document 1), a time synchronization method, a challenge and response method, and the like are known.

カウンタ同期方式では、まず、トークンと呼ばれるパスワード生成装置や、ICカードとパスワード生成装置が分離された形態の装置を使用する。そして、このような装置と、認証を行う認証サーバとのそれぞれに、予めOTPの生成に使用するカウンタと鍵情報とを保持する。なお、カウンタの値は認証実行のたびに各装置でそれぞれインクリメントされ、同期が取られるようになっている。そして、認証を実行するたびに、トークンおよび認証サーバでカウンタと鍵情報とからOTPをそれぞれ生成し、両者を照合することにより認証を行う。   In the counter synchronization method, first, a password generation device called a token, or a device in which an IC card and a password generation device are separated is used. Each of such an apparatus and an authentication server that performs authentication holds a counter and key information used for generating an OTP in advance. The value of the counter is incremented by each device every time authentication is executed, and synchronization is taken. Each time authentication is performed, an OTP is generated from the counter and the key information by the token and the authentication server, and authentication is performed by comparing the two.

時刻同期方式は、カウンタを同期させる代わりに、各装置で時刻が同期していることを前提として、時刻と鍵情報とを用いてOTPを生成する方式である。また、チャレンジアンドレスポンス方式は、カウンタの代わりになるランダムな文字列(チャレンジ)を認証サーバ側で生成し、トークン側でこの文字列を入力して所定の演算を行った結果(レスポンス)を認証サーバで照合することにより認証を行う方式である。   The time synchronization method is a method of generating OTP using time and key information on the assumption that the time is synchronized in each device instead of synchronizing the counter. The challenge-and-response method generates a random character string (challenge) instead of a counter on the authentication server side, and inputs the character string on the token side to authenticate the result (response) of the given calculation. In this method, authentication is performed by collating with a server.

OTPを利用した認証システムでは、毎回パスワードが変更されるため、仮にパスワードを通信傍受してもそのパスワードを再利用することができない。このため、通常のパスワードを用いた認証方法と比較して安全性が向上する。   In the authentication system using OTP, the password is changed every time, so that even if the password is intercepted by communication, the password cannot be reused. For this reason, safety is improved as compared with an authentication method using a normal password.

カウンタ同期方式では、誤操作等に起因してトークンでOTPを生成したにも関わらず認証サーバで認証を行わなかった場合は、トークンと認証サーバとでカウンタ値のずれが発生しうる。このようにカウンタ値にずれが生じた場合に直ちに認証不可とすべきでないため、認証サーバ側では、通常、照合に用いるカウンタ値にある程度の幅を設けている。すなわち、保持しているカウンタ値と、このカウンタ値を順次更新した複数のカウンタ値とで複数のOTPを生成し、送信されたOTPとの比較を行うことにより、カウンタ値のずれを所定の範囲で許容し、当該範囲内でずれを修正してカウンタの同期を取っている。   In the counter synchronization method, when the authentication server does not perform authentication even though the OTP is generated with the token due to an erroneous operation or the like, the counter value may deviate between the token and the authentication server. Since the authentication value should not be immediately disabled when the counter value is shifted in this way, the authentication server usually provides a certain range for the counter value used for verification. That is, by generating a plurality of OTPs based on the held counter values and a plurality of counter values obtained by sequentially updating the counter values, and comparing the generated OTPs with the transmitted OTPs, a deviation in the counter values is determined within a predetermined range. The counter is synchronized by correcting the deviation within the range.

特開2001−352324号公報JP 2001-352324 A

しかしながら、このようにカウンタ値のずれを許容したとしても、許容範囲を超えたずれが生じた場合には、カウンタを同期させることができなくなる。従来は、このような場合、トークンまたはICカードを再発行することによりカウンタの同期を復旧させていたため、システム提供者にとっては、復旧のための処理負荷やコストが増大するという問題があった。また、システム利用者にとっては、再発行の間、トークンやICカードが使用できないため、システムを利用できないという問題があった。   However, even if the deviation of the counter value is allowed as described above, the counter cannot be synchronized if the deviation exceeds the allowable range. Conventionally, in such a case, since the synchronization of the counter is restored by reissuing the token or the IC card, there is a problem that the processing load and cost for restoration increase for the system provider. In addition, the system user has a problem that the system cannot be used because the token and the IC card cannot be used during the reissue.

本発明は、上記に鑑みてなされたものであって、トークンを再発行等によコストの増大を回避しつつ、システムの利便性を向上させることができる認証装置、認証プログラム、認証システム、パスワード生成装置、携帯型セキュリティデバイス、およびパスワード生成プログラムを提供することを目的とする。   The present invention has been made in view of the above, and an authentication device, an authentication program, an authentication system, and a password that can improve the convenience of the system while avoiding an increase in cost due to reissuing of a token, etc. It is an object to provide a generation device, a portable security device, and a password generation program.

上述した課題を解決し、目的を達成するために、本発明は、パスワードを生成する度に更新される生成カウンタに基づいて生成されたワンタイムパスワードを、ネットワークを介して接続された端末装置から受信して認証を行う認証装置であって、前記生成カウンタを記憶するカウンタ記憶部と、前記ワンタイムパスワードによる認証処理を連続して失敗した回数が予め定められた閾値より大きいか否かを判断する判断部と、前記回数が前記閾値より大きいと判断された場合に、前記生成カウンタを更新するための値であって前記カウンタ記憶部に記憶されている前記生成カウンタに予め定められた数値を加算した更新カウンタをチャレンジ値として生成するチャレンジ生成部と、前記チャレンジ値を前記端末装置に送信する送信部と、前記チャレンジ値に対応する応答として前記端末装置から送信された応答パスワードを受信する受信部と、前記更新カウンタに基づいて、照合用パスワードを生成するパスワード生成部と、生成された前記照合用パスワードと前記応答パスワードとを照合するパスワード認証部と、生成された前記照合用パスワードと前記応答パスワードとが一致する場合に、前記更新カウンタで前記カウンタ記憶部の前記生成カウンタを更新するカウンタ更新部と、を備えたことを特徴とする。本発明によれば、カウンタのずれが許容範囲を超えて連続して認証に失敗した場合であっても、カウンタを復旧させるための更新カウンタをチャレンジとして生成し、チャレンジに対する応答として受信した応答パスワードが認証されれば、更新カウンタを新たなカウンタとして同期を取ることができるため、トークン再発行等によるコストの増大を回避しつつ、システムの利便性を向上させることができる。 In order to solve the above-described problems and achieve the object, the present invention provides a one-time password generated based on a generation counter updated every time a password is generated from a terminal device connected via a network. An authentication apparatus that receives and authenticates, and determines whether or not the counter storage unit that stores the generation counter and the number of times the authentication process using the one-time password has failed continuously is greater than a predetermined threshold value And a value for updating the generation counter when the number of times is determined to be greater than the threshold, and a predetermined numerical value for the generation counter stored in the counter storage unit. a challenge generator for generating an update counter of adding as a challenge value, a transmission unit that transmits the challenge value to the terminal device, the A reception unit that receives a response password transmitted from the terminal device as a response corresponding to a range value, a password generation unit that generates a verification password based on the update counter, the generated verification password, and the A password authenticating unit that collates a response password, and a counter updating unit that updates the generation counter of the counter storage unit with the update counter when the generated verification password and the response password match. It is characterized by having. According to the present invention, even if the counter deviation exceeds the allowable range and authentication fails continuously, an update counter for restoring the counter is generated as a challenge, and the response password received as a response to the challenge if There is authenticated, it is possible to synchronize the update counter as a new counter, while avoiding an increase in cost due to the re-issuance of the token, it is possible to improve the convenience of the system.

また、本発明は、上記認証装置を実行することができるプログラムである。本発明によれば、カウンタのずれが許容範囲を超えて連続して認証に失敗した場合であっても、カウンタを復旧させるための更新カウンタをチャレンジとして生成し、チャレンジに対する応答として受信した応答パスワードが認証されれば、更新カウンタを新たなカウンタとして同期を取ることができるため、トークンを再発行等によコストの増大を回避しつつ、システムの利便性を向上させることができる。   Moreover, this invention is a program which can perform the said authentication apparatus. According to the present invention, even if the counter deviation exceeds the allowable range and authentication fails continuously, an update counter for restoring the counter is generated as a challenge, and the response password received as a response to the challenge Is authenticated, the update counter can be synchronized as a new counter, so that the convenience of the system can be improved while avoiding an increase in cost due to reissuance of tokens.

また、本発明は、パスワードを生成する度に更新される生成カウンタを記憶するカウンタ記憶部と、前記生成カウンタを更新するための値であって前記生成カウンタに予め定められた数値を加算した更新カウンタをチャレンジ値の入力として受け付けるチャレンジ受付部と、前記更新カウンタに基づいて前記チャレンジ値に対する応答のためのパスワードである応答パスワードを生成するパスワード生成部と、前記応答パスワードを表示する表示部と、前記更新カウンタで前記カウンタ記憶部の前記生成カウンタを更新するカウンタ更新部と、を備えたことを特徴とする。本発明によれば、カウンタのずれが許容範囲を超えて連続して認証に失敗した場合であっても、カウンタを復旧させるための更新カウンタをチャレンジとして受け付け、更新カウンタを新たなカウンタとして同期を取ることができるため、トークン再発行等によるコストの増大を回避しつつ、システムの利便性を向上させることができる。 In addition, the present invention provides a counter storage unit that stores a generation counter that is updated each time a password is generated, and an update that is a value for updating the generation counter and that is added with a predetermined numerical value. A challenge acceptance unit that accepts a counter as an input of a challenge value, a password generation unit that generates a response password that is a password for a response to the challenge value based on the update counter, a display unit that displays the response password, A counter updating unit that updates the generation counter of the counter storage unit with the update counter. According to the present invention, even when the counter deviation exceeds the allowable range and authentication fails continuously, the update counter for restoring the counter is accepted as a challenge, and the update counter is synchronized as a new counter. it is possible to take, while avoiding an increase in cost due to the re-issuance of the token, it is possible to improve the convenience of the system.

また、本発明は、上記パスワード生成装置を実行することができるプログラムである。本発明によれば、カウンタのずれが許容範囲を超えて連続して認証に失敗した場合であっても、カウンタを復旧させるための更新カウンタをチャレンジとして受け付け、更新カウンタを新たなカウンタとして同期を取ることができるため、トークンを再発行等によコストの増大を回避しつつ、システムの利便性を向上させることができる。   Moreover, this invention is a program which can execute the said password production | generation apparatus. According to the present invention, even when the counter deviation exceeds the allowable range and authentication fails continuously, the update counter for restoring the counter is accepted as a challenge, and the update counter is synchronized as a new counter. Therefore, the convenience of the system can be improved while avoiding an increase in cost due to reissuance of tokens.

また、本発明は、パスワードを表示する表示装置と通信可能な携帯型セキュリティデバイスであって、パスワードを生成する度に更新される生成カウンタを記憶するカウンタ記憶部と、前記生成カウンタを更新するための値であって前記生成カウンタに予め定められた数値を加算した更新カウンタをチャレンジ値の入力として受け付けるチャレンジ受付部と、前記更新カウンタに基づいて前記チャレンジ値に対する応答のためのパスワードである応答パスワードを生成するパスワード生成部と、生成された前記応答パスワードを前記表示装置に出力する出力部と、前記更新カウンタで前記カウンタ記憶部の前記生成カウンタを更新するカウンタ更新部と、を備えたことを特徴とする。本発明によれば、カウンタのずれが許容範囲を超えて連続して認証に失敗した場合であっても、カウンタを復旧させるための更新カウンタをチャレンジとして受け付け、更新カウンタを新たなカウンタとして同期を取ることができるため、トークン再発行等によるコストの増大を回避しつつ、システムの利便性を向上させることができる。 In addition, the present invention is a portable security device that can communicate with a display device that displays a password, a counter storage unit that stores a generation counter that is updated each time a password is generated, and a method for updating the generation counter A challenge acceptance unit that accepts as an input of a challenge value an update counter obtained by adding a predetermined numerical value to the generation counter, and a response password that is a password for responding to the challenge value based on the update counter A password generation unit that generates the response password, an output unit that outputs the generated response password to the display device, and a counter update unit that updates the generation counter of the counter storage unit with the update counter. Features. According to the present invention, even when the counter deviation exceeds the allowable range and authentication fails continuously, the update counter for restoring the counter is accepted as a challenge, and the update counter is synchronized as a new counter. it is possible to take, while avoiding an increase in cost due to the re-issuance of the token, it is possible to improve the convenience of the system.

