JP7216441B2 - ワンタイムパスワードシステム - Google Patents

ワンタイムパスワードシステム Download PDF

Info

Publication number
JP7216441B2
JP7216441B2 JP2021102725A JP2021102725A JP7216441B2 JP 7216441 B2 JP7216441 B2 JP 7216441B2 JP 2021102725 A JP2021102725 A JP 2021102725A JP 2021102725 A JP2021102725 A JP 2021102725A JP 7216441 B2 JP7216441 B2 JP 7216441B2
Authority
JP
Japan
Prior art keywords
time password
server
user
terminal
customer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021102725A
Other languages
English (en)
Other versions
JP2023001790A (ja
Inventor
アバドゥラ イクバル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Laloka Labs
Original Assignee
Laloka Labs
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Laloka Labs filed Critical Laloka Labs
Priority to JP2021102725A priority Critical patent/JP7216441B2/ja
Priority to EP21213312.8A priority patent/EP4109815A1/en
Publication of JP2023001790A publication Critical patent/JP2023001790A/ja
Application granted granted Critical
Publication of JP7216441B2 publication Critical patent/JP7216441B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Description

本発明は、ワンタイムパスワードシステムに係り、特に、ワンタイムパスワードの発行及び認証を行うワンタイムパスワードシステムに関する。
ワンタイムパスワードとは、使い捨てのパスワードである。ウェブ上のサービスを利用する際、従来はID及びパスワードによる認証を行うことが一般的であったが、ID及びパスワードによる認証に加えて、ワンタイムパスワードによる認証を行うことにより、セキュリティを強化することができる。
そして、このようなワンタイムパスワードに関する技術として、様々な技術が提案されている(例えば、特許文献1、2)。
しかし、ワンタイムパスワードに関する内容を、顧客本来のサービスフローロジックに組み込むと、ワンタイムパスワードに関する内容にも注力しなければならず、メインのビジネスロジックに注力しづらくなり、自己の本来のシステムに専念できない、という問題がある。
特開2004-070463号公報 特開2007-264835号公報
そこで、本発明の課題は、顧客がメインのビジネスロジックに注力できるとともに、自己の本来のシステムに専念することができるワンタイムパスワードシステムを提供することにある。
上記課題達成のため、請求項1に記載の発明にあっては、ワンタイムパスワードの発行及び認証を行うワンタイムパスワードシステムであって、管理者が管理しウェブを介してアプリケーションが利用可能な第1サーバと、管理者が管理しウェブを介して前記ワンタイムパスワードの発行及び認証を行う第2サーバと、管理者が管理し前記第2サーバにより発行された前記ワンタイムパスワードを格納するデータベースと、顧客が管理する顧客端末と、顧客のユーザであるエンドユーザが管理するエンドユーザ端末及びエンドユーザ携帯電話機と、前記第1サーバ、前記第2サーバ、前記データベース、前記顧客端末、前記エンドユーザ端末、及び前記エンドユーザ携帯電話機を接続する通信網とを備え、前記顧客端末は、前記エンドユーザ端末から前記顧客端末に対して行うサービス依頼手続においてワンタイムパスワード認証処理手続を開始するときに、前記第1サーバにワンタイムパスワード認証依頼リクエストを送信し、前記第1サーバは、前記ワンタイムパスワード認証依頼リクエストを受信した場合、認証対象となるエンドユーザの電子メールアドレスおよび携帯電話番号を含むエンドユーザ情報を入力するためのウェブサイトのURLを生成し、前記顧客端末に前記ウェブサイトのURLを返答し、前記ウェブサイトのURLに前記顧客端末が前記エンドユーザ端末をリダイレクトさせ、前記エンドユーザ端末は、リダイレクトされた前記URLの前記ウェブサイトを利用して前記エンドユーザ情報を入力し、前記エンドユーザ情報を前記第2サーバに送信し、前記第2サーバは、前記エンドユーザ情報を受信した場合、前記ワンタイムパスワードを発行し、前記ワンタイムパスワードを前記データベースに格納するとともに、前記エンドユーザ情報に基づいて前記ワンタイムパスワードを前記エンドユーザ端末に電子メールまたはSMSにより送信すると共に、前記エンドユーザ携帯電話機に発信し、前記エンドユーザ端末は表示画面に前記ワンタイムパスワードを表示し、前記第2サーバと通話状態にある前記エンドユーザ携帯電話機に前記エンドユーザから前記表示画面に表示された前記ワンタイムパスワードがキー入力された場合、前記エンドユーザ携帯電話機は前記第2サーバに前記ワンタイムパスワードを送信し、前記第2サーバは、前記エンドユーザ携帯電話機から前記ワンタイムパスワードを受信した場合、前記データベースを参照して前記ワンタイムパスワードの認証を行い、認証結果を前記顧客端末に送信し、前記顧客端末は、前記認証結果に基づいて前記エンドユーザ端末を認証することを特徴とする。
従って、本発明にあっては、ワンタイムパスワードは管理者が管理する第2サーバで生成されエンドユーザ端末に送出され、第2サーバに接続された顧客携帯電話機から第2サーバへのワンタイムパスワードの送信で認証される処理を実施するので、顧客本来のサービスロジックフローに、メインのビジネスロジックではないワンタイムパスワードの発行、管理、確認のためのロジックを組み込む必要がなくなる。
また、本発明に係るワンタイムパスワードシステムにあっては、エンドユーザは電子メールまたはSMSを使用できるエンドユーザ端末を使用してワンタイムパスワードを取得して使用できる。また、エンドユーザに提供したい複数のタイプ(SMS(Short Message Service)、音声(電話)、電子メール等)のワンタイムパスワードを実装したい場合であっても複雑なロジックを作り込む必要がない。
請求項2に記載の発明にあっては、入力された前記エンドユーザ情報を解析して、前記エンドユーザのリスク度を判定するリスク度判定手段を備えることを特徴とする。
従って、本発明に係るワンタイムパスワードシステムにあっては、顧客は、ワンタイムパスワードとともにリスク度判定手段が判定したエンドユーザのリスク度を参照してその後の処理を進めることができる。
請求項3に記載の発明にあっては、前記顧客端末から前記第2サーバによる前記ワンタイムパスワードの認証回数に関する繰り返し条件を設定可能であることを特徴とする。
従って、本発明に係るワンタイムパスワードシステムにあっては、顧客は繰り返し条件を設定するだけで簡単にセキュリティの強弱を調整することができる。
請求項1記載の発明にあっては、ワンタイムパスワードの発行及び認証を行うワンタイムパスワードシステムであって、管理者が管理しウェブを介してアプリケーションが利用可能な第1サーバと、管理者が管理しウェブを介して前記ワンタイムパスワードの発行及び認証を行う第2サーバと、管理者が管理し前記第2サーバにより発行された前記ワンタイムパスワードを格納するデータベースと、顧客が管理する顧客端末と、顧客のユーザであるエンドユーザが管理するエンドユーザ端末及びエンドユーザ携帯電話機と、前記第1サーバ、前記第2サーバ、前記データベース、前記顧客端末、前記エンドユーザ端末、及び前記エンドユーザ携帯電話機を接続する通信網とを備え、前記顧客端末は、前記エンドユーザ端末から前記顧客端末に対して行うサービス依頼手続においてワンタイムパスワード認証処理手続を開始するときに、前記第1サーバにワンタイムパスワード認証依頼リクエストを送信し、前記第1サーバは、前記ワンタイムパスワード認証依頼リクエストを受信した場合、認証対象となるエンドユーザの電子メールアドレスおよび携帯電話番号を含むエンドユーザ情報を入力するためのウェブサイトのURLを生成し、前記顧客端末に前記ウェブサイトのURLを返答し、前記ウェブサイトのURLに前記顧客端末が前記エンドユーザ端末をリダイレクトさせ、前記エンドユーザ端末は、リダイレクトされた前記URLの前記ウェブサイトを利用して前記エンドユーザ情報を入力し、前記エンドユーザ情報を前記第2サーバに送信し、前記第2サーバは、前記エンドユーザ情報を受信した場合、前記ワンタイムパスワードを発行し、前記ワンタイムパスワードを前記データベースに格納するとともに、前記エンドユーザ情報に基づいて前記ワンタイムパスワードを前記エンドユーザ端末に電子メールまたはSMSにより送信すると共に、前記エンドユーザ携帯電話機に発信し、