知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5732439
(24)【登録日】2015年4月17日
(45)【発行日】2015年6月10日
(54)【発明の名称】認証情報入力装置、サーバ装置、認証システム及びプログラム
(51)【国際特許分類】
G06F 21/36 20130101AFI20150521BHJP
【FI】
G06F21/36
【請求項の数】9
【全頁数】24
(21)【出願番号】特願2012-173233(P2012-173233)
(22)【出願日】2012年8月3日
(65)【公開番号】特開2014-32556(P2014-32556A)
(43)【公開日】2014年2月20日
【審査請求日】2014年6月2日
(73)【特許権者】
【識別番号】311012169
【氏名又は名称】NECパーソナルコンピュータ株式会社
(74)【代理人】
【識別番号】100084250
【弁理士】
【氏名又は名称】丸山 隆夫
(72)【発明者】
【氏名】白川 貴久
【審査官】
戸島 弘詩
(56)【参考文献】
【文献】
特開2011−128726(JP,A)
【文献】
特開2002−197062(JP,A)
【文献】
特開2006−163825(JP,A)
【文献】
特許第4916583(JP,B2)
【文献】
国際公開第2010/092922(WO,A1)
【文献】
特開2002−189967(JP,A)
【文献】
特開2004−157675(JP,A)
【文献】
特表2005−507518(JP,A)
【文献】
米国特許出願公開第2011/0202982(US,A1)
【文献】
特開2006−287843(JP,A)
【文献】
特開2008−217716(JP,A)
【文献】
小林 司,画像認識の困難性を利用したCAPTCHA方式の提案 Proposal of CAPTCHA Method based on the Difficulty of Image Recognition,映像情報メディア学会技術報告,日本,(社)映像情報メディア学会,2010年 9月14日, Vol.34,No.37,第37−42頁
(58)【調査した分野】(Int.Cl.,DB名)
G06F21/36,3/02
H04L9/00−9/38
(57)【特許請求の範囲】
【請求項1】
ユーザ自身の記憶に基づき認証に必要な複数の認証画像データを順に選択することで認証情報を入力する認証情報入力装置であって、
ユーザ自身の記憶に基づき当該ユーザが同一のグループとして予め指定した少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上記憶する記憶手段から選択された前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データを少なくとも含んで構成する表示パターンを表示する表示手段と、
前記表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として入力する入力手段と、を有し、
前記入力手段により入力された前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証が許可される、ことを特徴とする認証情報入力装置。
ユーザ自身の記憶に基づき当該ユーザが同一のグループとして予め指定した少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上記憶する記憶手段から選択された前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データを少なくとも含んで構成する表示パターンを表示する表示手段と、
前記表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として入力する入力手段と、を有し、
前記入力手段により入力された前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証が許可される、ことを特徴とする認証情報入力装置。
【請求項2】
前記ユーザが識別可能な画像データにランダムな画像IDを割り当てて画像記憶手段に登録する画像データ登録手段と、
前記画像記憶手段に登録された前記画像データを基に、前記ユーザが同一のグループとして選択した少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上生成して前記記憶手段に登録する認証画像グループ登録手段と、
を有する、ことを特徴とする請求項1記載の認証情報入力装置。
前記画像記憶手段に登録された前記画像データを基に、前記ユーザが同一のグループとして選択した少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上生成して前記記憶手段に登録する認証画像グループ登録手段と、
を有する、ことを特徴とする請求項1記載の認証情報入力装置。
【請求項3】
前記認証画像グループを記憶する第1の記憶手段と、
前記表示パターンを構成する際に使用する画像データを記憶する第2の記憶手段と、を有し、
前記表示手段は、
前記第1の記憶手段から選択された、前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データと、
前記第1の記憶手段に記憶されている前記一対の前記認証画像データの属す前記認証画像グループ以外の前記認証画像グループと、前記第2の記憶手段と、の少なくとも一方から選択された、前記認証画像データ以外で前記表示パターンを構成するために必要な数の画像データと、で構成する前記表示パターンを表示し、
前記認証画像グループから選択される前記画像データは、1つの前記認証画像グループから1つのみである、ことを特徴とする請求項1または請求項2記載の認証情報入力装置。
前記表示パターンを構成する際に使用する画像データを記憶する第2の記憶手段と、を有し、
前記表示手段は、
前記第1の記憶手段から選択された、前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データと、
前記第1の記憶手段に記憶されている前記一対の前記認証画像データの属す前記認証画像グループ以外の前記認証画像グループと、前記第2の記憶手段と、の少なくとも一方から選択された、前記認証画像データ以外で前記表示パターンを構成するために必要な数の画像データと、で構成する前記表示パターンを表示し、
前記認証画像グループから選択される前記画像データは、1つの前記認証画像グループから1つのみである、ことを特徴とする請求項1または請求項2記載の認証情報入力装置。
【請求項4】
前記入力手段により入力された前記認証情報と、前記第1の記憶手段に記憶されている情報と、を照合し、前記入力手段により入力された前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証を許可する認証手段を有することを特徴とする請求項3記載の認証情報入力装置。
【請求項5】
前記入力手段により入力された前記認証情報を前記認証情報入力装置と接続されたサーバ装置に送信する送信手段を有し、
前記入力手段により入力された前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である前記認証情報を前記送信手段により前記サーバ装置に送信した場合に、前記サーバ装置側で前記ユーザの認証が許可される、ことを特徴とする請求項1または請求項2記載の認証情報入力装置。
前記入力手段により入力された前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である前記認証情報を前記送信手段により前記サーバ装置に送信した場合に、前記サーバ装置側で前記ユーザの認証が許可される、ことを特徴とする請求項1または請求項2記載の認証情報入力装置。
【請求項6】
認証情報入力装置と接続されたサーバ装置であって、
ユーザ自身の記憶に基づき当該ユーザが同一のグループとして予め指定した少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上記憶する記憶手段から選択された前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データを少なくとも含んで構成する表示パターンを前記認証情報入力装置に送信する送信手段と、
前記認証情報入力装置側の表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として前記認証情報入力装置側の入力手段に入力された前記認証情報を受信する受信手段と、
前記受信手段により受信した前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証を許可する認証手段と、
を有することを特徴とするサーバ装置。
ユーザ自身の記憶に基づき当該ユーザが同一のグループとして予め指定した少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上記憶する記憶手段から選択された前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データを少なくとも含んで構成する表示パターンを前記認証情報入力装置に送信する送信手段と、