また、本発明は、ワンタイムパスワードを生成するパスワード生成装置と、ネットワークを介して接続された端末装置から前記パスワード生成装置が生成した前記ワンタイムパスワードを受信して認証を行う認証装置とを備えた認証システムであって、前記パスワード生成装置は、パスワードを生成する度に更新される生成カウンタを記憶する第1カウンタ記憶部と、前記生成カウンタを更新するための更新カウンタをチャレンジ値の入力として受け付けるチャレンジ受付部と、前記更新カウンタに基づいて前記チャレンジ値に対する応答のためのパスワードである応答パスワードを生成するパスワード生成部と、前記応答パスワードを表示する表示部と、前記更新カウンタで前記第1カウンタ記憶部の前記生成カウンタを更新するカウンタ更新部と、を備え、前記認証装置は、前記生成カウンタを記憶する第2カウンタ記憶部と、前記ワンタイムパスワードによる認証処理を連続して失敗した回数が予め定められた閾値より大きいか否かを判断する判断部と、前記回数が前記閾値より大きいと判断された場合に、前記生成カウンタを更新するための値であって前記カウンタ記憶部に記憶されている前記生成カウンタに予め定められた数値を加算した更新カウンタをチャレンジ値として生成するチャレンジ生成部と、前記チャレンジ値を前記端末装置に送信する送信部と、前記チャレンジ値に対応する応答として前記端末装置から送信された応答パスワードを受信する受信部と、前記更新カウンタに基づいて、照合用パスワードを生成するパスワード生成部と、生成された前記照合用パスワードと前記応答パスワードとを照合するパスワード認証部と、生成された前記照合用パスワードと前記応答パスワードとが一致する場合に、前記更新カウンタで前記第2カウンタ記憶部の前記生成カウンタを更新するカウンタ更新部と、を備えたこと、を特徴とする。本発明によれば、カウンタのずれが許容範囲を超えて連続して認証に失敗した場合であっても、カウンタを復旧させるための更新カウンタをチャレンジとして生成し、チャレンジに対する応答として受信した応答パスワードが認証されれば、更新カウンタを新たなカウンタとして同期を取ることができるため、トークン再発行等によるコストの増大を回避しつつ、システムの利便性を向上させることができる。 The present invention also includes a password generation device that generates a one-time password, and an authentication device that receives and authenticates the one-time password generated by the password generation device from a terminal device connected via a network. The password generation device includes a first counter storage unit that stores a generation counter that is updated each time a password is generated, and an update counter for updating the generation counter as an input of a challenge value. A challenge accepting unit that accepts, a password generating unit that generates a response password that is a password for responding to the challenge value based on the update counter, a display unit that displays the response password, and the update counter Counter for updating the generation counter of the counter storage unit A second counter storage unit that stores the generation counter, and whether or not the number of times the authentication process using the one-time password has failed continuously is greater than a predetermined threshold value. A value for updating the generation counter when it is determined that the number of times is greater than the threshold, and the generation counter stored in the counter storage unit is predetermined. A challenge generation unit that generates an update counter added with a numerical value as a challenge value, a transmission unit that transmits the challenge value to the terminal device, and a response password transmitted from the terminal device as a response corresponding to the challenge value A receiving unit that generates a password for verification based on the update counter, and the generated verification A password authenticating unit that collates a password with the response password, and a counter that updates the generation counter of the second counter storage unit with the update counter when the generated verification password and the response password match. And an update unit. According to the present invention, even if the counter deviation exceeds the allowable range and authentication fails continuously, an update counter for restoring the counter is generated as a challenge, and the response password received as a response to the challenge if There is authenticated, it is possible to synchronize the update counter as a new counter, while avoiding an increase in cost due to the re-issuance of the token, it is possible to improve the convenience of the system.

本発明によれば、トークンを再発行等によコストの増大を回避しつつ、システムの利便性を向上させることができるという効果を奏する。   According to the present invention, it is possible to improve the convenience of the system while avoiding an increase in cost due to reissuance of tokens.

以下に添付図面を参照して、この発明にかかる認証装置、認証プログラム、認証システム、パスワード生成装置、携帯型セキュリティデバイス、およびパスワード生成プログラムの最良な実施の形態を詳細に説明する。   Exemplary embodiments of an authentication device, an authentication program, an authentication system, a password generation device, a portable security device, and a password generation program according to the present invention will be described below in detail with reference to the accompanying drawings.

本実施の形態にかかる認証装置は、カウンタ同期方式によるOTPの認証処理が連続して所定回数失敗した場合に更新カウンタを生成し、更新カウンタを暗号化したチャレンジをユーザの端末装置に送信する。ここで、更新カウンタとは、OTPを生成するためのカウンタである生成カウンタを更新し、生成カウンタの同期を復旧させるためのカウンタをいう。   The authentication apparatus according to the present embodiment generates an update counter when the OTP authentication process by the counter synchronization method continuously fails a predetermined number of times, and transmits a challenge in which the update counter is encrypted to the user terminal device. Here, the update counter is a counter for updating the generation counter that is a counter for generating the OTP and restoring the synchronization of the generation counter.

また、本実施の形態にかかるパスワード生成装置は、端末装置に送信されたチャレンジをもとにユーザが入力したチャレンジから更新カウンタを復号し、更新カウンタからOTPを生成する。生成したOTPが認証された場合、認証装置は更新カウンタで現在のカウンタを更新する。   Also, the password generation device according to the present embodiment decodes the update counter from the challenge input by the user based on the challenge transmitted to the terminal device, and generates an OTP from the update counter. When the generated OTP is authenticated, the authentication device updates the current counter with the update counter.

最初に、本実施の形態における認証システムの構成の概要について図1を用いて説明する。図1は、本実施の形態にかかる認証システム1のネットワーク構成の一例を示す図である。同図に示すように、認証システム1は、認証装置10と、パスワード表示装置20と、パスワード生成装置としてのICカード30と、端末装置40と、を含んでいる。   First, an outline of the configuration of the authentication system in the present embodiment will be described with reference to FIG. FIG. 1 is a diagram illustrating an example of a network configuration of an authentication system 1 according to the present embodiment. As shown in the figure, the authentication system 1 includes an authentication device 10, a password display device 20, an IC card 30 as a password generation device, and a terminal device 40.

認証装置10と端末装置40とは、インターネットなどのネットワーク50を介して接続されている。   The authentication device 10 and the terminal device 40 are connected via a network 50 such as the Internet.

認証装置10は、端末装置40から送信されたOTPと、自装置内で照合用に生成したOTP(照合用パスワード)とを照合することにより、送信されたOTPを検証する。本実施の形態では、認証装置10は、複数の照合用OTPを生成して、送信されたOTPと照合する。そして、認証装置10は、複数の照合用OTPのいずれとも一致しない場合に、認証に失敗したと判断する。   The authentication device 10 verifies the transmitted OTP by collating the OTP transmitted from the terminal device 40 with the OTP (collation password) generated for collation in the own device. In the present embodiment, the authentication device 10 generates a plurality of verification OTPs and verifies the transmitted OTPs. Then, the authentication device 10 determines that the authentication has failed when it does not match any of the plurality of verification OTPs.

パスワード表示装置20は、携帯型セキュリティデバイスであるICカード30を所定の差込口に差し込むことなどによりICカード30にOTPの生成を開始させる処理や、生成されたOTPの表示処理を行う。ユーザは、パスワード表示装置20に表示されたOTPを端末装置40に入力し、認証装置10に送信する。   The password display device 20 performs processing for causing the IC card 30 to start generating OTP by inserting the IC card 30 that is a portable security device into a predetermined insertion slot, and processing for displaying the generated OTP. The user inputs the OTP displayed on the password display device 20 to the terminal device 40 and transmits it to the authentication device 10.

ICカード30は、パスワード表示装置20の差込口に差し込むことによりパスワード表示装置20と通信可能となり、パスワード表示装置20からの要求に応じてOTPを生成する。   The IC card 30 can communicate with the password display device 20 by being inserted into the insertion port of the password display device 20, and generates an OTP in response to a request from the password display device 20.

端末装置40は、ICカード30で生成されたOTPを入力し、認証装置10によりOTPの認証を受けて動作するアプリケーション等を実行するためのクライアント端末である。端末装置40は、例えば、WEBブラウザ上で動作するアプリケーションを実行する。   The terminal device 40 is a client terminal for inputting an OTP generated by the IC card 30 and executing an application or the like that operates upon receiving the OTP authentication by the authentication device 10. For example, the terminal device 40 executes an application that operates on a WEB browser.

次に、本実施の形態のOTPの生成方法の概要について図2を用いて説明する。図2は、OTPの生成方法の一例を説明するための模式図である。   Next, an outline of an OTP generation method according to the present embodiment will be described with reference to FIG. FIG. 2 is a schematic diagram for explaining an example of an OTP generation method.

同図に示すように、本実施の形態では、まず、記憶している生成カウンタ(以下、単にカウンタという)を暗号化する。そして、暗号化により得られた暗号文の一部を抽出して結合することにより、OTPを生成する。同図では、カウンタが「0123」であり、このカウンタを暗号化して得られる暗号文から4つの数値を抽出してOTP「8308」を生成した例が示されている。   As shown in the figure, in the present embodiment, first, a stored generation counter (hereinafter simply referred to as a counter) is encrypted. Then, a part of the ciphertext obtained by encryption is extracted and combined to generate an OTP. In the figure, the counter is “0123”, and an example is shown in which four numerical values are extracted from the ciphertext obtained by encrypting this counter to generate OTP “8308”.

このように、本実施の形態では、OTPのサイズを縮小するために、カウンタを暗号化した暗号文の一部を抽出してOTPを生成している。なお、OTPの生成方法はこれに限られるものではなく、カウンタに応じたOTPを生成するものであれば、従来から用いられているあらゆる方法を適用できる。例えば、カウンタを暗号化した暗号文自体をOTPとして生成するように構成してもよい。また、カウンタの暗号化に用いる暗号化方式は、DES(Data Encryption Standard)などの従来から用いられているあらゆる方式を適用できる。   As described above, in this embodiment, in order to reduce the size of the OTP, a part of the ciphertext obtained by encrypting the counter is extracted to generate the OTP. Note that the OTP generation method is not limited to this, and any conventionally used method can be applied as long as the OTP is generated according to the counter. For example, the ciphertext itself obtained by encrypting the counter may be generated as an OTP. In addition, any conventionally used method such as DES (Data Encryption Standard) can be applied to the encryption method used for encrypting the counter.

次に、本実施の形態のOTPの検証方法の概要について図3を用いて説明する。図3は、OTPの検証方法の一例を説明するための模式図である。   Next, an outline of the OTP verification method of the present embodiment will be described with reference to FIG. FIG. 3 is a schematic diagram for explaining an example of an OTP verification method.

同図の左側は、ICカード30内で生成されるOTPの一例を表している。また、同図の右側は、認証装置10内で生成されるOTPの一例を表している。同図に示すように、ICカード30内のカウンタは「0125」であり、認証装置10内のカウンタは「0123」(同図のカウンタ401)である。すなわち、両装置のカウンタにずれが生じている。   The left side of the figure represents an example of an OTP generated in the IC card 30. Further, the right side of the figure represents an example of the OTP generated in the authentication device 10. As shown in the figure, the counter in the IC card 30 is “0125”, and the counter in the authentication device 10 is “0123” (counter 401 in the figure). That is, there is a deviation between the counters of both devices.

カウンタの同期がずれる原因の一つとして利用者の誤操作が挙げられる。利用者の誤操作によりICカード30内のカウンタのみが進み、結果として同期のずれが生じる。なお、認証装置10がICカード30のカウンタを知ることができるのは、認証が成功した時だけである。   One of the causes of counter synchronization being lost is a user's erroneous operation. Only the counter in the IC card 30 advances due to a user's erroneous operation, resulting in a synchronization shift. The authentication device 10 can know the counter of the IC card 30 only when the authentication is successful.