前記エンドユーザ端末は表示画面に前記ワンタイムパスワードを表示し、前記第2サーバと通話状態にある前記エンドユーザ携帯電話機に前記エンドユーザから前記表示画面に表示された前記ワンタイムパスワードがキー入力された場合、前記エンドユーザ携帯電話機は前記第2サーバに前記ワンタイムパスワードを送信し、前記第2サーバは、前記エンドユーザ携帯電話機から前記ワンタイムパスワードを受信した場合、前記データベースを参照して前記ワンタイムパスワードの認証を行い、認証結果を前記顧客端末に送信し、前記顧客端末は、前記認証結果に基づいて前記エンドユーザ端末を認証するので、顧客本来のサービスロジックフローに、メインのビジネスロジックではないワンタイムパスワードの発行、管理、確認のためのロジックを組み込む必要がなくなる。
また、本願発明によれば、第2サーバは、ワンタイムパスワードを送信したエンドユーザ端末とは異なるエンドユーザ携帯電話機からワンタイムパスワードを受信し、データベースを参照してワンタイムパスワードの認証を行うので、ワンタイムパスワードの安全性が向上する。
請求項2に記載の発明にあっては、入力された前記エンドユーザ情報を解析して、前記エンドユーザのリスク度を判定するリスク度判定手段を備えることから、顧客は、ワンタイムパスワードとともにリスク度判定手段で判定したエンドユーザのリスク度を参照してその後の処理を進めることができる。
この場合リスク度判定手段は、エンドユーザ端末情報(IPアドレス、ブラウザ各種データ、時間など)とエンドユーザから入力されたエンドユーザ情報と合わせて過去の行動パターンを解析することにより当該エンドユーザのリスク度も提示する。このため、顧客は、ワンタイムパスワードの認証結果に関わらず、リスク度が高いエンドユーザについてはその後の手続きを行わないことが可能となる。
請求項3記載の発明にあっては、前記顧客端末から前記第2サーバによる前記ワンタイムパスワードの認証回数に関する繰り返し条件を設定可能であるため、顧客は繰り返し条件を設定するだけで簡単にセキュリティの強弱を調整することができる。
本発明に係るワンタイムパスワードシステムの一実施の形態を示すブロック図である。 本発明に係るワンタイムパスワードシステムの一実施の形態の概要を示す図である。 本発明に係るワンタイムパスワードシステムの一実施形の形態の処理の流れを示すシーケンス図である(1/2)。 本発明に係るワンタイムパスワードシステムの一実施の形態の処理の流れを示すシーケンス図である(2/2)。 本発明に係るワンタイムパスワードシステムの他の実施の形態の処理の流れの特徴部分を示すシーケンス図である。 本発明に係るワンタイムパスワードシステムの更に他の実施の形態の処理の流れの特徴部分を示すシーケンス図である。
以下、本発明に係る一実施の形態について、図面を参照しながら説明する。
先ず、ワンタイムパスワードシステムの概要について説明する。図1は本発明に係るワンタイムパスワードシステムの一実施の形態を示すブロック図、図2は本発明に係るワンタイムパスワードシステムの一実施の形態の概要を示す図である。
図1に示すように、本実施の形態に係るワンタイムパスワードシステム10は、ワンタイムパスワード(OTP)の発行(生成)及び認証を行うワンタイムパスワードシステム10である。このワンタイムパスワードシステム10は、管理者が管理しウェブを介してアプリケーションが利用可能な第1サーバ11と、管理者が管理しウェブを介してワンタイムパスワードの発行及び認証を行う第2サーバ12と、管理者が管理し第2サーバ12により発行されたワンタイムパスワードを格納するデータベース13と、顧客Cが管理する顧客端末14と、顧客Cのユーザであるエンドユーザが管理するエンドユーザ端末15及びエンドユーザ携帯電話機18と、を備えて構成されている。なお、エンドユーザ携帯電話機18は第3、第4実施形態で使用する。また、破線で示したリスク度判定手段17は後述する第2実施形態で使用する。
そして、第1サーバ11、第2サーバ12、データベース13、顧客端末14、及び、エンドユーザ端末15、エンドユーザ携帯電話機18及びリスク度判定手段17は、通信網16(インターネット通信網、電話通信網、電子メール通信網、メッセージ通信網等)により接続されている。
第1サーバ11は、API(Application Programming Interface)サーバである。第1サーバ11に対して、予め定められた方法でアクセスをすると、第1サーバ11は、所定のウェブサイトのURLをエンドユーザ端末15に送信して、当該エンドユーザ端末15を上述した所定のウェブサイトにリダイレクトさせる。ここで、リダイレクトは、第1サーバ11のURLページに訪れたユーザを別のURLに自動的に誘導転送する処理である。
次に、ワンタイムパスワードシステム10の処理の概要について説明する。