前記認証情報入力装置側の表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として前記認証情報入力装置側の入力手段に入力された前記認証情報を受信する受信手段と、
前記受信手段により受信した前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証を許可する認証手段と、
を有することを特徴とするサーバ装置。
【請求項7】
認証情報入力装置と、サーバ装置と、を有して構成する認証システムであって、
前記サーバ装置は、
ユーザ自身の記憶に基づき当該ユーザが同一のグループとして予め指定した少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上記憶する記憶手段から選択された前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データを少なくとも含んで構成する表示パターンを前記認証情報入力装置に送信する送信手段と、
前記認証情報入力装置側の表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として前記認証情報入力装置側の入力手段に入力された前記認証情報を受信する受信手段と、
前記受信手段により受信した前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証を許可する認証手段と、を有し、
前記認証情報入力装置は、
前記サーバ装置から受信した前記表示パターンを表示する前記表示手段と、
前記表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として入力する入力手段と、
前記入力手段に入力された前記認証情報を前記サーバ装置に送信する送信手段と、
を有することを特徴とする認証システム。
前記サーバ装置は、
ユーザ自身の記憶に基づき当該ユーザが同一のグループとして予め指定した少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上記憶する記憶手段から選択された前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データを少なくとも含んで構成する表示パターンを前記認証情報入力装置に送信する送信手段と、
前記認証情報入力装置側の表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として前記認証情報入力装置側の入力手段に入力された前記認証情報を受信する受信手段と、
前記受信手段により受信した前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証を許可する認証手段と、を有し、
前記認証情報入力装置は、
前記サーバ装置から受信した前記表示パターンを表示する前記表示手段と、
前記表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として入力する入力手段と、
前記入力手段に入力された前記認証情報を前記サーバ装置に送信する送信手段と、
を有することを特徴とする認証システム。
【請求項8】
ユーザ自身の記憶に基づき当該ユーザが同一のグループとして予め指定した少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上記憶する記憶手段から選択された前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データを少なくとも含んで構成する表示パターンを表示手段に表示する表示処理と、
前記表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として入力手段に入力する入力処理と、を、コンピュータに実行させ、
前記入力処理により入力された前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証が許可される、ことを特徴とするプログラム。
前記表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として入力手段に入力する入力処理と、を、コンピュータに実行させ、
前記入力処理により入力された前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証が許可される、ことを特徴とするプログラム。
【請求項9】
認証情報入力装置と接続されたサーバ装置のコンピュータに実行させるプログラムであって、
ユーザ自身の記憶に基づき当該ユーザが同一のグループとして予め指定した少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上記憶する記憶手段から選択された前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データを少なくとも含んで構成する表示パターンを前記認証情報入力装置に送信する送信処理と、
前記認証情報入力装置側の表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として前記認証情報入力装置側の入力手段に入力された前記認証情報を受信する受信処理と、
前記受信処理により受信した前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証を許可する認証処理と、を、コンピュータに実行させることを特徴とするプログラム。
ユーザ自身の記憶に基づき当該ユーザが同一のグループとして予め指定した少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上記憶する記憶手段から選択された前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データを少なくとも含んで構成する表示パターンを前記認証情報入力装置に送信する送信処理と、
前記認証情報入力装置側の表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として前記認証情報入力装置側の入力手段に入力された前記認証情報を受信する受信処理と、
前記受信処理により受信した前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証を許可する認証処理と、を、コンピュータに実行させることを特徴とするプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザ自身の記憶に基づきユーザが識別可能な画像データを用いて認証を行う技術に関する。
【背景技術】
【0002】
正規のユーザか否かを認証する技術として、ユーザ側がタッチパネル等の画面を操作して暗証番号等の認証情報を入力し、該入力した認証情報と、システム側に予め設定した認証情報と、を照合することで、正規のユーザか否かを認証する技術がある。しかし、この場合、ユーザ側がタッチパネル等を操作して認証情報を入力する際に、その認証情報を第三者に盗み見されてしまうおそれがある。
【0003】
認証情報を第三者に盗み見されるのを防止する方法としては、例えば、認証情報を入力するタッチパネル等の画面の視野角を狭くしたり、入力した認証情報を『*』印等で画面に表示して入力桁数だけを示すようにしたりする方法がある。
【0004】
また、特許文献1(特許第2985888号公報)には、金融自動機(ATM)などの端末から利用者がテンキーを使って暗証番号を入力する暗証番号入力装置の技術について開示されている。上記特許文献1では、入力テンキー画面と偽の入力テンキー画面とをディスプレイに表示し、ダミー番号か暗証番号かのどちらを入力して欲しいかをユーザに指示する情報を偽の入力テンキー画面に提示し、暗証番号にダミー番号を嵌め込ませるようにすることで、暗証番号の入力時に暗証番号を第三者に盗み見されるのを防止している。
【0005】
また、特許文献2(特開2005-71202号公報)には、システム側電子機器に組込んだ記録媒体によるシステム認証情報と、ユーザの個人入力操作による個人認証情報と、を使用して、ユーザ個人とアクセス対象のシステム側電子機器とを相互に認証する技術について開示されている。上記特許文献2では、個人認証情報を示す個人認証用データと、システム認証情報を示すサーバ認証用データと、の2組の認証用データを登録設定し、サーバ認証用データによるサーバ側認証と、個人認証用データによるユーザ側認証と、を交互に実施することにしている。また、個人認証用データとサーバ認証用データとに画像データを活用している。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特許第2985888号公報
【特許文献2】特開2005−71202号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかし、上記特許文献1などに開示されている技術は、金融自動機(ATM)など、第三者がある程度離れた距離の場所にいることを想定したものであり、至近距離から第三者に見られた場合の対策についてまで考慮されたものではない。このため、例えば、暗証番号を入力しているユーザの肩越しや隠しカメラなどにより、暗証番号を入力しているユーザの手の動きだけでなく、暗証番号を入力した画面そのものまで見られてしまう場合には、どの入力がダミー番号であるかが識別されてしまい、暗証番号が第三者にわかってしまうおそれがある。
【0008】
なお、上記特許文献2では、サーバ認証用データによるサーバ側認証と、個人認証用データによるユーザ側認証と、を交互に実施しているため、全ての認証情報が第三者に瞬時にわかってしまうのをある程度は防止することができる。しかし、注視された場合に認証情報を防止することができるわけではない。しかも、システム側電子機器との認証操作を複数回行う必要があり、認証操作に手間がかかると共に、認証完了までに時間がかかってしまう。
【0009】
本発明は、上記事情に鑑みてなされたものであり、認証情報の入力時にユーザの手元や認証情報が入力された画面を第三者に見られてしまった場合でも、認証情報の類推を困難にすることが可能な認証情報入力装置、サーバ装置、認証システム及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
かかる目的を達成するために、本発明は、以下の特徴を有する。
【0011】
<認証情報入力装置>本発明にかかる認証情報入力装置は、
ユーザ自身の記憶に基づき認証に必要な複数の認証画像データを順に選択することで認証情報を入力する認証情報入力装置であって、
ユーザ自身の記憶に基づき当該ユーザが識別可能な少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上記憶する記憶手段から選択された前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データを少なくとも含んで構成する表示パターンを表示する表示手段と、
前記表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として入力する入力手段と、を有し、
前記入力手段により入力された前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証が許可される、ことを特徴とする。
【0012】
<サーバ装置>本発明にかかるサーバ装置は、
認証情報入力装置と接続されたサーバ装置であって、
ユーザ自身の記憶に基づき当該ユーザが識別可能な少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上記憶する記憶手段から選択された前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データを少なくとも含んで構成する表示パターンを前記認証情報入力装置に送信する送信手段と、
前記認証情報入力装置側の表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として前記認証情報入力装置側の入力手段に入力された前記認証情報を受信する受信手段と、
前記受信手段により受信した前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証を許可する認証手段と、
を有することを特徴とする。
【0013】
<認証システム>本発明にかかる認証システムは、
認証情報入力装置と、サーバ装置と、を有して構成する認証システムであって、
前記サーバ装置は、
ユーザ自身の記憶に基づき当該ユーザが識別可能な少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上記憶する記憶手段から選択された前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データを少なくとも含んで構成する表示パターンを前記認証情報入力装置に送信する送信手段と、
前記認証情報入力装置側の表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として前記認証情報入力装置側の入力手段に入力された前記認証情報を受信する受信手段と、
前記受信手段により受信した前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証を許可する認証手段と、
前記認証情報入力装置は、
前記サーバ装置から受信した前記表示パターンを表示する前記表示手段と、
前記表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として入力する入力手段と、
前記入力手段に入力された前記認証情報を前記サーバ装置に送信する送信手段と、
を有することを特徴とする。
【0014】
<プログラム>本発明にかかるプログラムは、
ユーザ自身の記憶に基づき当該ユーザが識別可能な少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上記憶する記憶手段から選択された前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データを少なくとも含んで構成する表示パターンを表示手段に表示する表示処理と、
前記表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として入力手段に入力する入力処理と、を、コンピュータに実行させ、
前記入力処理により入力された前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証が許可される、ことを特徴とする。
【0015】
本発明にかかるプログラムは、認証情報入力装置と接続されたサーバ装置のコンピュータに実行させるプログラムであって、
ユーザ自身の記憶に基づき当該ユーザが識別可能な少なくとも2つ以上の認証画像データを含んで構成する認証画像グループを前記ユーザの認証を許可する際に必要な組数以上記憶する記憶手段から選択された前記ユーザの認証を許可する際に必要な組数の各々の前記認証画像グループに属す一対の前記認証画像データを少なくとも含んで構成する表示パターンを前記認証情報入力装置に送信する送信処理と、
前記認証情報入力装置側の表示手段に表示された前記表示パターンを構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、前記ユーザの認証を許可する際に使用する認証情報として前記認証情報入力装置側の入力手段に入力された前記認証情報を受信する受信処理と、
前記受信処理により受信した前記認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた前記一対の画像データの組数が前記ユーザの認証を許可する際に必要な組数である場合に、前記ユーザの認証を許可する認証処理と、を、コンピュータに実行させることを特徴とする。
【発明の効果】
【0016】
本発明によれば、認証情報の入力時にユーザの手元や認証情報が入力された画面を第三者に見られてしまった場合でも、認証情報の類推を困難にすることができる。
【図面の簡単な説明】
【0017】
【図1】本実施形態の認証情報入力装置100の構成例を示す図である。
【図2】表示パターン10の構成例を示す図である。
【図3】表示パターン10の登録処理動作例を示す図である。
【図4】第1の実施形態のユーザ認証時の処理動作例を示す図である。
【図5】ユーザ認証時の具体例を説明するための第1の図である。
【図6】ユーザ認証時の具体例を説明するための第2の図である。
【図7】第2の実施形態のユーザ認証時の処理動作例を示す図である。
【図8】認証システムのシステム構成例を示す図である。
【図9】第3の実施形態のユーザ認証時の処理動作例を示す第1の図である。
【図10】第3の実施形態のユーザ認証時の処理動作例を示す第1の図である。
【発明を実施するための形態】
【0019】
本発明にかかる認証情報入力装置100は、ユーザ自身の記憶に基づき認証に必要な複数の認証画像データを順に選択することで認証情報を入力する認証情報入力装置100である。
【0020】
本発明にかかる認証情報入力装置100は、ユーザ自身の記憶に基づき当該ユーザが識別可能な少なくとも2つ以上の認証画像データを含んで構成する認証画像グループをそのユーザの認証を許可する際に必要な組数以上記憶する記憶部130から選択されたユーザの認証を許可する際に必要な組数の各々の認証画像グループに属す一対の認証画像データを少なくとも含んで構成する表示パターン10を表示する表示部(表示入力部110に相当)と、表示部110に表示された表示パターン10を構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、ユーザの認証を許可する際に使用する認証情報として入力する入力部(表示入力部110に相当)と、を有し、入力部110により入力された認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた一対の画像データの組数がユーザの認証を許可する際に必要な組数である場合に、ユーザの認証が許可される、ことを特徴とする。
【0021】
ユーザの認証は、入力部110により入力された認証情報を構成する一対の画像データが同一の認証画像グループに属すか否かと、同一の認証画像グループに属すとされた一対の画像データの組数がユーザの認証を許可する際に必要な組数か否かと、の判定から決定され、入力部110により入力された認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた一対の画像データの組数がユーザの認証を許可する際に必要な組数である場合に、ユーザの認証が許可される。なお、本発明において一対の画像データとは、通常、2つのペアの画像データを意味するが、それ以上でも固定数であればよい。