認証装置10側は、このようなユーザの誤動作を考慮して、ある程度のカウンタのずれを許容する。すなわち、認証装置10は、認証装置10が保持している最新のカウンタから所定数(M個、本実施の形態では10個)先のカウンタまでのM+1個の照合用OTPを生成しておく。そして、認証装置10は、ICカード30から認証するOTPを受信したときに、M+1個の照合用OTPの中に、受信したOTPと一致するものが存在すれば、認証成功と判定する。   The authentication device 10 side allows a certain amount of counter deviation in consideration of such user malfunction. That is, the authentication device 10 generates M + 1 OTPs for verification from the latest counter held by the authentication device 10 to a predetermined number (M, 10 in the present embodiment) of counters. Then, when the authentication apparatus 10 receives the OTP to be authenticated from the IC card 30, if there is a match with the received OTP in the M + 1 verification OTPs, the authentication apparatus 10 determines that the authentication is successful.

このMの値を過度に大きくすると、単に入力間違いのカウンタまでを認証成功とする恐れがあるので、許容するカウンタの範囲(Mの値)には注意しなくてはならない。すなわち、必要以上にMの値を大きくすると、セキュリティの強度が低下するおそれがある。本実施の形態では、このMの値を必要以上に大きくする必要がなくなるため、セキュリティ性を高めることができる。   If the value of M is excessively large, there is a risk that authentication up to a counter with an input error may be successful, so care must be taken in the allowable counter range (value of M). That is, if the value of M is increased more than necessary, the security strength may be reduced. In the present embodiment, it is not necessary to increase the value of M more than necessary, so that security can be improved.

同図では、カウンタ「0123」から「0132」の10個のカウンタに対する10個の照合用OTPを生成する例が示されている。この例では、10個の照合用OTP内に、ICカード30で生成されたOTPと一致するOTPが含まれるため、認証が成功する。   In the figure, an example is shown in which ten collation OTPs for ten counters “0123” to “0132” are generated. In this example, since the OTPs that match the OTP generated by the IC card 30 are included in the 10 verification OTPs, the authentication is successful.

仮に、ICカード30内のカウンタが「1033」以上であったとすると、認証装置10内で生成されるOTPの許容範囲に含まれなくなるため、認証が失敗する。   If the counter in the IC card 30 is “1033” or more, the authentication fails because it is not included in the allowable range of the OTP generated in the authentication device 10.

次に、図1に示す各装置のハードウェア構成について説明する。まず、認証装置10のハードウェア構成について説明する。図4は、認証装置10のハードウェア構成の一例を示す図である。   Next, the hardware configuration of each apparatus shown in FIG. 1 will be described. First, the hardware configuration of the authentication device 10 will be described. FIG. 4 is a diagram illustrating an example of a hardware configuration of the authentication device 10.

本実施の形態にかかる認証装置10は、CPU(Central Processing Unit)11などの制御装置と、ROM(Read Only Memory)12やRAM(Random Access Memory)13などの記憶装置と、ネットワークに接続して通信を行う通信I/F(Interface)14と、HDD(Hard Disk Drive)、CD(Compact Disc)ドライブ装置などの外部記憶装置と、ディスプレイ装置などの表示装置と、キーボードやマウスなどの入力装置と、各部を接続するバス15を備えており、通常のコンピュータを利用したハードウェア構成となっている。   The authentication device 10 according to the present embodiment is connected to a control device such as a CPU (Central Processing Unit) 11, a storage device such as a ROM (Read Only Memory) 12 and a RAM (Random Access Memory) 13, and a network. A communication I / F (Interface) 14 for performing communication, an external storage device such as an HDD (Hard Disk Drive) and a CD (Compact Disc) drive device, a display device such as a display device, and an input device such as a keyboard and a mouse A bus 15 for connecting each part is provided, and a hardware configuration using a normal computer is employed.

なお、端末装置40のハードウェア構成は、認証装置10と同様であるため、その説明を省略する。   Since the hardware configuration of the terminal device 40 is the same as that of the authentication device 10, the description thereof is omitted.

次に、パスワード表示装置20のハードウェア構成について説明する。図5は、パスワード表示装置20のハードウェア構成の一例を示す図である。   Next, the hardware configuration of the password display device 20 will be described. FIG. 5 is a diagram illustrating an example of a hardware configuration of the password display device 20.

パスワード表示装置20は、CPU21などの制御装置と、ROM22やRAM23などの記憶装置と、表示部24と、PIN入力のためのボタンやOTP生成開始のためのボタンなどを含む入力装置である操作ボタン25と、ICカード30との間の通信を媒介するR/W(リーダ/ライタ)26と、各部を接続するバス27を備えている。   The password display device 20 is an operation button that is an input device including a control device such as a CPU 21, a storage device such as a ROM 22 and a RAM 23, a display unit 24, a button for inputting a PIN, a button for starting OTP generation, and the like. 25 and an R / W (reader / writer) 26 that mediates communication between the IC card 30 and a bus 27 that connects each unit.

表示部24は、ICカード30が生成したOTPを表示する。表示部24の表示可能桁数は、ICカード30から受信するOTPのデータ長に応じて調節する。また、後述する動作モード等の入力のためにローマ字を表示する場合は、ローマ字が表示可能な表示部24を搭載する必要がある。   The display unit 24 displays the OTP generated by the IC card 30. The number of digits that can be displayed on the display unit 24 is adjusted according to the data length of the OTP received from the IC card 30. Further, when displaying Roman letters for input of an operation mode or the like to be described later, it is necessary to mount a display unit 24 capable of displaying Roman letters.

次に、ICカード30のハードウェア構成について説明する。図6は、ICカード30のハードウェア構成の一例を示す図である。   Next, the hardware configuration of the IC card 30 will be described. FIG. 6 is a diagram illustrating an example of a hardware configuration of the IC card 30.

同図に示すように、ICカード30は、通信I/F31と、CPU32と、RAM33と、ROM34と、EEPROM(Electronically Erasable and Programmable Read Only Memory)35とを備えている。   As shown in the figure, the IC card 30 includes a communication I / F 31, a CPU 32, a RAM 33, a ROM 34, and an EEPROM (Electronically Erasable and Programmable Read Only Memory) 35.

通信I/F31は、接触端子などを備え、パスワード表示装置20などのようにICカード30を挿入して動作する外部装置と、CPU32との間の通信を媒介するものである。なお、ICカード30とパスワード表示装置20との間の通信は接触式に限られるものではなく、非接触式によって通信を行うように構成してもよい。   The communication I / F 31 includes a contact terminal and mediates communication between the CPU 32 and an external device that operates by inserting the IC card 30 such as the password display device 20. Note that the communication between the IC card 30 and the password display device 20 is not limited to the contact type, and may be configured to perform communication by a non-contact type.

CPU32は、ICカード30を統括制御する中央処理装置であって、通信I/F31を介して外部装置から受信するコマンドに応じた処理を行い、その結果をレスポンスとして送信する。   The CPU 32 is a central processing unit that performs overall control of the IC card 30, performs processing according to a command received from an external device via the communication I / F 31, and transmits the result as a response.

RAM33は、CPU32が処理を行うための作業領域として使用する揮発性メモリである。ROM34は、オペレーティングシステムなどのCPU32が処理を行うために必要なプログラムを主に記憶している不揮発性の読み出し専用メモリである。EEPROM35は、随時書き換え可能な不揮発性のメモリであって、アプリケーションなどのCPU32が処理を行うために必要なプログラムおよびデータが記憶されている。   The RAM 33 is a volatile memory used as a work area for the CPU 32 to perform processing. The ROM 34 is a nonvolatile read-only memory that mainly stores programs necessary for the CPU 32 such as an operating system to perform processing. The EEPROM 35 is a non-volatile memory that can be rewritten as needed, and stores programs and data necessary for the CPU 32 to perform processing such as applications.

次に、図1に示す各装置の機能の詳細について説明する。図7は、本実施の形態にかかる認証システム1の各装置の機能構成の一例を示すブロック図である。   Next, details of the function of each apparatus shown in FIG. 1 will be described. FIG. 7 is a block diagram illustrating an example of a functional configuration of each device of the authentication system 1 according to the present embodiment.

まず、認証装置10の機能構成について説明する。同図に示すように認証装置10は、カウンタ記憶部121と、鍵情報記憶部122と、送受信部101と、パスワード生成部102と、パスワード認証部103と、判断部104と、チャレンジ生成部105と、カウンタ更新部106と、を備えている。   First, the functional configuration of the authentication device 10 will be described. As shown in the figure, the authentication device 10 includes a counter storage unit 121, a key information storage unit 122, a transmission / reception unit 101, a password generation unit 102, a password authentication unit 103, a determination unit 104, and a challenge generation unit 105. And a counter update unit 106.

カウンタ記憶部121は、認証ごとにパスワード認証部103でインクリメントされるカウンタを記憶する。カウンタ記憶部121は、例えば、ユーザを識別するユーザIDと、認証装置10で管理するユーザごとのカウンタとを対応づけられて記憶する。   The counter storage unit 121 stores a counter that is incremented by the password authentication unit 103 for each authentication. For example, the counter storage unit 121 stores a user ID for identifying a user and a counter for each user managed by the authentication device 10 in association with each other.

鍵情報記憶部122は、OTPの生成に用いる鍵情報を記憶する。鍵情報記憶部122は、なお、鍵情報記憶部122が、ユーザごとに固有の鍵を生成する元となるマスタ鍵情報を記憶するように構成してもよい。この場合、後述するパスワード生成部102は、マスタ鍵情報とユーザIDとからユーザごとの個別鍵を生成し、OTPの生成に用いる。   The key information storage unit 122 stores key information used for generating the OTP. Note that the key information storage unit 122 may be configured such that the key information storage unit 122 stores master key information from which a unique key is generated for each user. In this case, the password generation unit 102 to be described later generates an individual key for each user from the master key information and the user ID, and uses the generated key for OTP generation.

送受信部101は、端末装置40との間でネットワーク50を介して情報を送受信する。例えば、送受信部101は、ユーザIDや検証するOTPを端末装置40から受信する処理、認証結果を端末装置40に送信する処理、チャレンジ生成部105によって生成されたチャレンジを端末装置40に送信する処理、およびチャレンジに対する応答として端末装置40から送信されたパスワード(応答パスワード)を受信する処理などを行う。   The transmission / reception unit 101 transmits / receives information to / from the terminal device 40 via the network 50. For example, the transmission / reception unit 101 receives a user ID and an OTP to be verified from the terminal device 40, transmits an authentication result to the terminal device 40, and transmits a challenge generated by the challenge generation unit 105 to the terminal device 40. , And a process of receiving a password (response password) transmitted from the terminal device 40 as a response to the challenge.

パスワード生成部102は、カウンタ記憶部121に記憶されたカウンタを用いて照合用OTPを生成する。具体的には、パスワード生成部102は、鍵情報記憶部122に格納された鍵情報と、カウンタ記憶部121に記憶されたカウンタとから、図3で説明したように10個の照合用OTPを生成する。なお、カウンタ記憶部121に記憶されたカウンタは、1インクリメントした値で更新される。   The password generation unit 102 generates a verification OTP using the counter stored in the counter storage unit 121. Specifically, the password generation unit 102 obtains 10 verification OTPs from the key information stored in the key information storage unit 122 and the counter stored in the counter storage unit 121 as described in FIG. Generate. The counter stored in the counter storage unit 121 is updated with a value incremented by one.

また、パスワード生成部102は、失敗可能な回数の閾値として予め定められた所定回数、連続して認証に失敗した場合に、チャレンジ生成部105によって生成された更新カウンタを用いて照合用のOTPを生成する。   In addition, the password generation unit 102 uses the update counter generated by the challenge generation unit 105 to check the OTP for verification when the authentication fails continuously for a predetermined number of times as a threshold of the number of possible failures. Generate.

パスワード認証部103は、パスワード生成部102により生成された複数の照合用OTPと、送受信部101により受信したOTPとを照合することによりOTPを認証する。所定回数以上、連続して認証に失敗した場合、パスワード認証部103は、受信された応答パスワードと、更新カウンタから生成された照合用OTPとを照合することにより、受信された応答パスワードを認証する。   The password authentication unit 103 authenticates the OTP by comparing the plurality of verification OTPs generated by the password generation unit 102 with the OTP received by the transmission / reception unit 101. When the authentication fails continuously for a predetermined number of times or more, the password authentication unit 103 authenticates the received response password by comparing the received response password with the verification OTP generated from the update counter. .

判断部104は、パスワード認証部103によるOTPの認証処理が、所定回数連続して失敗したか否かを判断する。すなわち、判断部104は、OTPの認証処理の連続失敗回数が閾値である所定回数より大きいか否かを判断する。   The determination unit 104 determines whether or not the OTP authentication process by the password authentication unit 103 has failed a predetermined number of times. That is, the determination unit 104 determines whether or not the number of consecutive failures in the OTP authentication process is greater than a predetermined number of times as a threshold.