顧客Cがエンドユーザとの取引を開始すると適宜のタイミングでワンタイムパスワード処理を行う。このとき、本実施形態に係るワンタイムパスワードシステム10は以下の処理を行っていく。
即ち、実際の取引前のタイミングで、図2に示すように、顧客Cは、顧客端末14から第1サーバ11に認証を依頼する(S1)。図2では顧客Cには、顧客C及びエンドユーザが含まれており、顧客Cは顧客端末14を使用し、エンドユーザはエンドユーザ端末15を使用する。なお、リスク度判定手段17は後述する第2実施形態で使用するものであり、エンドユーザ携帯電話機18は第3及び第4実施形態で使用する。
第1サーバ11は、認証依頼用のURL(Uniform Resource Locator)を顧客Cに送信してリダイレクトさせる(S2)。これによりエンドユーザ端末15は、URLで特定される第1ウェブサイトW1にアクセスし(S3)、第1ウェブサイトW1においてエンドユーザ情報を入力する。エンドユーザ情報には、認証対象となるエンドユーザの連絡先情報(携帯電話番号、電子メールアドレス等の連絡先を指定する情報)及びエンドユーザに対する連絡方法(SMS、電子メール、電話音声等の認証の媒体を指定する情報)が含まれている。
従って、本実施の形態に係るワンタイムパスワードシステム10にあっては、エンドユーザに提供したい複数のタイプ(SMS、電子メール、電話音声等)のワンタイムパスワードを実装したい場合であっても複雑なロジックを作り込む必要がない。
また、顧客Cは、ワンタイムパスワードの認証回数に関する繰り返し条件を指定することができる。例えば、繰り返し条件として「1」を入力した場合、ワンタイムパスワードの認証回数は「1回」である。また、繰り返し条件として「2」を入力した場合、ワンタイムパスワードの認証回数は「2回」である。さらに、繰り返し条件として「3」を入力した場合、ワンタイムパスワードの認証回数は「3回」である。
従って、本実施の形態に係るワンタイムパスワードシステム10にあっては、顧客Cは、繰り返し条件を設定するだけで簡単にセキュリティの強弱を調整することができる。
第1ウェブサイトW1においてエンドユーザ情報が入力された場合、第2サーバ12は、ワンタイムパスワードを発行し(S4)、ワンタイムパスワードをデータベース13に格納して管理する。ワンタイムパスワードは、指定された媒体(電子メール、SMS、電話音声)を介してエンドユーザ端末15やエンドユーザ携帯電話機18に送信または発信される(S5)。なお、エンドユーザ端末15に電子メール、SMSにワンタイムパスワードを発信する場合の他、ワンタイムパスワードを発信するときは、エンドユーザ情報で指定された電話番号にワンタイムパスワードを合成音声で伝達することができる。
エンドユーザ端末15は例えばPC、スマートフォンであり、インターネット通信が可能である端末である。また、エンドユーザ携帯電話機18は例えばDTMF(Dual-Tone Multi-Frequency)によるデータ送信、音声通信が可能な固定電話又は携帯電話である。
エンドユーザ端末15又はエンドユーザ携帯電話機18でワンタイムパスワードを受信したエンドユーザは、エンドユーザ端末15からリダイレクトされた第2ウェブサイトW2にアクセスにおいてワンタイムパスワードを入力する(S6、S7)。第2実施形態ではワンタイムパスワードは、第2サーバ12と接続されたエンドユーザ携帯電話機18からDTMFにより第2サーバ12に伝送されるようにしている。第2ウェブサイトW2は、第1ウェブサイトW1に含まれるウェブサイトであってもよく、第1ウェブサイトW1とは別のウェブサイトであってもよい。第2ウェブサイトW2のURLが必要である場合、第1サーバ11または第2サーバ12が第2ウェブサイトW2のURLを生成する。
第2サーバ12は、データベース13を参照しながら、入力されたワンタイムパスワードの認証を行い、認証結果(例えば認証結果を示すURL)を顧客Cに送信する(S8)。
二段階認証等を行う場合、SMSや電子メール等でワンタイムパスワードを顧客Cに送信して認証を行うシステムが普及しているが、ワンタイムパスワードを利用したい場合、顧客Cのシステムにワンタイムパスワードに関するシステムを組み込む必要がある。しかし、このような組み込みは煩雑である。そこで、本実施の形態に係るワンタイムパスワードシステム10では、顧客Cのワンタイムパスワードの発行、認証処理を第1サーバ11及び第2サーバ12等を利用して行っている。
従って、本実施の形態に係るワンタイムパスワードシステム10にあっては、顧客本来のサービスロジックフローに、メインのビジネスロジックではないワンタイムパスワードの発行、管理、確認のためのロジックを組み込む必要がなくなる。すなわち、顧客Cは、ワンタイムパスワードに関する処理の手間が省け、本来の業務に専念することができる。
<第1実施形態>