【0022】
本発明にかかる認証情報入力装置100は、表示部110に表示された表示パターン10を構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、ユーザの認証を許可する際に使用する認証情報として入力部110に入力し、その入力部110に入力された認証情報に基づいて、その認証情報を構成する一対の画像データが同一の認証画像グループに属すか否かと、同一の認証画像グループに属すとされた一対の画像データの組数がユーザの認証を許可する際に必要な組数か否かと、から、ユーザの認証が許可されるため、効率的に認証を行うことができる。また、ユーザは、ユーザ自身が記憶している認証画像グループを順に想起し、その認証画像グループに属す一対の画像データをユーザ操作により選択していくだけでよいため、ユーザにとっても簡単な操作で認証を行うことができる。
【0023】
また、本発明にかかる認証情報入力装置100は、ユーザの認証が許可された場合は、次回のユーザ認証時は、表示部110に表示された表示パターン10とは異なる一対の認証画像データを含む表示パターン10を表示するため、認証情報の入力時にユーザの手元や認証情報が入力された画面を第三者に見られてしまった場合でも、前回と同じ入力をすることができず、また、認証情報の類推を困難にさせることができる。
【0024】
本発明にかかる認証情報入力装置100がタッチパネル式の携帯端末である場合は、電車の中や人ごみの中などで認証情報を入力することも考えられる。この場合、ユーザが認証情報を入力している際に、ユーザの手元や、認証情報を入力した画面などを至近距離から第三者に見られてしまう可能性がある。また、初心者や高齢者などは、認証情報の入力操作が非常にゆっくりであることが考えられる。この場合、ユーザの手元の動きや認証情報が入力された画面を容易に第三者に見られて記憶されてしまう可能性がある。
【0025】
しかし、本発明にかかる認証情報入力装置100は、ユーザの認証が許可された場合は、次回のユーザ認証時は、表示部110に表示された表示パターン10とは異なる一対の認証画像データを含む表示パターン10を表示するため、ユーザの手元や認証情報が入力された画面を第三者に見られてしまった場合でも、前回と同じ入力をすることができず、また、認証情報の類推を困難にさせることができる。但し、ユーザは、ユーザ自身の記憶に基づき認証画像グループに属する一対の認証画像データを識別することができるため、ユーザ自身の記憶に基づき認証に必要な認証画像グループに属す一対の画像データを選択することで認証情報を入力することができる。以下、添付図面を参照しながら、本発明にかかる認証情報入力装置100の実施形態について詳細に説明する。
【0027】
本実施形態の認証情報入力装置100は、表示入力部110と、制御部120と、記憶部130と、を有して構成する。
【0028】
表示入力部110は、タッチパネル等で構成し、情報の表示や入力を行う。本実施形態の表示入力部110は、複数の画像データで構成する図2に示す表示パターン10を表示する。そして、その表示した表示パターン10を構成する画像データに対してユーザ操作が行われた場合に、そのユーザ操作が行われた画像データの位置を検出し、その検出した位置情報に基づいて、表示パターン10を構成する画像データの中からどの画像データがユーザ操作によって選択されたかを判別する。
【0029】
図2に示す表示パターン10は、ユーザの認証を許可する際に必要な組数(3組)の各々の認証画像グループに関連付けられた一対(2個)の画像データ(認証画像データ)(6個)と、それ以外の画像データ(ダミー画像データ)(10個)と、の合計16個の画像データで構成している。6個の認証画像データは、同一の認証画像グループに属している一対の画像データの組を3組有して構成している。10個のダミー画像データは、ダミー画像グループに属している画像データや、上記の認証画像データの属する認証画像グループ以外の認証画像グループに属している画像データで構成している。但し、認証画像データの属する認証画像グループ以外の認証画像グループに属している画像データで構成するダミー画像データの場合は、同一の認証画像グループに属している一対の画像データを構成しないように、1組の認証画像グループから1個の画像データを選択する必要がある。これにより、認証画像データに用いられたことがある画像データを第三者が何度か盗み見て記憶していたとしても、その盗み見て記憶した画像データがダミー画像データになることがあるため、セキュリティを向上させることができる。
【0030】
ユーザは、ユーザ自身の記憶に基づいて、図2に示す表示パターン10を構成する16個の画像データの中から同一の認証画像グループに属している一対の画像データ(認証画像データ)を順に3組選択し、合計6個の画像データ(認証画像データ)を認証情報として表示入力部110に入力する。例えば、表示パターン10を構成する16個の画像データの中から順に選択した1番目と2番目との一対の画像データを1つ目の組とし、3番目と4番目との一対の画像データを2つ目の組とし、5番目と6番目との一対の画像データを3つ目の組とするなどのようにペアの画像データを選択して入力する。なお、他の方法で組を指定することも可能である。
【0031】
本実施形態の認証情報入力装置100は、表示入力部110に入力した認証情報を基に、認証が成功した場合は、次回のユーザ認証時は、表示入力部110に表示した表示パターン10とは異なる表示パターン10を表示入力部110に表示する。また、認証が成功しなかった場合は、次回のユーザ認証時は、表示入力部110に表示した表示パターン10と同じ表示パターン10を表示入力部110に表示する。
【0032】
制御部120は、表示入力部110に表示する表示パターン10の表示制御を行う。また、表示入力部110からユーザ操作により入力された認証情報の認証制御を行う。本実施形態の制御部120は、パターン制御部121と、認証部122と、を有して構成する。
【0033】
パターン制御部121は、図2に示す表示パターン10を複数生成し、該生成した表示パターン10をパターンテーブル134に記憶する。また、パターンテーブル134に記憶した複数の表示パターン10の中から1つの表示パターン10を選択して表示入力部110に表示する。
【0034】
認証部122は、表示入力部110に表示された図2に示す表示パターン10を構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データで構成する認証情報を表示入力部110から受け付けた場合に、認証画像グループテーブル132に記憶されている認証画像グループを参照し、認証情報を構成する画像データの中で同一の認証画像グループに属さない単独の画像データがあるか否かを照合する。このようにすることで、認証情報を構成する画像データが組毎に順不同に入力されても照合することができる。例えば、表示入力部110から受け付けた認証情報に基づいて、その認証情報を構成する一対の画像データが同一の認証画像グループに属すか否かと、同一の認証画像グループに属すとされた一対の画像データの組数がユーザの認証を許可する際に必要な組数か否かと、を判定することで、表示入力部110から受け付けた認証情報を構成する画像データの中で同一の認証画像グループに属さない単独の画像データがあるか否かを照合することができる。
【0035】
記憶部130は、画像データを記憶する画像テーブル131と、少なくとも2つの画像データで構成する認証画像グループを記憶する認証画像グループテーブル132と、少なくとも1つの画像データで構成するダミー画像グループを記憶するダミー画像グループテーブル133と、表示パターン10を記憶するパターンテーブル134と、を有している。
【0036】
画像テーブル131は、表示パターン10を構成する画像データを記憶する。画像データは、画像IDと関連付けて記憶する。
【0037】
認証画像グループテーブル132は、認証情報を構成する画像データ(認証画像データ)を管理する認証画像グループを記憶する。認証画像グループテーブル132には、少なくとも、ユーザ認証を許可する際に必要な組数の認証画像グループを記憶すると共に、各グループに一対の画像データを記憶する。本実施形態では、ユーザ認証を許可する際に必要な組数は、3組であるため、少なくとも3組の認証画像グループを認証画像グループテーブル132に記憶する。また、各認証画像グループには、ユーザ自身の記憶に基づき当該ユーザが識別可能な少なくとも一対(2個)の認証画像データを記憶する。
【0038】
認証画像グループは、ユーザ自身の記憶に基づきユーザが識別可能な画像データで構成するグループであり、図2に示すように、グループIDと、画像IDと、を対応付けて管理する。グループIDは、認証画像グループを識別するための情報であり、画像IDは、画像データを識別するための情報である。
【0039】
認証画像グループとしては、例えば、自分個人に関連する画像データのグループを登録する。この場合、例えば、小学生の頃の写真データ、幼稚園の頃の写真データ、赤ちゃんの時の写真データを自分自身の写真データグループとする。