チャレンジ生成部105は、認証処理が所定回数連続して失敗したと判断された場合に、カウンタを更新するための更新カウンタを生成する。そして、チャレンジ生成部105は、生成した更新カウンタを暗号化することにより、端末装置40に送信するチャレンジ値(以下、単にチャレンジという)を生成する。更新カウンタの暗号化に用いる暗号化方式は、DES(Data Encryption Standard)などの従来から用いられているあらゆる方式を適用できる。なお、チャレンジ生成部105が、更新カウンタを暗号化せず、更新カウンタをチャレンジ値として生成するように構成してもよい。   The challenge generation unit 105 generates an update counter for updating the counter when it is determined that the authentication process has failed continuously a predetermined number of times. Then, the challenge generation unit 105 generates a challenge value (hereinafter simply referred to as “challenge”) to be transmitted to the terminal device 40 by encrypting the generated update counter. Any conventionally used method such as DES (Data Encryption Standard) can be applied to the encryption method used for encrypting the update counter. The challenge generation unit 105 may generate the update counter as a challenge value without encrypting the update counter.

チャレンジ生成部105は、基本的に任意のカウンタを、新らしく生成する更新カウンタとすることができる。ただし、OTP生成装置(ICカード30)のライフサイクルに関わるようなカウンタ(例:利用回数)を使用している場合は注意が必要である。例えば、カウンタの値が予め定められた最大値(例えば65535)に達した場合、それ以降はOTPを生成不能とする場合がある。このような場合に、復旧前のカウンタより小さい値の更新カウンタを生成すると、OTP生成装置(ICカード30)を永久に使用可能となるおそれがある。したがって、チャレンジ生成部105は、復旧前より大きい値の更新カウンタを生成することが望ましい。例えば、チャレンジ生成部105は、現在のカウンタに所定の数値(例えば100)を加算した値を更新カウンタとして生成する。   The challenge generation unit 105 can basically set an arbitrary counter as an update counter that is newly generated. However, it is necessary to be careful when using a counter (for example, the number of times of use) related to the life cycle of the OTP generation device (IC card 30). For example, when the counter value reaches a predetermined maximum value (for example, 65535), the OTP may not be generated after that. In such a case, if an update counter having a smaller value than the counter before recovery is generated, there is a possibility that the OTP generation device (IC card 30) can be used permanently. Therefore, it is desirable that the challenge generation unit 105 generates an update counter having a value larger than that before the recovery. For example, the challenge generation unit 105 generates a value obtained by adding a predetermined numerical value (for example, 100) to the current counter as an update counter.

カウンタ更新部106は、チャレンジに対して端末装置40から送信された応答パスワードが認証された場合に、更新カウンタでカウンタ記憶部121のカウンタを更新する。具体的には、カウンタ更新部106は、パスワード認証部103によって、応答パスワードと、更新カウンタをもとにパスワード生成部102が生成した照合用OTPとが一致すると判断された場合に、更新カウンタでカウンタを更新する。   The counter update unit 106 updates the counter of the counter storage unit 121 with the update counter when the response password transmitted from the terminal device 40 in response to the challenge is authenticated. Specifically, the counter update unit 106 uses the update counter when the password authentication unit 103 determines that the response password matches the verification OTP generated by the password generation unit 102 based on the update counter. Update the counter.

次に、パスワード表示装置20の機能構成について説明する。同図に示すようにパスワード表示装置20は、制御部201と、表示部24と、操作ボタン25と、R/W26とを備えている。表示部24、操作ボタン25、およびR/W26の機能は図5と同様であるので、同一符号を付し、ここでの説明は省略する。   Next, the functional configuration of the password display device 20 will be described. As shown in the figure, the password display device 20 includes a control unit 201, a display unit 24, operation buttons 25, and an R / W 26. The functions of the display unit 24, the operation button 25, and the R / W 26 are the same as those in FIG.

制御部201は、OTP生成処理全体を制御する。例えば、制御部201は、ICカード30が差込口に挿入されたときに、ICカード30にOTP生成処理を開始させる。また、制御部201は、ICカード30により生成されたOTPを表示部24に表示する処理を制御する。   The control unit 201 controls the entire OTP generation process. For example, the control unit 201 causes the IC card 30 to start an OTP generation process when the IC card 30 is inserted into the insertion slot. The control unit 201 also controls processing for displaying the OTP generated by the IC card 30 on the display unit 24.

次に、ICカード30の機能構成について説明する。同図に示すようにICカード30は、通信I/F31と、鍵情報記憶部321と、カウンタ記憶部322と、モード受付部301と、チャレンジ受付部302と、復号部303と、パスワード生成部304と、カウンタ更新部305と、を備えている。   Next, the functional configuration of the IC card 30 will be described. As shown in the figure, the IC card 30 includes a communication I / F 31, a key information storage unit 321, a counter storage unit 322, a mode reception unit 301, a challenge reception unit 302, a decryption unit 303, and a password generation unit. 304 and a counter update unit 305.

通信I/F31の機能は図6と同様であるので、同一符号を付し、ここでの説明は省略する。   Since the function of the communication I / F 31 is the same as that in FIG. 6, the same reference numerals are given and description thereof is omitted here.

鍵情報記憶部321は、復号部303によるチャレンジ復号処理、およびパスワード生成部304によるOTP生成処理で用いる鍵情報を記憶する。なお、チャレンジ復号処理で用いる鍵情報とOTP生成処理で用いる鍵情報とは、同一であってもよいし、異なるものであってもよい。   The key information storage unit 321 stores key information used in the challenge decryption process by the decryption unit 303 and the OTP generation process by the password generation unit 304. Note that the key information used in the challenge decryption process and the key information used in the OTP generation process may be the same or different.

カウンタ記憶部322は、パスワード生成部304でOTPを生成するごとにインクリメントされるカウンタを記憶する。カウンタが、0〜所定の最大値(例えば65535)までの値を取り、カウンタが当該最大値を超えた場合に、OTPを生成不能とするように構成してもよい。   The counter storage unit 322 stores a counter that is incremented every time the password generation unit 304 generates an OTP. The counter may take a value from 0 to a predetermined maximum value (for example, 65535), and when the counter exceeds the maximum value, the OTP may not be generated.

モード受付部301は、パスワード表示装置20の操作ボタン25を介してユーザにより入力された動作モードを受け付ける。動作モードとは、パスワード生成装置であるICカード30の動作の種類を表す情報である。動作モードには、生成モードと更新モードとが含まれる。   The mode receiving unit 301 receives the operation mode input by the user via the operation button 25 of the password display device 20. The operation mode is information indicating the type of operation of the IC card 30 that is a password generation device. The operation mode includes a generation mode and an update mode.

生成モードとは、カウンタ記憶部322に記憶されたカウンタを用いてOTPを生成するモードを意味する。更新モードとは、カウンタ記憶部322に記憶されたカウンタが認証装置10内のカウンタと同期が取れなくなった場合に、同期を復旧させたカウンタで更新するモードを意味する。   The generation mode means a mode in which an OTP is generated using a counter stored in the counter storage unit 322. The update mode means a mode in which, when the counter stored in the counter storage unit 322 becomes out of synchronization with the counter in the authentication device 10, the counter is updated with the counter that has recovered synchronization.

チャレンジ受付部302は、パスワード表示装置20の操作ボタン25を介してユーザにより入力されたチャレンジを受け付ける。なお、ユーザは、認証装置10から端末装置40に送信され、表示部42に表示されたチャレンジを、パスワード表示装置20の操作ボタン25を用いて入力する。チャレンジ受付部302は、このようにして入力されたチャレンジを、通信I/F31を介してパスワード表示装置20から受け付ける。   The challenge receiving unit 302 receives a challenge input by the user via the operation button 25 of the password display device 20. The user inputs the challenge transmitted from the authentication device 10 to the terminal device 40 and displayed on the display unit 42 using the operation button 25 of the password display device 20. The challenge receiving unit 302 receives the challenge input in this way from the password display device 20 via the communication I / F 31.

復号部303は、鍵情報記憶部321に記憶された鍵情報を用いて、チャレンジ受付部302によって受け付けられたチャレンジを復号して更新カウンタを出力する。   The decryption unit 303 decrypts the challenge received by the challenge reception unit 302 using the key information stored in the key information storage unit 321 and outputs an update counter.

パスワード生成部304は、カウンタ記憶部322に記憶されたカウンタを用いてOTPを生成する。具体的には、パスワード生成部304は、動作モードとして生成モードが入力された場合は、鍵情報記憶部321に格納された鍵情報と、カウンタ記憶部322に記憶されたカウンタとから、図3で説明したように1個のOTPを生成する。   The password generation unit 304 generates an OTP using the counter stored in the counter storage unit 322. Specifically, when the generation mode is input as the operation mode, the password generation unit 304 uses the key information stored in the key information storage unit 321 and the counter stored in the counter storage unit 322 to generate the FIG. As described above, one OTP is generated.

また、パスワード生成部304は、動作モードとして更新モードが入力された場合は、復号部303によってチャレンジから復号された更新カウンタと、鍵情報記憶部321に格納された鍵情報とから、チャレンジに対する応答パスワードとするためのOTPを生成する。   When the update mode is input as the operation mode, the password generation unit 304 responds to the challenge from the update counter decrypted from the challenge by the decryption unit 303 and the key information stored in the key information storage unit 321. An OTP for generating a password is generated.

カウンタ更新部305は、復号部303によって復号された更新カウンタで、カウンタ記憶部322に記憶されているカウンタを更新する。   The counter updating unit 305 updates the counter stored in the counter storage unit 322 with the update counter decoded by the decoding unit 303.

次に、端末装置40の機能構成について説明する。端末装置40は、入力部41と、表示部42と、アプリケーション部43と、送受信部44とを備えている。   Next, the functional configuration of the terminal device 40 will be described. The terminal device 40 includes an input unit 41, a display unit 42, an application unit 43, and a transmission / reception unit 44.

入力部41は、ユーザがアプリケーションの動作に必要な情報や命令などを入力するためのキーボード、マウスなどのインターフェースである。例えば、入力部41は、パスワード表示装置20に表示されたOTPを入力するためにユーザにより操作される。   The input unit 41 is an interface such as a keyboard and a mouse for the user to input information and commands necessary for the operation of the application. For example, the input unit 41 is operated by the user in order to input the OTP displayed on the password display device 20.

表示部42は、WEBブラウザ画面などをユーザに表示するディスプレイなどの表示装置である。   The display unit 42 is a display device such as a display that displays a WEB browser screen or the like to the user.

アプリケーション部43は、ICカード30で生成されたOTPを入力し、認証装置10によりOTPの認証を受けて動作するアプリケーションである。送受信部44は、ネットワーク50を介して、アプリケーション部43の動作に必要なOTPなどの各種情報を、認証装置10との間で送受信する。   The application unit 43 is an application that operates by inputting the OTP generated by the IC card 30 and receiving the OTP authentication by the authentication device 10. The transmission / reception unit 44 transmits / receives various information such as OTP necessary for the operation of the application unit 43 to / from the authentication device 10 via the network 50.

なお、認証装置10のカウンタ記憶部121、鍵情報記憶部122、ICカード30の鍵情報記憶部321、およびカウンタ記憶部322は、HDD(Hard Disk Drive)、光ディスク、メモリカード、RAMなどの一般的に利用されているあらゆる記憶媒体により構成することができる。   The counter storage unit 121, the key information storage unit 122 of the authentication device 10, the key information storage unit 321 of the IC card 30, and the counter storage unit 322 are general devices such as a hard disk drive (HDD), an optical disk, a memory card, and a RAM. It can be constituted by any storage medium that is used in general.

次に、このように構成された本実施の形態にかかる認証システム1による認証処理について図8を用いて説明する。図8は、本実施の形態における認証処理の全体の流れを示すフローチャートである。   Next, authentication processing by the authentication system 1 according to the present embodiment configured as described above will be described with reference to FIG. FIG. 8 is a flowchart showing the overall flow of the authentication process in the present embodiment.