次に、第1実施形態に係るワンタイムパスワードシステム10の処理の流れについて説明する。図3及び図4は本発明の第1実施形態に係るワンタイムパスワードシステムの処理の流れを示すシーケンス図である。
図3に示すように、顧客端末14は、エンドユーザ端末15から顧客端末14に対して行うサービス依頼手続(S10)においてワンタイムパスワード認証処理手続(S11)を開始するときに、第1サーバ11にワンタイムパスワード認証依頼リクエストを送信する(S12)。顧客端末14のシステムにより提供されるサービスは、ネットショッピング、ネットバンキングサービスや仮想通貨(暗号資産)サービス、オンラインゲームサービス等である。なお、なお、破線で示したリスク度判定手段17に関連する処理は後述する第2実施形態で使用するものであり本実施形態では使用していない。
第1サーバ11は、ワンタイムパスワード認証依頼リクエスト(S12)を受信した場合、エンドユーザ情報を入力するための第1ウェブサイトW1のURLを生成し(S13)、エンドユーザ端末15に第1ウェブサイトW1のURLを送信し、エンドユーザ端末15からリダイレクトさせる(S14)。
エンドユーザ端末15は、受信したURLに基づいて第1ウェブサイトW1にアクセスし(S15)、第1ウェブサイトW1を利用してエンドユーザ情報を入力し(S16)、エンドユーザ情報を第2サーバ12に送信する(S17)。
第2サーバ12は、エンドユーザ情報を受信した場合(S17)、ワンタイムパスワードを発行し(S18)、ワンタイムパスワードをデータベース13に格納するとともに(S19、S20)、エンドユーザ情報で指定された媒体を用いてワンタイムパスワードをエンドユーザ端末15に送信し、エンドユーザ端末15に第2ウェブサイトW2のワンタイムパスワードの入力画面をリダイレクトする(S21)。
図4に示すように、エンドユーザ端末15は、ワンタイムパスワードを受信した場合(図3S21参照)、第2ウェブサイトW2にリダイレクトされ(S22)、エンドユーザ端末15にはワンタイムパスワードの入力画面が表示される。エンドユーザは第2ウェブサイトの該当箇所に、取得したワンタイムパスワードを入力する(S23)。これにより、入力ワンタイムパスワードが第2サーバ12に入力される(S24)。
第2サーバ12は、ワンタイムパスワードが入力された場合(S24)、データベース13に確認を行い(S25)、データベース13からの応答を受信し(S26)、データベース13を参照することによりワンタイムパスワードの認証を行い(S27)、認証結果を顧客端末14に送信する(S28)。
顧客端末14は、認証結果に基づいてエンドユーザ端末15を認証する(S29)。
エンドユーザ端末15は、顧客端末14に認証された場合、サービスの利用を開始することができる(S30)。なお、顧客Cによって設定された繰り返し条件として「2」以上の値が設定されている場合には、設定されている値に応じて、(S18)から(S27)までの処理を繰り返し実行する。
以上説明したように、本実施の形態に係るワンタイムパスワードシステム10にあっては、顧客本来のサービスロジックフローに、メインのビジネスロジックではないワンタイムパスワードの発行、管理、確認のためのロジックを組み込む必要がなくなるため、顧客Cがメインのビジネスロジックに注力できるとともに、自己の本来のシステムに専念することができる。
また、本実施の形態に係るワンタイムパスワードシステム10にあっては、エンドユーザに提供したい複数のタイプ(SMS、電子メール)のワンタイムパスワードを実装したい場合であっても複雑なロジックを作り込む必要がないため、エンドユーザに複数のタイプのワンタイムパスワードを選択させることができ、幅広いエンドユーザの要求に応えることができる。
さらに、本実施の形態に係るワンタイムパスワードシステム10にあっては、顧客Cが繰り返し条件を設定するだけで簡単にセキュリティの強弱を調整することができるため、顧客のセキュリティの強弱に関する要求に応えることができる。
なお、上記例では、顧客Cは繰り返し条件を指定することとしたが、ワンタイムパスワードの種類をも指定することができる。例えば、一回のリクエストの中にまたは別途設定画面で、電子メールとSMSでワンタイムパスワードを指定し、両方認証できなければ認証は失敗とし、顧客に引き渡す。同時に繰り返し条件も有効にすることも可能である。
上述した実施の形態にあっては、エンドユーザの連絡先情報及びエンドユーザに対する連絡方法は、エンドユーザが自由に選択できるものであってもよく、エンドユーザが選択できない固定されたものであってもよい。
上述した実施の形態にあっては、エンドユーザ情報に繰り返し条件が含まれている例で説明したが、エンドユーザ情報に繰り返し条件を含ませなくてもよく、ワンタイムパスワードシステム10のシステム側で繰り返し条件を設定するようにしてもよい。