また、担任の先生の写真データ、親友の写真データを自分に関連する人物の写真データグループとする。
また、小学校の校舎の写真データ、初めて買って貰ったグローブの写真データ、初めて買ったレコードジャケットの写真データなどを自分に関連するモノの写真データグループとする。
また、小学校の時によく遊んだ公園の写真データ、修学旅行で行った旅行先の風景写真データ、引っ越す前に住んでいた自宅周辺の写真データなどを自分に関連する場所の写真データグループとする。
これにより、自分個人に関連する画像データで構成する4組の認証画像グループを認証画像グループテーブル132に登録することができる。この場合、認証画像グループテーブル132に登録した4組の認証画像グループの中から、任意の3組の認証画像グループを選択し、その選択した3組の各々の認証画像グループに属す一対(2個)の認証画像データを少なくとも含んで、上述した図2に示す表示パターン10が生成されることになる。
【0040】
ダミー画像グループテーブル133は、表示パターン10を構成するために必要な画像データ(ダミー画像データ)を管理するためのダミー画像グループを記憶する。
【0041】
ダミー画像グループは、ユーザの認証を許可する際にユーザによる選択をされてはならない画像データで構成するグループであり、グループIDと、画像IDと、を対応付けて管理する。この画像データは、認証画像グループと区別できないようにするために、自分以外の自分に無関係の人物の写真データや、自分に無関係のモノや場所の写真データを含めて構成することが好ましい。グループIDは、ダミー画像グループを識別するための情報である。
【0042】
パターンテーブル134は、表示入力部110に表示する表示パターン10を複数記憶する。表示パターン10は、所定以上の個数を生成してパターンテーブル134に登録して記憶しておくことになる。
【0043】
<表示パターン10の登録処理動作例>まず、図3を参照しながら、表示パターン10の登録処理動作例について説明する。なお、以下の処理動作を行う前に、ダミー画像グループがダミー画像グループテーブル133に登録されているものとする。
【0044】
ユーザは、ユーザ自身の記憶に基づき当該ユーザが識別可能な画像データを画像テーブル131に登録する(ステップS1)。この場合、パターン制御部121は、ランダムな画像IDを画像データに割り振り、画像データと画像IDとを対応付けて画像テーブル131に記憶することが好ましい。これは、画像データの登録順に連番の画像IDを割り振ると、画像IDの連続する画像データが同じ認証画像グループに属する確率が高くなってしまうためである。このため、ランダムな画像IDを画像データに割り振ることで、連続した画像IDの画像データが同一の認証画像グループに属す確率を低くすることができる。画像テーブル131には、少なくとも、認証情報を構成する画像データの総個数の画像データを登録する必要がある。本実施形態では、表示入力部110に入力される認証情報は、6個の画像データで構成するため、6個の画像データを登録する必要がある。
【0045】
次に、ユーザは、画像テーブル131に登録した画像データを基に認証画像グループを生成し、該生成した認証画像グループを認証画像グループテーブル132に登録する(ステップS2)。認証画像グループは、少なくとも、ユーザ認証を許可する際に必要な組数(3組)を登録する。また、各認証画像グループには、少なくとも一対(2個)の画像IDを登録する。本実施形態では、表示入力部110に入力される認証情報は、6個の画像データで構成するため、少なくとも3組の認証画像グループを認証画像グループテーブル132に登録する。また、各認証画像グループには、少なくとも一対(2個)の画像IDを登録する。認証画像グループは、グループIDと、画像IDと、を対応付けて管理する。
【0046】
次に、パターン制御部121は、ユーザ認証を許可する際に必要な組数(3組)の認証画像グループを、認証画像グループの中から選択する。そして、その選択した各認証画像グループに属している画像IDの中から一対(2個)の画像IDを各認証画像グループ毎にランダムに選択する。また、表示パターン10を構成するために必要な残りの画像IDをダミー画像グループテーブル133に記憶されているダミー画像グループの中から任意に選択する。なお、残りの画像IDは、上記処理で認証画像グループテーブル132から選択しなかった残りの認証画像グループに属している画像IDから選択することも可能である。但し、この場合は、1つの認証画像グループから1個の画像IDを選択する必要がある。次に、上記選択した画像IDの表示位置を任意に決定し、該決定した表示位置に画像IDに対応する画像データを設定し、表示パターン10を生成する。これにより、図2に示す表示パターン10を生成することができる。パターン制御部121は、上記生成した表示パターン10をパターンテーブル134に登録する(ステップS3)。パターン制御部121は、表示パターン10を所定以上の個数だけ生成し、パターンテーブル134に登録して記憶しておく。
【0047】
これにより、パターン制御部121は、複数の表示パターン10をパターンテーブル134に登録して記憶することができる。
【0049】
まず、パターン制御部121は、パターンテーブル134を参照し、パターンテーブル134の中から1つの表示パターン10を選択し(ステップS11)、該選択した表示パターン10を表示入力部110に表示する(ステップS12)。これにより、認証情報を構成する6個の画像データ(認証画像データ)と、認証情報を構成しない10個の画像データ(ダミー画像データ)と、で構成する表示パターン10を表示入力部110に表示することができる。
【0050】
認証部122は、表示入力部110に表示パターン10が表示された場合に、認証情報の入力受付を開始する(ステップS13)。また、認証部122は、表示入力部110から入力される認証情報を監視し、認証を開始するか否かを判定する(ステップS14)。
【0051】
ユーザは、ユーザ自身の記憶に基づき、表示入力部110に表示された表示パターン10を構成する画像データの中から少なくとも一対の画像データを選択する。ユーザ操作により選択された少なくとも一対の画像データは、ユーザの認証を許可する際に使用する認証情報として表示入力部110に入力される。
【0052】
認証部122は、ユーザ操作により表示入力部110から予め定められた個数(本実施形態では、6個)の画像データの入力を受け付けた場合に、認証を開始すると判定したり、認証情報入力装置100に別途設置された認証開始ボタン(図示せず)が押下された場合に、認証を開始すると判定したりする。なお、認証開始ボタンを利用することで、入力すべき画像データの個数を第三者が判別できなくなるため、セキュリティを向上することができる。また、本実施形態では、固定の個数の画像データを入力するものとして説明したが、認証開始ボタンを利用することで、表示パターン10によって入力すべき画像データの個数を異ならせることもできる。
【0053】
認証部122は、認証を開始する場合は(ステップS14/Yes)、表示入力部110から入力を受け付けた認証情報を構成する画像データに対応する画像IDを基に、認証画像グループテーブル132に記憶されている認証画像グループを参照し、認証情報を構成する画像データの中で同一の認証画像グループに属さない単独の画像データがあるか否かを照合する(ステップS15)。
【0054】
認証画像グループは、グループIDと、画像IDと、を対応付けて管理しているため、認証部122は、認証情報を構成する画像データの画像IDの属する認証画像グループを特定し、連続する画像データに対応する画像IDが同じ認証画像グループに属するか否かを判定する。本実施形態では、1番目と2番目との一対の画像データの画像IDが同じ認証画像グループに属すか否かを判定し、3番目と4番目との一対の画像データの画像IDが同じ認証画像グループに属すか否かを判定し、5番目と6番目との一対の画像データの画像IDが同じ認証画像グループに属すか否かを判定する。
【0055】
認証部122は、連続する画像データに対応する画像IDが同じ認証画像グループに属し、且つ、その同じ認証画像グループに属したと判断した組数がユーザ認証を許可する際に必要な組数である場合は、同一の認証画像グループに属さない単独の画像データがないため(ステップS16/No)、認証OKと判定し(ステップS17)、処理を終了する(End)。これにより、認証OKと判定した場合は、上述したステップS1から処理を開始するため、次回のユーザ認証時は、パターンテーブル134から新たな表示パターン10を選択し、該選択した新たな表示パターン10を表示入力部110に表示することになる。このため、認証OKの認証情報の入力操作時に第三者が認証情報を盗み見してしまった場合でも、次回のユーザ認証時には、新たな表示パターン10が表示されるため、認証情報の類推を困難にさせることができる。
【0056】
また、連続する画像データに対応する画像IDが同じ認証画像グループに属さない場合、または、同じ認証画像グループに属したと判断した組数がユーザ認証を許可する際に必要な組数でない場合は、同一の認証画像グループに属さない単独の画像データがあるため(ステップS17/Yes)、認証NGと判定する(ステップS18)。この場合は、再び、同じ表示パターン10を表示入力部110に表示する(ステップS12)。これにより、認証OKの認証情報の入力操作時に第三者が認証情報を盗み見してしまった場合でも、その偶然盗み見た時と同じ表示パターン10が表示されるまで認証NGを繰り返す攻撃を防止することができる。