まず、認証装置10のパスワード生成部102は、端末装置40から受信するOTPと照合するための所定数の照合用OTPを生成する(ステップS801)。例えば、パスワード生成部102は、カウンタ記憶部121に記憶されたカウンタ「count」と、「count」に所定の数値Mを加えたカウンタ「count+M」までのM+1個のカウンタを生成する。そして、パスワード生成部102は、照合用OTPとして、M+1個のカウンタそれぞれを元に、M+1個のOTPを生成しておく。   First, the password generation unit 102 of the authentication device 10 generates a predetermined number of verification OTPs for verification with the OTP received from the terminal device 40 (step S801). For example, the password generation unit 102 generates M + 1 counters up to a counter “count” stored in the counter storage unit 121 and a counter “count + M” obtained by adding a predetermined numerical value M to “count”. Then, the password generation unit 102 generates M + 1 OTPs based on each of the M + 1 counters as the verification OTP.

一方、ユーザは、ICカード30をパスワード表示装置20に差し込み、所定のボタン押下等によりOTPを生成するOTP生成処理の開始を指示する。パスワード表示装置20の制御部201は、開始指示を受け付け、ICカード30のパスワード生成部304に対してOTPの生成を指示する。このように、ICカード30はパスワード表示装置20に差し込むことによりOTP生成処理を実行可能となる。図8は、ICカード30内での処理の流れを表しており、OTPの表示処理などのパスワード表示装置20内での処理は省略されている。   On the other hand, the user inserts the IC card 30 into the password display device 20, and instructs the start of an OTP generation process for generating an OTP by pressing a predetermined button or the like. The control unit 201 of the password display device 20 receives a start instruction and instructs the password generation unit 304 of the IC card 30 to generate an OTP. As described above, the IC card 30 can execute the OTP generation process by being inserted into the password display device 20. FIG. 8 shows a flow of processing in the IC card 30, and processing in the password display device 20 such as OTP display processing is omitted.

ICカード30のパスワード生成部304は、通信I/F31を介してOTP生成の指示を受け付け、OTP生成処理を実行する(ステップS802)。OTP生成処理の詳細については後述する。ICカード30のパスワード生成部304は、生成したOTPを通信I/F31を介してパスワード表示装置20に出力する。   The password generation unit 304 of the IC card 30 receives an OTP generation instruction via the communication I / F 31 and executes an OTP generation process (step S802). Details of the OTP generation process will be described later. The password generation unit 304 of the IC card 30 outputs the generated OTP to the password display device 20 via the communication I / F 31.

ユーザは、パスワード表示装置20の表示部24等に出力されたOTPを端末装置40に入力可能となる。すなわち、端末装置40の入力部41が、ユーザにより指定されたOTPを入力する(ステップS803)。そして、送受信部44が、入力されたOTPを認証装置10に送信する(ステップS804)。   The user can input the OTP output to the display unit 24 or the like of the password display device 20 to the terminal device 40. That is, the input unit 41 of the terminal device 40 inputs the OTP designated by the user (step S803). Then, the transmission / reception unit 44 transmits the input OTP to the authentication device 10 (step S804).

なお、端末装置40は、ユーザを識別するためのユーザIDとともにOTPを送信する。認証装置10は、ユーザIDによりユーザを識別し、識別したユーザのカウンタから生成した照合用OTPを特定することができる。   The terminal device 40 transmits an OTP together with a user ID for identifying the user. The authentication device 10 can identify the user by the user ID and specify the verification OTP generated from the identified user counter.

認証装置10のパスワード認証部103は、送受信部101によって受信されたOTPを検証する(ステップS805)。具体的には、パスワード認証部103は、ステップS801で事前に生成したM+1個の照合用OTPの中に、受信したOTPと一致するものが存在するか否かを検証する。   The password authentication unit 103 of the authentication device 10 verifies the OTP received by the transmission / reception unit 101 (step S805). Specifically, the password authentication unit 103 verifies whether or not there is a match with the received OTP among the M + 1 verification OTPs generated in advance in step S801.

そして、パスワード認証部103は、OTPの認証が失敗したか否かを判断する(ステップS806)。認証に失敗した場合、すなわち、一致する照合用OTPが存在しない場合は(ステップS806:YES)、パスワード認証部103は、認証の失敗回数に1を加算する(ステップS807)。なお、失敗回数の初期値は0に設定されているものとする。   Then, the password authentication unit 103 determines whether or not the OTP authentication has failed (step S806). If the authentication fails, that is, if there is no matching OTP (step S806: YES), the password authentication unit 103 adds 1 to the number of authentication failures (step S807). It is assumed that the initial value of the number of failures is set to 0.

次に、判断部104が、失敗回数が所定の閾値より大きいか否かを判断する(ステップS808)。失敗回数が閾値より大きい場合(ステップS808:YES)、送受信部101が、カウンタを復旧するために更新モードを選択することを要求する更新モード選択要求を端末装置40に送信する(ステップS809)。   Next, the determination unit 104 determines whether or not the number of failures is greater than a predetermined threshold (step S808). When the number of failures is larger than the threshold (step S808: YES), the transmission / reception unit 101 transmits an update mode selection request for selecting the update mode to restore the counter to the terminal device 40 (step S809).

カウンタ更新部106は、現在のカウンタ「count」を更新するための更新カウンタを新たに生成する(ステップS810)。カウンタ更新部106は、例えば、現在のカウンタに所定数である100を加算した値を更新カウンタとして生成する。   The counter update unit 106 newly generates an update counter for updating the current counter “count” (step S810). For example, the counter update unit 106 generates a value obtained by adding a predetermined number 100 to the current counter as an update counter.

そして、パスワード生成部102は、生成された更新カウンタを用いて照合用OTPを生成する(ステップS811)。また、チャレンジ生成部105は、生成された更新カウンタと、更新カウンタのチェックコードとを暗号化したチャレンジを生成する(ステップS812)。   Then, the password generation unit 102 generates a verification OTP using the generated update counter (step S811). In addition, the challenge generation unit 105 generates a challenge in which the generated update counter and the check code of the update counter are encrypted (step S812).

チェックコードとは、更新カウンタの正当性を検証するための情報である。チャレンジ生成部105は、例えば、CRC(Cyclic Redundancy Check)などの誤り検出符号を、更新カウンタのチェックコードとして生成する。なお、チェックコードはこれに限られず、更新カウンタの誤り検出または正当性の検証が可能なものであればあらゆる情報を適用できる。   The check code is information for verifying the validity of the update counter. The challenge generation unit 105 generates, for example, an error detection code such as CRC (Cyclic Redundancy Check) as a check code for the update counter. The check code is not limited to this, and any information can be applied as long as it can detect an update counter error or verify its validity.

図9は、チャレンジ生成部105によるチャレンジ生成処理の概要を示す図である。図9に示すように、チャレンジ生成部105は、まず更新カウンタのチェックコードを算出し、更新カウンタの末尾に付加する。そして、チャレンジ生成部105は、チェックコードを付加したデータ全体を、鍵情報記憶部122に記憶された鍵情報を用いて暗号化し、チャレンジを生成する。   FIG. 9 is a diagram showing an overview of challenge generation processing by the challenge generation unit 105. As shown in FIG. 9, the challenge generation unit 105 first calculates the check code of the update counter and adds it to the end of the update counter. Then, the challenge generation unit 105 encrypts the entire data with the check code added using the key information stored in the key information storage unit 122, and generates a challenge.

このようにして更新カウンタを暗号化することにより、更新カウンタが盗聴等により攻撃者に知られるおそれを低減できる。また、チェックコードを用いることにより、更新カウンタの改ざん等の攻撃を回避可能となる。なお、チェックコードを用いずに、更新カウンタの暗号化のみを実行するように構成してもよい。   By encrypting the update counter in this way, it is possible to reduce the risk of the update counter being known to an attacker due to eavesdropping or the like. Further, by using the check code, it is possible to avoid attacks such as falsification of the update counter. Note that only the update counter may be encrypted without using the check code.

図8に戻り、送受信部101は、生成されたチャレンジを端末装置40に送信する(ステップS813)。   Returning to FIG. 8, the transmission / reception unit 101 transmits the generated challenge to the terminal device 40 (step S813).

端末装置40は、ステップS809で認証装置10から送信された更新モード選択要求を受信する。そして、例えば、表示部42にカウンタを更新するために更新モードを選択し、カウンタの更新処理を実行すべき旨を表示する(図示せず)。ユーザは、この表示を確認することにより、ICカード30に対して更新モードを指定し、カウンタの復旧を実行させることが可能となる。   The terminal device 40 receives the update mode selection request transmitted from the authentication device 10 in step S809. Then, for example, an update mode is selected in order to update the counter on the display unit 42, and an indication that the counter update process should be executed is displayed (not shown). By confirming this display, the user can designate the update mode for the IC card 30 and execute the recovery of the counter.

また、端末装置40は、ステップS813で認証装置10から送信されたチャレンジを受信する。そして、例えば、表示部42に受信したチャレンジを表示する(図示せず)。ユーザは、これによりパスワード表示装置20の操作ボタン25等を用いてICカード30に対してチャレンジを入力することが可能となる。   Further, the terminal device 40 receives the challenge transmitted from the authentication device 10 in step S813. Then, for example, the received challenge is displayed on the display unit 42 (not shown). Thus, the user can input a challenge to the IC card 30 using the operation button 25 of the password display device 20 or the like.

なお、更新モード選択要求を送信する構成の場合、攻撃者に対しても更新モード選択要求が送信され、攻撃者によってカウンタの更新が可能であることが知られるおそれがある。これを回避するため、更新モード選択要求を送信しないように構成してもよい。この場合は、例えば、ICカード30の操作マニュアル等に更新モードを選択することによりカウンタの復旧が可能であることを記載しておけばよい。   In the case of a configuration that transmits an update mode selection request, there is a possibility that the update mode selection request is also transmitted to the attacker and it is known that the counter can be updated by the attacker. In order to avoid this, the update mode selection request may not be transmitted. In this case, for example, it may be described in the operation manual of the IC card 30 that the counter can be restored by selecting the update mode.

ICカード30のカウンタ更新部305は、ユーザにより更新モードが選択されたか否かを判断する(ステップS814)。更新モードが選択されなかった場合、すなわち、生成モードが選択された場合は(ステップS814:NO)、ステップS802に戻り処理を繰り返す。更新モードが選択された場合(ステップS814:YES)、チャレンジ受付部302は、ユーザが入力したチャレンジを、通信I/F31を介して受け付ける(ステップS815)。   The counter update unit 305 of the IC card 30 determines whether or not the update mode has been selected by the user (step S814). If the update mode is not selected, that is, if the generation mode is selected (step S814: NO), the process returns to step S802 and the process is repeated. When the update mode is selected (step S814: YES), the challenge receiving unit 302 receives the challenge input by the user via the communication I / F 31 (step S815).

次に、復号部303が、鍵情報記憶部321に記憶された鍵情報を用いて、受け付けたチャレンジを復号し、復号したデータから更新カウンタとチェックコードとを取り出す(ステップS816)。次に、カウンタ更新部305は、復号したチェックコードが正当であるか否かを判断する(ステップS817)。具体的には、カウンタ更新部305は、復号された更新カウンタからチェックコードを算出し、復号したチェックコードと比較する。   Next, the decryption unit 303 decrypts the accepted challenge using the key information stored in the key information storage unit 321 and extracts an update counter and a check code from the decrypted data (step S816). Next, the counter update unit 305 determines whether or not the decrypted check code is valid (step S817). Specifically, the counter update unit 305 calculates a check code from the decrypted update counter and compares it with the decrypted check code.

算出したチェックコードと復号したチェックコードとが一致しない場合(ステップS817:NO)、カウンタ更新部305は、エラーが発生した旨を出力し(ステップS818)、認証処理を終了する。   When the calculated check code does not match the decrypted check code (step S817: NO), the counter update unit 305 outputs that an error has occurred (step S818), and ends the authentication process.

なお、同図では省略しているが、復号した更新カウンタと、現在カウンタ記憶部322に記憶されているカウンタとを比較し、更新カウンタが記憶されているカウンタ以下である場合に、エラーが発生したと判断して処理を終了するように構成してもよい。更新カウンタが記憶されているカウンタ以下である場合、利用者が悪意を持ってOTPの生成を実行している可能性があるためである。   Although omitted in the figure, an error occurs when the decrypted update counter is compared with the counter currently stored in the counter storage unit 322 and the update counter is equal to or smaller than the stored counter. You may comprise so that it may determine that it carried out and to complete | finish a process. This is because if the update counter is less than or equal to the stored counter, the user may be generating OTP maliciously.