<第2実施形態>
次に本発明の第2実施形態に係るワンタイムパスワードシステムの処理について説明する。本実施形態では、ワンタイムパスワードシステム10は、リスク度判定手段17を備える。リスク度判定手段17は、図1、図2及び図3中に破線で示した。
本実施形態において、リスク度判定手段17は、図1に示したように、通信網16を介して第1サーバ11、及び顧客端末14に接続されている。リスク度判定手段17は、入力された前記エンドユーザ情報を解析して、前記エンドユーザのリスク度を判定する。リスク度判定手段17において、リスク度判定(図3中のS32)は、エンドユーザ端末から取得されたIPアドレス、ブラウザ各種データ、時間等の情報と、図3中のS31で取得されたエンドユーザ情報と合わせて行う。
リスク度判定手段17は、これらのデータに基づいて当該エンドユーザにおける過去の行動パターンを解析することによりリスク度判定を行う。この判定は多数のエンドユーザについての情報を収集したデータベースに基づいて行うことができる。また判定や解析には人工知能(AI)を使用することができる。
このリスク度の判定結果は、第2サーバ12から顧客端末14に認証結果が伝送された後、顧客端末14に送信され(図4のS33)、顧客はこのリスク判定に基づいて、認証を判断する(図4のS34)。即ち、第2サーバ12でワンタイムパスワードが認証された場合であっても、リスク判定により高リスクと判定された場合には、結果が当該エンドユーザとのその後の処理を停止することができる。これにより、商取引等に起因するリスクを低減することができる。なお、リスク度判定手段17から顧客端末14へのリスク度判定結果の送信は、リスク度判定の後であればどのタイミングであってもよい。
<第3実施形態>
次に本発明の第3実施形態に係るワンタイムパスワードシステムの処理について説明する。図5は本発明に係るワンタイムパスワードシステムの他の実施の形態の処理の流れの特徴部分を示すシーケンス図である。本実施形態においては、ワンタイムパスワードの認証を、エンドユーザが管理するエンドユーザ携帯電話機18からのキー入力を使用して行う。
この場合、第5図に示すように、第2サーバ12がワンタイムパスワードを発行し、エンドユーザ端末15に送出した状態(S21)で、第2サーバ12からエンドユーザ携帯電話機18に電話を発信し(S31)、電話に応答したエンドユーザは、エンドユーザ端末のワンタイムパスワード表示画面に表示されワンタイムパスワードをテンキーから入力する(S32)。するとワンタイムパスワードは、エンドユーザ携帯電話機18から第2サーバ12にDTMF信号で送信される(S33)これにより、第2サーバ12はワンタイムパスワードの認証を行うことができる。他の処理は第1実施形態と同じである。
本実施形態によれば、第2サーバ12は、エンドユーザ端末15と異なるエンドユーザ携帯電話機18を使用してワンタイムパスワードを受信するので、ワンタイムパスワードの安全性が向上する。
<第4実施形態>
次に本発明の第4実施形態に係るワンタイムパスワードシステムの処理について説明する。図6は本発明の第4実施形態に係るワンタイムパスワードシステムの処理の流れの特徴部分を示すシーケンス図である。本実施形態においては、ワンタイムパスワードは、第2サーバ12からエンドユーザ携帯電話機18に合成音声でワンタイムパスワードが送信される。
この場合、図6に示すように、第2サーバ12がワンタイムパスワードを発行した状態(S34)で、第2サーバ12は、ワンタイムパスワードの合成音声データを作成する(S35)。そして、第2サーバ12は、エンドユーザ携帯電話機18に発信し、合成音声を発信する(S36、S37)。エンドユーザは、エンドユーザ携帯電話機18に着呼した第2サーバ12からの電話を受け、ワンタイムパスワードの合成音声を受信する(S38)第2サーバ12からエンドユーザ携帯電話機18に合成音声で通知することができる。この場合、そして、エンドユーザはエンドユーザ携帯電話機18で聞き取ったワンタイムパスワードをエンドユーザ端末15から第2ウェブサイトW2のワンタイムパスワード入力画面に入力する(S39)。これにより、第2サーバ12は、ワンタイムパスワードの認証を行う。他の処理は第1実施形態と同じである。
本実施形態によれば、第2サーバ12は、エンドユーザ端末15と異なるエンドユーザ携帯電話機18を使用してワンタイムパスワードを音声で送信するので、ワンタイムパスワードの安全性が向上する。
本発明はワンタイムパスワードシステムに係ることから、広く産業上の利用可能性を有している。
10 ワンタイムパスワードシステム
11 第1サーバ
12 第2サーバ
13 データベース
14 顧客端末
15 エンドユーザ端末
16 通信網
17 リスク度判定手段
C 顧客
W1 第1ウェブサイト
W2 第2ウェブサイト