【0058】
まず、ユーザは、図5(a)に示すように、複数の認証画像グループ(桃太郎グループ、子供グループ、職場仲間グループ、叔父叔母グループ)を認証画像グループテーブル132に登録する。桃太郎グループには、『猿、雉、犬』の画像IDを登録する。また、子供グループには、『長男、長女、次女』の画像IDを登録する。また、職場仲間グループには、『A氏、B氏』の画像IDを登録する。また、叔父叔母グループには、『Sさん、Tさん』の画像IDを登録する。
【0059】
次に、パターン制御部121は、ユーザ認証を許可する際に必要な組数(3組)の認証画像グループを認証画像グループテーブル132に記憶されている認証画像グループの中から選択する。そして、その選択した各認証画像グループに属している画像IDの中から一対(2個)の画像IDを各認証画像グループ毎にランダムに選択する。図5では、図5(a)に示す認証画像グループの中から桃太郎グループ、子供グループ、職場仲間グループの3組の認証画像グループを選択している。また、桃太郎グループからは、『猿、雉』の一対(2個)の画像IDを選択している。また、子供グループからは、『長男、長女』の一対(2個)の画像IDを選択している。また、職場仲間グループからは、『A氏、B氏』の一対(2個)の画像IDを選択している。
【0060】
また、表示パターン10を構成するために必要な残りの画像IDをダミー画像グループテーブル133に記憶されているダミー画像グループに属する画像IDや、上記処理で認証画像グループテーブル132から選択しなかった残りの認証画像グループに属している画像IDから選択する。但し、表示パターン10を構成するために必要な残りの画像IDを残りの認証画像グループに属している画像IDから選択する場合は、その残りの認証画像グループから1個の画像IDを選択する必要がある。図5では、図5(a)に示す祖父祖母グループに属している『Sさん』の1個の画像IDを選択している。
【0061】
次に、上記選択した画像IDの表示位置を任意に決定し、該決定した表示位置に画像IDに対応する画像データを設定し、表示パターン10を生成する。これにより、図5(b)に示す表示パターン10を生成することができる。パターン制御部121は、上記生成した表示パターン10をパターンテーブル134に登録して記憶する。
【0062】
次に、パターン制御部121は、パターンテーブル134から1つの表示パターン10を選択し、該選択した表示パターン10を表示入力部110に表示する。これにより、図6(a)に示す表示パターン10を表示入力部110に表示することができる。
【0063】
ユーザは、ユーザ自身の記憶に基づき、表示入力部110に表示された表示パターン10を構成する画像データの中から、『猿、雉』の画像データが『桃太郎グループ』に属していると判断することができる。また、『長男、長女』の画像データが『子供グループ』に属していると判断することができる。また、『A氏、B氏』の画像データが『職場仲間グループ』に属していると判断することができる。このため、ユーザは、図6(a)に示すように、ユーザ自身の記憶に基づき、『長男、長女、猿、雉、A氏、B氏』の画像データを選択し、認証情報として表示入力部110に入力することができる。
【0064】
認証部122は、表示入力部110から入力された認証情報(長男、長女、猿、雉、A氏、B氏)を構成する各画像データの画像IDを基に、認証画像グループを参照し、認証情報を構成する画像データの中で同一の認証画像グループに属さない単独の画像データがあるか否かを照合する。この場合、『長男、長女』が子供グループに属しており、『猿、雉』が桃太郎グループに属しており、『A氏、B氏』が職場仲間グループに属しているため、同一の認証画像グループに属さない単独の画像データがないため、認証OKと判定する。そして、次回のユーザ認証時は、パターンテーブル134から図6(b)に示す新たな表示パターン10を選択し、該選択した新たな表示パターン10を表示入力部110に表示する。このため、認証OKの認証情報の入力操作時に第三者が認証情報(長男、次女、猿、雉、Sさん、Tさん)を盗み見してしまった場合でも、次回のユーザ認証時には、図6(b)に示す新たな表示パターン10が表示されるため、認証情報の類推を困難にさせることができる。
【0065】
また、図6(b)に示す表示パターン10が表示入力部110に表示された状態で第三者が『長男、ダミー、猿、雉、A氏、ダミー』の画像データを選択したとする。但し、図6(b)に示す表示パターン10に対応する認証情報は、『長男、次女、猿、雉、Sさん、Tさん』が正解であり、表示入力部110から入力された認証情報を構成する画像データ(長男、ダミー、猿、雉、A氏、ダミー)の中で、同一の認証画像グループに属さない単独の画像データ(長男、ダミー、A氏、ダミー)があるため、認証NGと判定する。この場合、次回のユーザ認証時は、図6(b)と同じ表示パターン10を表示入力部110に表示するため、認証OKの認証情報の入力操作時に第三者が認証情報(長男、長女、猿、雉、A氏、B氏)を盗み見してしまった場合でも、その偶然盗み見した時と同じ図6(a)に示す表示パターン10が表示されるまで認証NGを繰り返す攻撃を防止することができる。
【0066】
<本実施形態の認証情報入力装置100の作用・効果>このように、本実施形態の認証情報入力装置100は、ユーザ認証を許可する際に必要な組数(3組)の各々の認証画像グループに関連付けられた一対(2個)の画像データ (認証画像データ)(6個)と、それ以外の画像データ(ダミー画像データ)(10個)と、で構成する表示パターン10を複数生成し、該生成した複数の表示パターン10をパターンテーブル134に登録して記憶する。次に、パターンテーブル134から1つの表示パターン10を選択し、該選択した表示パターン10を表示入力部110に表示する。これにより、ユーザの認証を許可する際に必要な組数(3組)の各々の認証画像グループに属す一対(2個)の認証画像データとそれ以外のダミー画像データとで構成する表示パターン10を表示入力部110に表示することができる。次に、表示入力部110に表示された表示パターン10を構成する画像データの中からユーザ操作により選択された少なくとも一対の画像データを、ユーザの認証を許可する際に使用する認証情報として表示入力部110に入力する。認証情報が表示入力部110から入力された場合に、その入力された認証情報を構成する各画像データの画像IDを基に、認証画像グループテーブル132に記憶されている認証画像グループを参照し、認証情報を構成する画像データの中で同一の認証画像グループに属さない単独の画像データがあるか否かを照合する。そして、単独の画像データがない場合は、認証OKと判定し、次回のユーザ認証時は、新たな表示パターン10を表示入力部110に表示する。また、単独の画像データがある場合は、認証NGと判定し、次回のユーザ認証時も同じ表示パターン10を表示入力部110に表示する。
【0067】
本実施形態の認証情報入力装置100は、認証OKの場合は、新たな表示パターン10を表示するため、認証情報の入力時にユーザの手元や認証情報が入力された画面が第三者に見られてしまった場合でも、認証情報の類推を困難にさせることができる。
【0068】
また、本実施形態の認証情報入力装置100は、認証情報を構成する認証画像データと、認証情報を構成しないダミー画像データと、で構成する表示パターン10を表示入力部110に表示し、その表示入力部110に表示された表示パターン10を構成する画像データの中からユーザ操作により順に選択された一対の画像データを、ユーザの認証を許可する際に使用する認証情報として表示入力部110に入力して、ユーザ認証を行うため、ユーザが簡易な操作で効率的に認証を行うことができる。
【0069】
なお、上記実施形態では、表示入力部110に入力される認証情報を構成する画像データの総個数を一定(6個)として説明したが、認証情報を構成する画像データの総個数を8個、6個、4個のように可変にすることも可能である。これにより、表示パターン10に対して何個の画像データを選択すればよいかを可変にすることができ、認証情報を盗み見た第三者に対して総当たりの組合せ数を増やすこととなり、セキュリティを向上することができる。なお、認証情報を構成する画像データの総個数を可変にした場合でも、ユーザ認証時に、表示入力部110により入力された認証情報を構成する一対の画像データが同一の認証画像グループに属すか否かと、同一の認証画像グループに属すとされた一対の画像データの組数がユーザの認証を許可する際に必要な組数か否かと、の判定を行い、表示入力部110により入力された認証情報を構成する一対の画像データが同一の認証画像グループに属し、且つ、同一の認証画像グループに属すとされた一対の画像データの組数がユーザの認証を許可する際に必要な組数である場合に、ユーザの認証を許可するようにすれば良い。
【0070】
(第2の実施形態)次に、第2の実施形態について説明する。
【0071】
第1の実施形態では、図2に示すように認証画像グループとダミー画像グループとを識別できる形で構成している。この場合、記憶部130内部のデータを解析されると、認証画像グループに属す画像データを特定されてしまうおそれがある。
【0072】