算出したチェックコードと復号したチェックコードとが一致する場合(ステップS817:YES)、カウンタ更新部305は、復号した更新カウンタでカウンタ記憶部322のカウンタを更新する(ステップS819)。   If the calculated check code matches the decoded check code (step S817: YES), the counter update unit 305 updates the counter of the counter storage unit 322 with the decoded update counter (step S819).

次に、パスワード生成部304は、チャレンジに対する応答として認証装置10に送信する応答パスワードを、更新カウンタから生成する(ステップS820)。   Next, the password generation unit 304 generates a response password to be transmitted to the authentication device 10 as a response to the challenge from the update counter (step S820).

応答パスワードを生成後、端末装置40の入力部41が、ユーザにより指定された応答パスワードを入力する(ステップS821)。そして、送受信部44が、入力された応答パスワードを認証装置10に送信する(ステップS822)。   After generating the response password, the input unit 41 of the terminal device 40 inputs the response password specified by the user (step S821). Then, the transmitting / receiving unit 44 transmits the input response password to the authentication device 10 (step S822).

認証装置10のパスワード認証部103は、送受信部101によって受信された応答パスワードを検証する(ステップS823)。具体的には、パスワード認証部103は、ステップS811で更新カウンタから生成した照合用OTPと、受信した応答パスワードとが一致するか否かを検証する。   The password authentication unit 103 of the authentication device 10 verifies the response password received by the transmission / reception unit 101 (step S823). Specifically, the password authentication unit 103 verifies whether the verification OTP generated from the update counter in step S811 matches the received response password.

そして、パスワード認証部103は、応答パスワードの認証が失敗したか否かを判断する(ステップS824)。認証に失敗した場合、すなわち、照合用OTPと応答パスワードとが一致しない場合は(ステップS824:YES)、パスワード認証部103は、認証の失敗回数に1を加算し(ステップS807)、処理を繰り返す。   Then, the password authentication unit 103 determines whether authentication of the response password has failed (step S824). If the authentication fails, that is, if the verification OTP and the response password do not match (step S824: YES), the password authentication unit 103 adds 1 to the number of authentication failures (step S807) and repeats the process. .

認証に成功した場合、すなわち、照合用OTPと応答パスワードとが一致する場合(ステップS824:NO)、パスワード認証部103は、失敗回数を0にクリアする(ステップS825)。そして、パスワード認証部103は、カウンタ記憶部121に記憶する同期が取れたカウンタとして、更新カウンタを採用する(ステップS826)。   When the authentication is successful, that is, when the verification OTP matches the response password (step S824: NO), the password authentication unit 103 clears the number of failures to 0 (step S825). Then, the password authentication unit 103 employs an update counter as a synchronized counter stored in the counter storage unit 121 (step S826).

ステップS806で認証に成功したと判断された場合、すなわち、一致する照合用OTPが存在する場合は(ステップS806:NO)、パスワード認証部103は失敗回数を0にクリアする(ステップS827)。そして、パスワード認証部103は、カウンタ記憶部121に記憶する同期が取れたカウンタとして、一致した照合用OTPに対応するカウンタを採用する(ステップS828)。   If it is determined in step S806 that the authentication is successful, that is, if there is a matching OTP for matching (step S806: NO), the password authentication unit 103 clears the number of failures to 0 (step S827). Then, the password authentication unit 103 employs a counter corresponding to the matching OTP for matching as the synchronized counter stored in the counter storage unit 121 (step S828).

次に、カウンタ更新部106は、採用したカウンタに1を加算してカウンタ記憶部121に保存し(ステップS829)、認証処理を終了する。ステップS808で失敗回数が閾値以下であると判断された場合も(ステップS808:NO)、カウンタ更新部106が、カウンタに1を加算し(ステップS829)、認証処理を終了する。   Next, the counter update unit 106 adds 1 to the adopted counter and stores it in the counter storage unit 121 (step S829), and ends the authentication process. When it is determined in step S808 that the number of failures is equal to or less than the threshold (step S808: NO), the counter update unit 106 adds 1 to the counter (step S829), and ends the authentication process.

なお、同図では省略しているが、認証装置10は、OTPおよび応答パスワードの認証結果を端末装置40に送信する。端末装置40は、認証結果を表示部42等によりユーザに出力する。これにより、ユーザは入力したOTPの認証結果、または、同期復旧が成功したか否かを知ることができる。   Although not shown in the figure, the authentication device 10 transmits the authentication result of the OTP and the response password to the terminal device 40. The terminal device 40 outputs the authentication result to the user through the display unit 42 or the like. Thereby, the user can know the authentication result of the input OTP or whether or not the synchronization recovery is successful.

次に、ステップS802のOTP生成処理の詳細について図10を用いて説明する。図10は、本実施の形態におけるOTP生成処理の全体の流れを示すフローチャートである。   Next, details of the OTP generation processing in step S802 will be described with reference to FIG. FIG. 10 is a flowchart showing the overall flow of the OTP generation process in the present embodiment.

まず、パスワード生成部304は、鍵情報記憶部321から鍵情報を取得するとともに、カウンタ記憶部322から現在のカウンタを取得する(ステップS1001)。次に、パスワード生成部304は、取得したカウンタをRAM33などの一時記憶部に保存する(ステップS1002)。   First, the password generation unit 304 acquires key information from the key information storage unit 321 and also acquires the current counter from the counter storage unit 322 (step S1001). Next, the password generation unit 304 stores the acquired counter in a temporary storage unit such as the RAM 33 (step S1002).

次に、パスワード生成部304は、カウンタをインクリメント(1を加算)してカウンタ記憶部322のカウンタを更新する(ステップS1003)。そして、パスワード生成部304は、取得した鍵情報と、一時記憶部に保存したカウンタとを用いてOTPを生成する(ステップS1004)。   Next, the password generation unit 304 updates the counter in the counter storage unit 322 by incrementing the counter (adding 1) (step S1003). Then, the password generation unit 304 generates an OTP using the acquired key information and the counter stored in the temporary storage unit (step S1004).

なお、OTPを生成する前にカウンタ記憶部322のカウンタを更新しているのは、OTPを生成した直後にOTP生成装置(パスワード表示装置20)の電源を落とすことにより、何度も同じOTPを生成されない用にするためである。   The reason for updating the counter in the counter storage unit 322 before generating the OTP is that the OTP generator (password display device 20) is turned off immediately after the OTP is generated, so that the same OTP is updated many times. This is for the purpose of not being generated.

最後に、パスワード生成部304は、生成したOTPを通信I/F31を介してパスワード表示装置20に出力し(ステップS1005)、OTP生成処理を終了する。   Finally, the password generation unit 304 outputs the generated OTP to the password display device 20 via the communication I / F 31 (step S1005), and ends the OTP generation process.

このように、本実施の形態にかかる認証装置は、OTPの認証処理が連続して所定回数失敗した場合に更新カウンタを生成し、更新カウンタを暗号化したチャレンジをユーザの端末装置に送信する。一方、本実施の形態にかかるパスワード生成装置(ICカード)は、端末装置に送信されたチャレンジをもとにユーザが入力したチャレンジから更新カウンタを復号し、更新カウンタからOTPを生成する。生成したOTPが認証された場合、認証装置は更新カウンタで現在のカウンタを更新し、パスワード生成装置とのカウンタの同期を復旧することができる。このような構成により、トークンの再発行等のような高コストの対応を回避するためにカウンタの許容範囲を広げる必要がないため、セキュリティ強度の低下を抑止することが可能となる。   As described above, the authentication device according to the present embodiment generates an update counter when the OTP authentication process has failed continuously a predetermined number of times, and transmits a challenge in which the update counter is encrypted to the user terminal device. On the other hand, the password generation device (IC card) according to the present embodiment decodes the update counter from the challenge input by the user based on the challenge transmitted to the terminal device, and generates an OTP from the update counter. When the generated OTP is authenticated, the authentication device can update the current counter with the update counter and restore the synchronization of the counter with the password generation device. With such a configuration, it is not necessary to widen the allowable range of the counter in order to avoid a high-cost response such as token reissuance, and thus it is possible to suppress a decrease in security strength.

(変形例)
上記実施の形態では、パスワード表示装置に差し込むことにより動作するICカードとしてパスワード生成装置を実現した例について説明した。パスワード生成装置の構成はこれに限られず、パスワード表示装置の機能とICカードの機能とを共に備えた装置として実現することもできる。
(Modification)
In the above embodiment, the example in which the password generation device is realized as an IC card that operates by being inserted into the password display device has been described. The configuration of the password generation device is not limited to this, and can be realized as a device having both the function of a password display device and the function of an IC card.

図11は、このように構成したパスワード生成装置60を含む、本変形例にかかる認証システム2のネットワーク構成の一例を示す図である。同図に示すように、認証システム2は、認証装置10と、パスワード生成装置60と、端末装置40と、を含んでいる。   FIG. 11 is a diagram illustrating an example of a network configuration of the authentication system 2 according to the present modification including the password generation device 60 configured as described above. As shown in the figure, the authentication system 2 includes an authentication device 10, a password generation device 60, and a terminal device 40.

認証装置10、端末装置40、およびネットワーク50の構成および機能は、上記実施の形態の認証システム1の構成例を示す図1と同様であるので、同一符号を付し、ここでの説明は省略する。   The configurations and functions of the authentication device 10, the terminal device 40, and the network 50 are the same as those in FIG. 1 showing the configuration example of the authentication system 1 according to the above-described embodiment. To do.

パスワード生成装置60は、制御部601と、表示部24と、操作ボタン25と、鍵情報記憶部321と、カウンタ記憶部322と、モード受付部301と、チャレンジ受付部302と、復号部303と、パスワード生成部304と、カウンタ更新部305と、を備えている。   The password generation device 60 includes a control unit 601, a display unit 24, an operation button 25, a key information storage unit 321, a counter storage unit 322, a mode reception unit 301, a challenge reception unit 302, and a decryption unit 303. A password generation unit 304 and a counter update unit 305.

このように、本変形例のパスワード生成装置60では、上記実施の形態のパスワード表示装置20とICカード30とが統合され、パスワード表示装置20に含まれていたR/W26と、ICカード30に含まれていた通信I/F31とが削除されている。また、制御部601の機能が変更されている。その他の構成および機能は、図1と同様であるので、同一符号を付し、ここでの説明は省略する。   As described above, in the password generation device 60 of this modification, the password display device 20 and the IC card 30 of the above embodiment are integrated, and the R / W 26 and the IC card 30 included in the password display device 20 are integrated. The included communication I / F 31 has been deleted. In addition, the function of the control unit 601 is changed. Since other configurations and functions are the same as those in FIG. 1, the same reference numerals are given, and description thereof is omitted here.

制御部601は、OTP生成処理全体を制御する。例えば、制御部601は、パスワード生成装置60の電源が投入されたときに、OTP生成処理を開始する。また、制御部601は、生成されたOTPを表示部24に表示する処理を制御する。   The control unit 601 controls the entire OTP generation process. For example, the control unit 601 starts the OTP generation process when the password generation device 60 is powered on. In addition, the control unit 601 controls processing for displaying the generated OTP on the display unit 24.

なお、本変形例にかかる認証システム2による認証処理は、ICカード30で実行する処理を、パスワード生成装置60が実行する点が上記実施の形態の認証システム1と異なるのみであり、全体の流れは図8と同様であるため、ここでの説明は省略する。   The authentication process by the authentication system 2 according to the present modification is different from the authentication system 1 of the above embodiment only in that the password generation device 60 executes the process executed by the IC card 30, and the overall flow is as follows. Is the same as that in FIG. 8, and the description thereof is omitted here.

このように、本変形例にかかる認証装置では、パスワード表示装置とICカードとが一体化された装置としてパスワード生成装置が実現された場合であっても、上記実施の形態と同様の機能を実現することができる。   As described above, in the authentication device according to this modification, even when the password generation device is realized as a device in which the password display device and the IC card are integrated, the same function as in the above embodiment is realized. can do.

本実施の形態にかかる認証装置で実行される認証プログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されて提供される。   An authentication program executed by the authentication apparatus according to the present embodiment is a file in an installable format or an executable format, and is a CD-ROM (Compact Disk Read Only Memory), a flexible disk (FD), a CD-R (Compact). The program is recorded on a computer-readable recording medium such as a disk recordable (DVD) or a digital versatile disk (DVD).