Claims (3)

  1. ワンタイムパスワードの発行及び認証を行うワンタイムパスワードシステムであって、
    管理者が管理しウェブを介してアプリケーションが利用可能な第1サーバと、
    管理者が管理しウェブを介して前記ワンタイムパスワードの発行及び認証を行う第2サーバと、
    管理者が管理し前記第2サーバにより発行された前記ワンタイムパスワードを格納するデータベースと、
    顧客が管理する顧客端末と、
    顧客のユーザであるエンドユーザが管理するエンドユーザ端末及びエンドユーザ携帯電話機と、
    前記第1サーバ、前記第2サーバ、前記データベース、前記顧客端末、前記エンドユーザ端末、及び前記エンドユーザ携帯電話機を接続する通信網とを備え、
    前記顧客端末は、前記エンドユーザ端末から前記顧客端末に対して行うサービス依頼手続においてワンタイムパスワード認証処理手続を開始するときに、前記第1サーバにワンタイムパスワード認証依頼リクエストを送信し、
    前記第1サーバは、前記ワンタイムパスワード認証依頼リクエストを受信した場合、認証対象となるエンドユーザの電子メールアドレスおよび携帯電話番号を含むエンドユーザ情報を入力するためのウェブサイトのURLを生成し、前記顧客端末に前記ウェブサイトのURLを返答し、前記ウェブサイトのURLに前記顧客端末が前記エンドユーザ端末をリダイレクトさせ、
    前記エンドユーザ端末は、リダイレクトされた前記URLの前記ウェブサイトを利用して前記エンドユーザ情報を入力し、前記エンドユーザ情報を前記第2サーバに送信し、
    前記第2サーバは、前記エンドユーザ情報を受信した場合、前記ワンタイムパスワードを発行し、前記ワンタイムパスワードを前記データベースに格納するとともに、前記エンドユーザ情報に基づいて前記ワンタイムパスワードを前記エンドユーザ端末に電子メールまたはSMSにより送信すると共に、前記エンドユーザ携帯電話機に発信し
    前記エンドユーザ端末は表示画面に前記ワンタイムパスワードを表示し、
    前記第2サーバと通話状態にある前記エンドユーザ携帯電話機に前記エンドユーザから前記表示画面に表示された前記ワンタイムパスワードがキー入力された場合、前記エンドユーザ携帯電話機は前記第2サーバに前記ワンタイムパスワードを送信し、
    前記第2サーバは、前記エンドユーザ携帯電話機から前記ワンタイムパスワードを受信した場合、前記データベースを参照して前記ワンタイムパスワードの認証を行い、認証結果を前記顧客端末に送信し、
    前記顧客端末は、前記認証結果に基づいて前記エンドユーザ端末を認証することを特徴とするワンタイムパスワードシステム。
  2. 入力された前記エンドユーザ情報を解析して、前記エンドユーザのリスク度を判定するリスク度判定手段を備えることを特徴とする請求項1に記載のワンタイムパスワードシステム。
  3. 前記顧客端末から前記第2サーバによる前記ワンタイムパスワードの認証回数に関する繰り返し条件を設定可能であることを特徴とする請求項1から請求項3のいずれか一項に記載のワンタイムパスワードシステム。
JP2021102725A 2021-06-21 2021-06-21 ワンタイムパスワードシステム Active JP7216441B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021102725A JP7216441B2 (ja) 2021-06-21 2021-06-21 ワンタイムパスワードシステム
EP21213312.8A EP4109815A1 (en) 2021-06-21 2021-12-09 One-time password system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021102725A JP7216441B2 (ja) 2021-06-21 2021-06-21 ワンタイムパスワードシステム