第2の実施形態は、認証画像グループテーブル132やダミー画像グループテーブル133に記憶されている画像データの画像IDを全てハッシュ関数(HMACのような一方向関数)でハッシュ化しておく。これにより、認証画像グループテーブル132やダミー画像グループテーブル133に記憶されているハッシュ化した画像IDを、もとの画像IDに復元することができないため、認証情報が判別されるのを防止することができる。
【0073】
本実施形態のように、ハッシュ化した画像IDを認証画像グループテーブル132に記憶して管理してユーザ認証を行う場合は、図7に示すように、表示入力部110から入力を受け付けた認証情報を構成する画像データに対応する画像IDをハッシュ関数(一方向性関数)でハッシュ化し、ハッシュ値を算出する(ステップS20)。そして、その算出したハッシュ値を基に、認証画像グループテーブル132に記憶されている認証画像グループを参照し、認証情報を構成する画像データの中で同一の認証画像グループに属さない単独の画像データがあるか否かを照合する(ステップS21)。
【0074】
認証画像グループは、グループIDと、画像IDをハッシュ関数でハッシュ化したハッシュ値(hash(画像ID))と、を対応付けて管理しているため、認証部122は、認証情報を構成する画像データのハッシュ値の属する認証画像グループを特定し、連続する入力画像データの属すグループが同じ認証画像グループか否かを判定する。また、同じ認証画像グループと判定した組数がユーザ認証を許可する際に必要な組数であるかを判定する。認証部122は、連続する入力画像データの属すグループが同じ認証画像グループであり、且つ、その同じ認証画像グループに属したと判断した組数がユーザ認証を許可する際に必要な組数である場合は、認証情報を構成する画像データの中で同一の認証画像グループに属さない単独の画像データがないため(ステップS17/No)、認証OKと判定し(ステップS18)、処理を終了する(End)。これにより、認証OKと判定した場合は、上述したステップS1から処理を開始するため、次回のユーザ認証時は、パターンテーブル134から新たな表示パターン10を選択し、該選択した新たな表示パターン10を表示入力部110に表示することになる。このため、認証OKの認証情報の入力操作時に第三者が認証情報を盗み見してしまった場合でも、次回のユーザ認証時には、新たな表示パターン10が表示されるため、認証情報の類推を困難にさせることができる。
【0075】
また、連続する入力画像データの属すグループが同じ認証画像グループでない場合や、同じ認証画像グループに属したと判断した組数がユーザ認証を許可する際に必要な組数でない場合は、認証情報を構成する画像データの中で同一の認証画像グループに属さない単独の画像データがあるため(ステップS17/Yes)、認証NGと判定する(ステップS19)。この場合は、再び、同じ表示パターン10を表示入力部110に表示する(ステップS12)。これにより、認証OKの認証情報の入力操作時に第三者が認証情報を盗み見してしまった場合でも、その偶然盗み見た時と同じ表示パターン10が表示されるまで認証NGを繰り返す攻撃を防止することができる。
【0076】
なお、画像テーブル131に登録されている画像データの数が少ない場合は、全ての画像データの画像IDをハッシュ化してハッシュ値を算出し、該算出したハッシュ値を基に、認証画像グループテーブル132に記憶されている認証画像グループを参照して検索することで、どの画像データが同一の認証画像グループに属しているかを短時間で解析することができてしまう。例えば、画像テーブル131に登録されている画像データの数が500個の場合は、500回のハッシュ計算で、どの画像データが同一の認証画像グループに属しているかを解析できてしまう。
【0077】
このため、同一の認証画像グループに属す画像データの全ての2枚1組の組合せの画像IDを演算操作した値をハッシュ化してハッシュ値を算出し、該算出したハッシュ値を認証画像グループテーブル132に記憶することが好ましい。画像IDの演算操作は、例えば、画像IDの値番目の素数(2,3,5,7,11,13,17,19,23,29,・・・)の積などが考えられる。例えば、画像ID=5(素数11)と画像ID=10(素数29)とであれば、その積は、11*29=319となる。
【0078】
なお、ユーザ認証を行う際は、1番目に選択された画像IDと2番目に選択された画像ID、3番目に選択された画像IDと4番目に選択された画像ID、5番目に選択された画像IDと6番目に選択された画像IDのように隣接する画像IDについて上記と同様に演算操作した値のハッシュ値を算出し、該算出したハッシュ値を基に、認証画像グループテーブル132に記憶されている認証画像グループを検索し、隣接する画像ID同士が同一の認証画像グループに属しているか否かを照合する。
【0079】
これにより、上図のような場合に認証画像グループには、3C2+3C2+2C2+2C2=8個の値が記憶される。一方、画像テーブル131に登録されている画像データの数が18個の場合でも、どの画像データが同一の認証画像グループに属しているのかを解析するためには、18C2=153回のハッシュ計算が必要になる。ダミー画像データが沢山あり、画像テーブル131に500個の画像データが登録されていれば、500C2=124,750回のハッシュ計算が必要になる。このため、どの画像データが同一の認証画像グループに属しているかを解析し難くすることができる。
【0080】
なお、上述した図7に示す処理動作では、認証を開始する場合に(ステップS14/Yes)、表示入力部110から入力を受け付けた認証情報を構成する各画像データに対応する画像IDをハッシュ化してハッシュ値を算出し(ステップS20)、その算出したハッシュ値を基に、照合処理を行うことにした(ステップS21)。
【0081】
しかし、ユーザ操作により、表示入力部110に表示された表示パターン10を構成する画像データの中から1つの画像データが表示入力部110から選択される毎に、その選択された画像データに対応する画像IDをハッシュ化してハッシュ値を算出し、その算出したハッシュ値を基に、照合処理を行うことも可能である。この場合は、1番目に選択された画像IDと2番目に選択された画像ID、3番目に選択された画像IDと4番目に選択された画像ID、5番目に選択された画像IDと6番目に選択された画像IDのように、認証情報を構成する画像ID同士が、同一の認証画像グループに属しているか否かを照合し、表示入力部110から選択された画像データの中で同一の認証画像グループに属さない単独の画像データがあるか否かを照合する。そして、表示入力部110から選択された画像データの中で同一の認証画像グループに属さない単独の画像データがある場合は、認証NGと判定し、単独の画像データがない場合は、認証OKと判定する。このように、表示入力部110から1つの画像データが選択される毎に照合処理を行うことも可能である。
【0082】
また、本実施形態では、認証画像グループテーブル132、ダミー画像グループテーブル133に画像IDをハッシュ化して記憶することで、記憶部130に記憶されている情報を解析しても解読できないようにした。しかし、ハッシュ化する方法以外でも各種情報を解読できないようにすることが可能である。例えば、表示パターン10を形成した後に各グループテーブル132,133に記憶した情報を廃棄し、各表示パターン10に対応する形で、認証OKとなる画像IDを暗号化して記憶部130に記憶することも可能である。
【0083】
この暗号情報は、例えば、ペアとなる画像IDの積を計算し、昇順に連結した値のハッシュ値などにするとよい。具体的には、認証OKとなる画像IDが(T,S)のペアと、(Z,W)のペアと、の2組だったと仮定すると、HMAC(Stringcat(T×S、Z×W))を記憶すればよい。なお、Stringcat()は、2つの値の文字列連結を表わす関数である。このようにすることで、入力された画像IDに対しても暗号情報を作成した時と同様に、順に2つずつの画像IDの積をとって、昇順に連結した値のハッシュ値を計算し、記憶部130に記憶された値と一致するか否かで照合処理を行うことができる。
【0084】
(第3の実施形態)次に、第3の実施形態について説明する。
【0085】
第1、第2の実施形態は、図1に示す認証情報入力装置100単体でユーザ認証を行う場合について説明した。
【0086】
第3の実施形態は、図8に示す認証情報入力装置100とサーバ装置200とでユーザ認証を行う場合について説明する。第3の実施形態の場合は、表示パターン10の登録処理や、認証処理をサーバ装置200側で行うことになる。以下、図8、図9を参照しながら、第3の実施形態について説明する。
【0088】
本実施形態の認証システムは、認証情報入力装置100とサーバ装置200とがネットワークNWを介して接続して構成する。ネットワークNWは、有線、無線を問わず、任意の通信形態が適用可能であり、認証情報入力装置100とサーバ装置200とは任意の接続形態で接続して双方向に情報通信を行う。
【0089】
本実施形態の認証情報入力装置100は、表示入力部110と、制御部120と、通信部140と、を有して構成する。表示入力部110は、第1の実施形態と同様の機能を有する。制御部120は、表示入力部110に表示する表示パターン10の表示制御を行う。通信部140は、サーバ装置200と任意の通信形態で通信を行う。