また、本実施の形態にかかる認証装置で実行される認証プログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、本実施の形態にかかる認証装置で実行される認証プログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。   Further, the authentication program executed by the authentication apparatus according to the present embodiment may be provided by being stored on a computer connected to a network such as the Internet and downloaded via the network. The authentication program executed by the authentication apparatus according to the present embodiment may be provided or distributed via a network such as the Internet.

また、本実施の形態の認証プログラムを、ROM等に予め組み込んで提供するように構成してもよい。   Further, the authentication program according to the present embodiment may be provided by being incorporated in advance in a ROM or the like.

なお、本実施の形態にかかる認証装置で実行される認証プログラムは、上述した各部(送受信部、パスワード生成部、パスワード認証部、判断部、チャレンジ生成部、カウンタ更新部)を含むモジュール構成となっており、実際のハードウェアとしてはCPU11(プロセッサ)が上記記憶媒体から認証プログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、上述した各部が主記憶装置上に生成されるようになっている。   The authentication program executed by the authentication device according to the present embodiment has a module configuration including the above-described units (transmission / reception unit, password generation unit, password authentication unit, determination unit, challenge generation unit, counter update unit). As actual hardware, the CPU 11 (processor) reads the authentication program from the storage medium and executes it, so that the above-described units are loaded on the main storage device, and the above-described units are generated on the main storage device. It is like that.

また、本実施の形態にかかるパスワード生成装置で実行されるパスワード生成プログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されて提供される。   The password generation program executed by the password generation apparatus according to the present embodiment is a file in an installable format or an executable format, and is a CD-ROM (Compact Disk Read Only Memory), a flexible disk (FD), a CD. It is provided by being recorded on a computer-readable recording medium such as -R (Compact Disk Recordable) or DVD (Digital Versatile Disk).

また、本実施の形態にかかるパスワード生成装置で実行されるパスワード生成プログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、本実施の形態にかかるパスワード生成装置で実行されるパスワード生成プログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。   Further, the password generation program executed by the password generation device according to the present embodiment may be stored on a computer connected to a network such as the Internet and provided by being downloaded via the network. . The password generation program executed by the password generation apparatus according to the present embodiment may be provided or distributed via a network such as the Internet.

また、本実施の形態のパスワード生成プログラムを、ROM等に予め組み込んで提供するように構成してもよい。なお、本実施の形態にかかるパスワード生成装置で実行されるパスワード生成プログラムは、上述した各部(モード受付部、チャレンジ受付部、復号部、パスワード生成部、カウンタ更新部)を含むモジュール構成となっており、実際のハードウェアとしてはCPU32(プロセッサ)が上記記憶媒体から認証プログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、上述した各部が主記憶装置上に生成されるようになっている。   Further, the password generation program according to the present embodiment may be provided by being incorporated in advance in a ROM or the like. The password generation program executed by the password generation device according to the present embodiment has a module configuration including the above-described units (mode reception unit, challenge reception unit, decryption unit, password generation unit, counter update unit). As actual hardware, the CPU 32 (processor) reads the authentication program from the storage medium and executes it, so that the above-described units are loaded onto the main storage device, and the above-described units are generated on the main storage device. It has become.

以上のように、本発明にかかる認証装置、認証プログラム、認証システム、パスワード生成装置、携帯型セキュリティデバイス、およびパスワード生成プログラムは、カウンタ同期方式による認証を実行する認証装置、認証プログラム、認証システム、パスワード生成装置、携帯型セキュリティデバイス、およびパスワード生成プログラムに適している。   As described above, the authentication device, the authentication program, the authentication system, the password generation device, the portable security device, and the password generation program according to the present invention are an authentication device, an authentication program, an authentication system, Suitable for password generation device, portable security device, and password generation program.

本実施の形態にかかる認証システムのネットワーク構成の一例を示す図である。It is a figure which shows an example of the network structure of the authentication system concerning this Embodiment. OTPの生成方法の一例を説明するための模式図である。It is a schematic diagram for demonstrating an example of the production | generation method of OTP. OTPの検証方法の一例を説明するための模式図である。It is a schematic diagram for demonstrating an example of the verification method of OTP. 認証装置のハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of an authentication apparatus. パスワード生成装置のハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of a password production | generation apparatus. ICカードのハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of IC card. 本実施の形態にかかる認証システムの各装置の機能構成の一例を示すブロック図である。It is a block diagram which shows an example of a function structure of each apparatus of the authentication system concerning this Embodiment. 本実施の形態における認証処理の全体の流れを示すフローチャートである。It is a flowchart which shows the whole flow of the authentication process in this Embodiment. チャレンジ生成部によるチャレンジ生成処理の概要を示す図である。It is a figure which shows the outline | summary of the challenge production | generation process by a challenge production | generation part. 本実施の形態におけるOTP生成処理の全体の流れを示すフローチャートである。It is a flowchart which shows the whole flow of the OTP production | generation process in this Embodiment. 変形例にかかる認証システムのネットワーク構成の一例を示す図である。It is a figure which shows an example of the network structure of the authentication system concerning a modification.

1、2 認証システム
10 認証装置
11、21、32 CPU
12、22、34 ROM
13、23、33 RAM
14、31 通信I/F
15、27 バス
24 表示部
25 操作ボタン
26 R/W
35 EEPROM
20 パスワード表示装置
30 ICカード
40 端末装置
41 入力部
42 表示部
43 アプリケーション部
44 送受信部
50 ネットワーク
60 パスワード生成装置
101 送受信部
102 パスワード生成部
103 パスワード認証部
104 判断部
105 チャレンジ生成部
106 カウンタ更新部
121 カウンタ記憶部
122 鍵情報記憶部
201 制御部
301 モード受付部
302 チャレンジ受付部
303 復号部
304 パスワード生成部
305 カウンタ更新部
321 鍵情報記憶部
322 カウンタ記憶部
401 カウンタ
601 制御部
1, 2 Authentication system 10 Authentication device 11, 21, 32 CPU
12, 22, 34 ROM
13, 23, 33 RAM
14, 31 Communication I / F
15, 27 Bus 24 Display 25 Operation button 26 R / W
35 EEPROM
DESCRIPTION OF SYMBOLS 20 Password display apparatus 30 IC card 40 Terminal apparatus 41 Input part 42 Display part 43 Application part 44 Transmission / reception part 50 Network 60 Password generation apparatus 101 Transmission / reception part 102 Password generation part 103 Password authentication part 104 Judgment part 105 Challenge generation part 106 Counter update part 121 counter storage unit 122 key information storage unit 201 control unit 301 mode reception unit 302 challenge reception unit 303 decryption unit 304 password generation unit 305 counter update unit 321 key information storage unit 322 counter storage unit 401 counter 601 control unit

Claims (11)