Publications (2)

Publication Number Publication Date
JP2023001790A JP2023001790A (ja) 2023-01-06
JP7216441B2 true JP7216441B2 (ja) 2023-02-01

Family

ID=78829558

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021102725A Active JP7216441B2 (ja) 2021-06-21 2021-06-21 ワンタイムパスワードシステム

Country Status (2)

Country Link
EP (1) EP4109815A1 (ja)
JP (1) JP7216441B2 (ja)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002298054A (ja) 2001-03-29 2002-10-11 J-Phone East Co Ltd 利用者認証方法、決済方法、利用者認証用情報処理方法、決済用情報処理方法、利用者認証用情報処理システム、決済用情報処理システム、及びプログラム
JP2004192193A (ja) 2002-12-10 2004-07-08 Nippon Telegr & Teleph Corp <Ntt> ブラウザフォンのメールによるユーザ認証方法、ユーザ認証サーバ、認証サーバのユーザ認証方法、及び認証サーバのユーザ認証プログラム並びにそのプログラムを記録した記録媒体
JP2005209083A (ja) 2004-01-26 2005-08-04 Japan Telecom Co Ltd サービスシステム、及びそれを用いた通信システム、通信方法
JP2006033780A (ja) 2004-07-16 2006-02-02 Third Networks Kk コールバックによる本人確認を利用したネットワーク認証システム
JP2016126670A (ja) 2015-01-07 2016-07-11 Kddi株式会社 携帯端末を用いたリスクベース認証方法及びシステム
JP2018201070A (ja) 2017-05-25 2018-12-20 株式会社日立情報通信エンジニアリング コミュニケーションシステム及びその認証方法
JP2019067432A (ja) 2014-02-28 2019-04-25 株式会社エヌ・ティ・ティ・データ 認証支援装置、認証支援方法、およびプログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004070463A (ja) 2002-08-02 2004-03-04 Sony Corp 情報処理システムおよび方法、情報処理装置および方法、記録媒体、並びにプログラム
JP2007264835A (ja) 2006-03-27 2007-10-11 Nec Corp 認証方法およびシステム
US8793490B1 (en) * 2006-07-14 2014-07-29 Jpmorgan Chase Bank, N.A. Systems and methods for multifactor authentication
US20130159195A1 (en) * 2011-12-16 2013-06-20 Rawllin International Inc. Authentication of devices

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002298054A (ja) 2001-03-29 2002-10-11 J-Phone East Co Ltd 利用者認証方法、決済方法、利用者認証用情報処理方法、決済用情報処理方法、利用者認証用情報処理システム、決済用情報処理システム、及びプログラム
JP2004192193A (ja) 2002-12-10 2004-07-08 Nippon Telegr & Teleph Corp <Ntt> ブラウザフォンのメールによるユーザ認証方法、ユーザ認証サーバ、認証サーバのユーザ認証方法、及び認証サーバのユーザ認証プログラム並びにそのプログラムを記録した記録媒体
JP2005209083A (ja) 2004-01-26 2005-08-04 Japan Telecom Co Ltd サービスシステム、及びそれを用いた通信システム、通信方法
JP2006033780A (ja) 2004-07-16 2006-02-02 Third Networks Kk コールバックによる本人確認を利用したネットワーク認証システム
JP2019067432A (ja) 2014-02-28 2019-04-25 株式会社エヌ・ティ・ティ・データ 認証支援装置、認証支援方法、およびプログラム
JP2016126670A (ja) 2015-01-07 2016-07-11 Kddi株式会社 携帯端末を用いたリスクベース認証方法及びシステム
JP2018201070A (ja) 2017-05-25 2018-12-20 株式会社日立情報通信エンジニアリング コミュニケーションシステム及びその認証方法

Also Published As

Publication number Publication date
EP4109815A1 (en) 2022-12-28
JP2023001790A (ja) 2023-01-06

Similar Documents

Publication Publication Date Title
US10574646B2 (en) Managing authorized execution of code
KR100412510B1 (ko) 이종 통신망을 이용한 인스턴트 로그인 사용자 인증 및결제 방법과 그 시스템
US9992206B2 (en) Enhanced security for electronic communications
US8474028B2 (en) Multi-party, secure multi-channel authentication
US8671444B2 (en) Single-party, secure multi-channel authentication for access to a resource
US20080086764A1 (en) Single-Party, Secured Multi-Channel Authentication
US8082213B2 (en) Method and system for personalized online security
AU2007303059B2 (en) Secure multi-channel authentication
KR20100038990A (ko) 네트워크 인증 시스템의 보안 인증 방법 및 그 장치
JP4913624B2 (ja) 認証システムおよび認証方法
RU2625949C2 (ru) Способ и система, использующие кибер-идентификатор для обеспечения защищенных транзакций
KR100960114B1 (ko) 통합 인증 서비스 방법 및 시스템
US20230291749A1 (en) Systems and methods for verified messaging via short-range transceiver
KR20220038704A (ko) 통화 인증을 위한 기술
JP7216441B2 (ja) ワンタイムパスワードシステム
WO2006018892A1 (ja) 個人情報が漏えいしても成りすましを防げる電話認証システム
TWI822568B (zh) 免帳戶名稱及密碼登入線上系統的方法及認證伺服系統
WO2013140193A1 (en) Method and system for establishing secure online video connection
KR20020041354A (ko) 회원전화번호인증식 인터넷 사이트 로그인 서비스 방법 및시스템
KR101537410B1 (ko) 오프라인 청약을 위한 회선 아이디 접속 시스템 및 그 방법
KR20070077481A (ko) 고객 인증 중계처리 서버
MASSOTH et al. perForMAnce oF An nFc-bASed Mobile AuthenticAtion And pAyMent Service concept coMpAred with trAditionAl SolutionS
KR20070077482A (ko) 고객 인증정보 중계 서버

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210623

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20220328

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20220418

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220712

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20220907

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221223

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230113

R150 Certificate of patent or registration of utility model

Ref document number: 7216441

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150