【0090】
本実施形態のサーバ装置200は、制御部220と、記憶部230と、通信部240と、を有して構成する。制御部220は、通信部240を介して認証情報入力装置100と接続し、認証情報入力装置100側の表示入力部110に表示する表示パターン10の表示制御を行う。また、表示入力部110からユーザ操作により入力された認証情報の認証制御を行う。本実施形態の制御部220は、パターン制御部221と、認証部222と、を有して構成する。パターン制御部221と認証部222との機能は、第1の実施形態と同様の機能を有する。通信部240は、認証情報入力装置100と任意の通信形態で通信を行う。記憶部230に格納されている画像テーブル231、認証画像グループテーブル232、ダミー画像グループテーブル233、パターンテーブル234は、第1の実施形態と同様である。
【0092】
サーバ装置200のパターン制御部221は、第1の実施形態と同様に、パターンテーブル234から1つの表示パターン10を選択し、該選択した表示パターン10を、通信部240を介して認証情報入力装置100に送信する(ステップA1、A2)。
【0093】
認証情報入力装置100は、通信部140を介して表示パターン10を受信し、該受信した表示パターン10を表示入力部110に表示する。また、認証情報の入力受付を開始する(ステップA3)。これにより、認証情報入力装置100は、認証情報を構成する6個の画像データ(認証画像データ)と、認証情報を構成しない10個の画像データ(ダミー画像データ)と、で構成する表示パターン10を表示入力部110に表示することができる。
【0094】
ユーザは、ユーザ自身の記憶に基づき、表示入力部110に表示された表示パターン10を構成する画像データの中から画像データを選択する。ユーザ操作により選択された少なくとも一対の画像データは、ユーザの認証を許可する際に使用する認証情報として表示入力部110に入力される。
【0095】
認証情報入力装置100は、ユーザ操作により表示入力部110から予め定められた個数(本実施形態では、6個)の画像データの入力を受け付けた場合に、認証を開始する(ステップA4/Yes)。また、認証情報入力装置100に別途設置された認証開始ボタン(図示せず)が押下された場合に、認証を開始する(ステップA4/Yes)。
【0096】
認証情報入力装置100は、認証を開始する場合は(ステップA4/Yes)、表示入力部110から入力を受け付けた認証情報を、通信部140を介してサーバ装置200に送信する(ステップA5)。
【0097】
サーバ装置200は、通信部240を介して認証情報を受信した場合に、認証部222は、受信した認証情報を基に、認証画像グループテーブル232に記憶されている認証画像グループを参照し、認証情報を構成する画像データの中で、同一の認証画像グループに属さない単独の画像データがあるか否かを照合する(ステップA6)。
【0098】
認証部222は、単独の画像データがない場合は、認証OKと判定する。また、単独の画像データがある場合は、認証NGと判定する。認証部222は、上述した照合結果を、通信部240を介して認証情報入力装置100に送信する(ステップA7)。
【0099】
<本実施形態の認証システムの作用・効果>このように、本実施形態の認証システムを構成するサーバ装置200は、サーバ装置200側のパターンテーブル234に記憶されている表示パターン10を認証情報入力装置100側の表示入力部110に表示する。認証情報入力装置100は、表示入力部110に表示された表示パターン10の中からユーザ操作により選択された少なくとも1つの画像データを認証情報としてサーバ装置200に送信する。サーバ装置200は、認証情報入力装置100から受信した認証情報を基にユーザ認証を行う。
【0100】
これにより、本実施形態の認証システムは、第1の実施形態と同様の効果が得られると共に、第1の実施形態のように認証情報入力装置100単体でユーザ認証を行うよりもセキュリティを更に向上させることができる。
【0101】
また、サーバ装置200側のパターンテーブル234の中から表示パターン10を選択し、該選択した表示パターン10を認証情報入力装置100側の表示入力部110に表示する。そして、表示入力部110に表示された表示パターン10の中からユーザ操作により選択された画像データを認証情報としてサーバ装置200が受信し、該受信した認証情報を基にユーザ認証を行う。このため、チャレンジ・アンド・レスポンスのような認証を行うことができるため、端末自体のなりすまし(端末上のプログラムのなりすましを含む)を防止することができる。
【0102】
なお、上述した図9に示すユーザ認証時の処理動作例は、図4に示す第1の実施形態のユーザ認証時の処理動作例をサーバ装置200と認証情報入力装置100とで行う場合について説明した。しかし、図7に示す第2の実施形態のユーザ認証時の処理動作例をサーバ装置200と認証情報入力装置100とで行うことも可能である。
【0103】
この場合は、図10に示すように、認証情報入力装置100側は、入力を受け付けた認証情報を構成する各画像データのハッシュ値を算出し(ステップB5)、その算出した各画像データのハッシュ値をサーバ装置200側に送信することになる(ステップB6)。
【0104】
サーバ装置200側は、受信したハッシュ値を基に、認証画像グループテーブル232に記憶されている認証画像グループを参照し、認証情報を構成する画像データの中で、同一の認証画像グループに属さない単独の画像データがあるか否かを照合する(ステップB7)。
【0105】
認証部222は、単独の画像データがない場合は、認証OKと判定する。また、単独の画像データがある場合は、認証NGと判定する。認証部222は、上述した照合結果を、通信部240を介して認証情報入力装置100に送信する(ステップB8)。
【0106】
なお、上述する実施形態は、本発明の好適な実施形態であり、上記実施形態のみに本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。
【0107】
例えば、上述した実施形態では、表示パターン10は、図2に示すように、6個の認証画像データと、10個のダミー画像データと、の合計16個の画像データで構成した。しかし、この表示パターン10は一例であり、任意の個数の画像データで構成することが可能である。但し、表示パターン10は、ユーザ自身の記憶に基づき当該ユーザが識別可能な同一の認証画像グループに属している一対の認証画像データの組を、ユーザの認証を許可する際に必要な組数だけ少なくとも含んで構成する必要がある。
【0108】
また、上述した実施形態では、表示パターン10を表示する機能と、認証情報を構成する画像データを入力する機能と、を兼用した表示入力部110を例に説明した。しかし、表示パターン10を表示する機能(表示部)と、認証情報を構成する画像データを入力する機能(入力部)と、を別々に設けることも可能である。
【0109】
また、上述した本実施形態の認証情報入力装置100やサーバ装置200における制御動作は、ハードウェア、または、ソフトウェア、あるいは、両者の複合構成を用いて実行することも可能である。
【0110】
なお、ソフトウェアを用いて処理を実行する場合には、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれているコンピュータ内のメモリにインストールして実行させることが可能である。あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。
【0111】
例えば、プログラムは、記録媒体としてのハードディスクやROM(Read Only Memory)に予め記録しておくことが可能である。あるいは、プログラムは、リムーバブル記録媒体に、一時的、あるいは、永続的に格納(記録)しておくことが可能である。このようなリムーバブル記録媒体は、いわゆるパッケージソフトウエアとして提供することが可能である。なお、リムーバブル記録媒体としては、フロッピー(登録商標)ディスク、CD-ROM(Compact Disc Read Only Memory)、MO(Magneto optical)ディスク、DVD(Digital Versatile Disc)、磁気ディスク、半導体メモリなどが挙げられる。
【0112】
なお、プログラムは、上述したようなリムーバブル記録媒体からコンピュータにインストールすることになる。また、ダウンロードサイトから、コンピュータに無線転送することになる。また、ネットワークを介して、コンピュータに有線で転送することになる。
【0113】
また、本実施形態における認証情報入力装置100やサーバ装置200は、上記実施形態で説明した処理動作に従って時系列的に実行されるのみならず、処理を実行する装置の処理能力、あるいは、必要に応じて並列的にあるいは個別に実行するように構築することも可能である。
【符号の説明】
【0114】
100 認証情報入力装置110 表示入力部(表示手段、入力手段)
120、220 制御部
121、221 パターン制御部
122、222 認証部
130、230 記憶部
131、231 画像テーブル
132、232 認証画像グループテーブル(第1の記憶手段)
133、233 ダミー画像グループテーブル(第2の記憶手段)
134、234 パターンテーブル
140、240 通信部
200 サーバ装置
NW ネットワーク