パスワードを生成する度に更新される生成カウンタに基づいて生成されたワンタイムパスワードを、ネットワークを介して接続された端末装置から受信して認証を行う認証装置であって、
前記生成カウンタを記憶するカウンタ記憶部と、
前記ワンタイムパスワードによる認証処理を連続して失敗した回数が予め定められた閾値より大きいか否かを判断する判断部と、
前記回数が前記閾値より大きいと判断された場合に、前記生成カウンタを更新するための値であって前記カウンタ記憶部に記憶されている前記生成カウンタに予め定められた数値を加算した更新カウンタをチャレンジ値として生成するチャレンジ生成部と、
前記チャレンジ値を前記端末装置に送信する送信部と、
前記チャレンジ値に対応する応答として前記端末装置から送信された応答パスワードを受信する受信部と、
前記更新カウンタに基づいて、照合用パスワードを生成するパスワード生成部と、
生成された前記照合用パスワードと前記応答パスワードとを照合するパスワード認証部と、
生成された前記照合用パスワードと前記応答パスワードとが一致する場合に、前記更新カウンタで前記カウンタ記憶部の前記生成カウンタを更新するカウンタ更新部と、
を備えたことを特徴とする認証装置。
An authentication device that receives and authenticates a one-time password generated based on a generation counter updated every time a password is generated from a terminal device connected via a network,
A counter storage unit for storing the generation counter;
A determination unit that determines whether or not the number of times the authentication process using the one-time password has failed continuously is greater than a predetermined threshold;
An update counter that is a value for updating the generation counter when the number of times is determined to be greater than the threshold and that is obtained by adding a predetermined numerical value to the generation counter stored in the counter storage unit ; A challenge generation unit for generating a challenge value;
A transmission unit for transmitting the challenge value to the terminal device;
A receiving unit for receiving a response password transmitted from the terminal device as a response corresponding to the challenge value;
Based on the update counter, a password generation unit that generates a verification password;
A password authentication unit for verifying the generated verification password and the response password;
A counter update unit that updates the generation counter of the counter storage unit with the update counter when the generated verification password matches the response password;
An authentication apparatus comprising:
前記パスワード生成部は、さらに、前記カウンタ記憶部の前記生成カウンタと、前記カウンタ記憶部の前記生成カウンタを順次更新して得られる複数の生成カウンタとに基づいて、複数の照合用パスワードを生成し、
前記判断部は、前記ワンタイムパスワードが、生成された前記複数の照合用パスワードのいずれかと一致することを認証する前記認証処理を連続して失敗した回数が前記閾値より大きいか否かを判断すること、
を特徴とする請求項1に記載の認証装置。
The password generation unit further generates a plurality of verification passwords based on the generation counter of the counter storage unit and a plurality of generation counters obtained by sequentially updating the generation counter of the counter storage unit. ,
The determination unit determines whether or not the number of consecutive failures in the authentication process for authenticating that the one-time password matches any of the generated verification passwords is greater than the threshold. about,
The authentication device according to claim 1.
前記チャレンジ生成部は、さらに前記更新カウンタの誤り検出符号を生成し、前記誤り検出符号と前記更新カウンタとを暗号化した前記チャレンジ値を生成すること、
を特徴とする請求項1に記載の認証装置。
The challenge generation unit further generates an error detection code of the update counter, and generates the challenge value obtained by encrypting the error detection code and the update counter;
The authentication device according to claim 1.
パスワードを生成する度に更新される生成カウンタを記憶するカウンタ記憶部と、
前記生成カウンタを更新するための値であって前記生成カウンタに予め定められた数値を加算した更新カウンタをチャレンジ値の入力として受け付けるチャレンジ受付部と、
前記更新カウンタに基づいて前記チャレンジ値に対する応答のためのパスワードである応答パスワードを生成するパスワード生成部と、
前記応答パスワードを表示する表示部と、
前記更新カウンタで前記カウンタ記憶部の前記生成カウンタを更新するカウンタ更新部と、
を備えたことを特徴とするパスワード生成装置。
A counter storage unit that stores a generation counter that is updated each time a password is generated;
A challenge acceptance unit that accepts an update counter that is a value for updating the generation counter and adds a predetermined numerical value to the generation counter as an input of a challenge value;
A password generation unit that generates a response password that is a password for a response to the challenge value based on the update counter;
A display unit for displaying the response password;
A counter update unit for updating the generation counter of the counter storage unit with the update counter;
A password generation device comprising:
前記チャレンジ受付部は、前記更新カウンタの誤り検出符号と前記更新カウンタとを暗号化したチャレンジ値の入力を受け付け、
受け付けられた前記チャレンジ値から前記更新カウンタと前記誤り検出符号とを復号する復号部をさらに備え、
前記パスワード生成部は、復号された前記更新カウンタから生成した誤り検出符号と復号された前記誤り検出符号とが一致するか否かを判断し、一致する場合に、復号された前記更新カウンタに基づいて前記応答パスワードを生成すること、
を特徴とする請求項4に記載のパスワード生成装置。
The challenge reception unit receives an input of a challenge value obtained by encrypting the error detection code of the update counter and the update counter,
A decoding unit that decodes the update counter and the error detection code from the accepted challenge value;
The password generation unit determines whether or not the error detection code generated from the decoded update counter and the decoded error detection code match, and if they match, based on the decoded update counter Generating the response password,
The password generation device according to claim 4 .
前記パスワード生成部は、前記更新カウンタと、前記カウンタ記憶部に記憶された前記生成カウンタとを比較し、前記更新カウンタが前記カウンタ記憶部に記憶された前記生成カウンタより大きい場合に、前記更新カウンタに基づいて前記応答パスワードを生成すること、
を特徴とする請求項4に記載のパスワード生成装置。
The password generation unit compares the update counter with the generation counter stored in the counter storage unit. When the update counter is greater than the generation counter stored in the counter storage unit, the update counter Generating the response password based on:
The password generation device according to claim 4 .
前記カウンタ記憶部に記憶された前記生成カウンタを更新する更新モードと、前記カウンタ記憶部に記憶された前記生成カウンタを用いてワンタイムパスワードを生成する生成モードとを含む動作モードの入力を受け付けるモード受付部をさらに備え、
前記チャレンジ受付部は、前記動作モードとして前記更新モードが受け付けられた場合に、前記チャレンジ値の入力を受け付けること、
を特徴とする請求項4に記載のパスワード生成装置。
A mode for receiving an input of an operation mode including an update mode for updating the generation counter stored in the counter storage unit and a generation mode for generating a one-time password using the generation counter stored in the counter storage unit A reception part,
The challenge accepting unit accepts input of the challenge value when the update mode is accepted as the operation mode;
The password generation device according to claim 4 .
パスワードを表示する表示装置と通信可能な携帯型セキュリティデバイスであって、
パスワードを生成する度に更新される生成カウンタを記憶するカウンタ記憶部と、
前記生成カウンタを更新するための値であって前記生成カウンタに予め定められた数値を加算した更新カウンタをチャレンジ値の入力として受け付けるチャレンジ受付部と、
前記更新カウンタに基づいて前記チャレンジ値に対する応答のためのパスワードである応答パスワードを生成するパスワード生成部と、
生成された前記応答パスワードを前記表示装置に出力する出力部と、
前記更新カウンタで前記カウンタ記憶部の前記生成カウンタを更新するカウンタ更新部と、
を備えたことを特徴とする携帯型セキュリティデバイス。
A portable security device that can communicate with a display device that displays a password,
A counter storage unit that stores a generation counter that is updated each time a password is generated;
A challenge acceptance unit that accepts an update counter that is a value for updating the generation counter and adds a predetermined numerical value to the generation counter as an input of a challenge value;
A password generation unit that generates a response password that is a password for a response to the challenge value based on the update counter;
An output unit for outputting the generated response password to the display device;
A counter update unit for updating the generation counter of the counter storage unit with the update counter;
A portable security device comprising:
ワンタイムパスワードを生成するパスワード生成装置と、ネットワークを介して接続された端末装置から前記パスワード生成装置が生成した前記ワンタイムパスワードを受信して認証を行う認証装置とを備えた認証システムであって、
前記パスワード生成装置は、
パスワードを生成する度に更新される生成カウンタを記憶する第1カウンタ記憶部と、
前記生成カウンタを更新するための更新カウンタをチャレンジ値の入力として受け付けるチャレンジ受付部と、
前記更新カウンタに基づいて前記チャレンジ値に対する応答のためのパスワードである応答パスワードを生成するパスワード生成部と、
前記応答パスワードを表示する表示部と、
前記更新カウンタで前記第1カウンタ記憶部の前記生成カウンタを更新するカウンタ更新部と、を備え、
前記認証装置は、
前記生成カウンタを記憶する第2カウンタ記憶部と、
前記ワンタイムパスワードによる認証処理を連続して失敗した回数が予め定められた閾値より大きいか否かを判断する判断部と、
前記回数が前記閾値より大きいと判断された場合に、前記生成カウンタを更新するための値であって前記カウンタ記憶部に記憶されている前記生成カウンタに予め定められた数値を加算した更新カウンタをチャレンジ値として生成するチャレンジ生成部と、
前記チャレンジ値を前記端末装置に送信する送信部と、
前記チャレンジ値に対応する応答として前記端末装置から送信された応答パスワードを受信する受信部と、
前記更新カウンタに基づいて、照合用パスワードを生成するパスワード生成部と、
生成された前記照合用パスワードと前記応答パスワードとを照合するパスワード認証部と、
生成された前記照合用パスワードと前記応答パスワードとが一致する場合に、前記更新カウンタで前記第2カウンタ記憶部の前記生成カウンタを更新するカウンタ更新部と、を備えたこと、
を特徴とする認証システム。
An authentication system comprising: a password generation device that generates a one-time password; and an authentication device that receives and authenticates the one-time password generated by the password generation device from a terminal device connected via a network. ,
The password generator is
A first counter storage unit that stores a generation counter that is updated each time a password is generated;
A challenge acceptance unit that accepts an update counter for updating the generation counter as an input of a challenge value;
A password generation unit that generates a response password that is a password for a response to the challenge value based on the update counter;
A display unit for displaying the response password;
A counter update unit that updates the generation counter of the first counter storage unit with the update counter,
The authentication device
A second counter storage unit for storing the generation counter;
A determination unit that determines whether or not the number of times the authentication process using the one-time password has failed continuously is greater than a predetermined threshold;
An update counter that is a value for updating the generation counter when the number of times is determined to be greater than the threshold and that is obtained by adding a predetermined numerical value to the generation counter stored in the counter storage unit ; A challenge generation unit for generating a challenge value;
A transmission unit for transmitting the challenge value to the terminal device;
A receiving unit for receiving a response password transmitted from the terminal device as a response corresponding to the challenge value;
Based on the update counter, a password generation unit that generates a verification password;
A password authentication unit for verifying the generated verification password and the response password;
A counter update unit that updates the generation counter of the second counter storage unit with the update counter when the generated verification password matches the response password;
An authentication system characterized by
パスワードを生成する度に更新される生成カウンタに基づいて生成されたワンタイムパスワードを、ネットワークを介して接続された端末装置から受信して認証を行う認証装置で実行される認証プログラムであって、
前記認証装置は、前記生成カウンタを記憶するカウンタ記憶部を備え、
前記認証装置を、
前記ワンタイムパスワードによる認証処理を連続して失敗した回数が予め定められた閾値より大きいか否かを判断する判断部と、
前記回数が前記閾値より大きいと判断された場合に、前記生成カウンタを更新するための値であって前記カウンタ記憶部に記憶されている前記生成カウンタに予め定められた数値を加算した更新カウンタをチャレンジ値として生成するチャレンジ生成部と、
前記チャレンジ値を前記端末装置に送信する送信部と、
前記チャレンジ値に対応する応答として前記端末装置から送信された応答パスワードを受信する受信部と、
前記更新カウンタに基づいて、照合用パスワードを生成するパスワード生成部と、
生成された前記照合用パスワードと前記応答パスワードとを照合するパスワード認証部と、
生成された前記照合用パスワードと前記応答パスワードとが一致する場合に、前記更新カウンタで前記カウンタ記憶部の前記生成カウンタを更新するカウンタ更新部と、
として機能させるための認証プログラム。
An authentication program executed by an authentication device that receives and authenticates a one-time password generated based on a generation counter updated every time a password is generated from a terminal device connected via a network,
The authentication apparatus includes a counter storage unit that stores the generation counter,
The authentication device;
A determination unit that determines whether or not the number of times the authentication process using the one-time password has failed continuously is greater than a predetermined threshold;
An update counter that is a value for updating the generation counter when the number of times is determined to be greater than the threshold and that is obtained by adding a predetermined numerical value to the generation counter stored in the counter storage unit ; A challenge generation unit for generating a challenge value;
A transmission unit for transmitting the challenge value to the terminal device;
A receiving unit for receiving a response password transmitted from the terminal device as a response corresponding to the challenge value;
Based on the update counter, a password generation unit that generates a verification password;
A password authentication unit for verifying the generated verification password and the response password;
A counter update unit that updates the generation counter of the counter storage unit with the update counter when the generated verification password matches the response password;
Authentication program to function as.
コンピュータを、
パスワードを生成する度に更新される生成カウンタを記憶するカウンタ記憶部と、
前記生成カウンタを更新するための値であって前記生成カウンタに予め定められた数値を加算した更新カウンタをチャレンジ値の入力として受け付けるチャレンジ受付部と、
前記更新カウンタに基づいて前記チャレンジ値に対する応答のためのパスワードである応答パスワードを生成するパスワード生成部と、
前記応答パスワードを表示する表示部と、
前記更新カウンタで前記カウンタ記憶部の前記生成カウンタを更新するカウンタ更新部と、
として機能させるためのパスワード生成プログラム。
Computer
A counter storage unit that stores a generation counter that is updated each time a password is generated;
A challenge acceptance unit that accepts an update counter that is a value for updating the generation counter and adds a predetermined numerical value to the generation counter as an input of a challenge value;
A password generation unit that generates a response password that is a password for a response to the challenge value based on the update counter;
A display unit for displaying the response password;
A counter update unit for updating the generation counter of the counter storage unit with the update counter;
Password generation program to function as
JP2009090274A 2009-04-02 2009-04-02 Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program Active JP5434203B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009090274A JP5434203B2 (en) 2009-04-02 2009-04-02 Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009090274A JP5434203B2 (en) 2009-04-02 2009-04-02 Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program

Publications (2)

Publication Number Publication Date
JP2010244191A JP2010244191A (en) 2010-10-28
JP5434203B2 true JP5434203B2 (en) 2014-03-05

Family

ID=43097164

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009090274A Active JP5434203B2 (en) 2009-04-02 2009-04-02 Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program

Country Status (1)

Country Link
JP (1) JP5434203B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017056329A1 (en) * 2015-10-02 2017-04-06 株式会社Pips One-time authentication system
US11321466B2 (en) * 2018-03-09 2022-05-03 Qualcomm Incorporated Integrated circuit data protection
SG11202102798TA (en) 2018-10-02 2021-04-29 Capital One Services Llc Systems and methods for cryptographic authentication of contactless cards
US10581611B1 (en) * 2018-10-02 2020-03-03 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards
CN112149082A (en) * 2019-06-26 2020-12-29 天地融科技股份有限公司 Office system safety control method, device and system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11161618A (en) * 1997-09-05 1999-06-18 Toshiba Corp Mobile computer management device, mobile computer device, and mobile computer registering method
JP2001352324A (en) * 2000-06-07 2001-12-21 Nec Corp One-time password generator, authentication method and recording medium with one-time password generating program recorded therein
JP2002297547A (en) * 2001-04-03 2002-10-11 Sony Corp Information processing apparatus and method, information processing system, recording medium and program
FR2867930A1 (en) * 2004-03-16 2005-09-23 France Telecom ANONYMOUS AUTHENTICATION METHOD
JP4973292B2 (en) * 2007-04-10 2012-07-11 大日本印刷株式会社 Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program

Also Published As

Publication number Publication date
JP2010244191A (en) 2010-10-28

Similar Documents

Publication Publication Date Title
JP6629952B2 (en) Method and apparatus for securing mobile applications
CN106575416B (en) System and method for authenticating a client to a device
EP3435591A1 (en) 1:n biometric authentication, encryption, signature system
US9218473B2 (en) Creation and authentication of biometric information
US20160036808A1 (en) Otp token, data transmission system and data transmission method for otp token
CN109075965B (en) Method, system and apparatus for forward secure cryptography using passcode authentication
JP5434203B2 (en) Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program
CN101682628A (en) Secure communications
CN103684782A (en) Method for activating token equipment in token authentication system
CA2921718C (en) Facilitating secure transactions using a contactless interface
WO2013056601A1 (en) Method and system for updating key
US20210073359A1 (en) Secure one-time password (otp) authentication
KR20160143863A (en) Device control system, device controller, device control method, and program
JP4973292B2 (en) Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program
US20200233947A1 (en) System and method for facilitating authentication via a short-range wireless token
CN106650456A (en) Safe starting of electronic circuit
CN102959554A (en) Storage device and method for storage state recovery
CN111401901A (en) Authentication method and device of biological payment device, computer device and storage medium
JP4859631B2 (en) ENCRYPTED COMMUNICATION SYSTEM, COMMUNICATION TERMINAL DEVICE, ENCRYPTED COMMUNICATION PROGRAM, AND ENCRYPTED COMMUNICATION METHOD
CN110532777B (en) Secure start system and method, terminal equipment and core system thereof
KR20130012136A (en) Information generation system and method therefor
JP4684714B2 (en) File management system and program
KR101583514B1 (en) UBS Security Device with Smart Card and Memory Card and Finger Print Sensor of Install Type and Security Method thereof
JP2008234096A (en) Method of generating one-time password (otp) of time synchronization system by using ic card, authentication method for one-time password, ic card system, interface device, and ic card
KR100963417B1 (en) RFID Security Apparatus for comprising Security Function and Method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120216

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130313

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130409

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131112

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131125

R150 Certificate of patent or registration of utility model

Ref document number: 5434203

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150