知財求人 - 知財ポータルサイト「IP Force」
特許5996912識別子(ID)を使用しないでワンタイム・パスワードのみを用いて行うパスワード認証システムおよび方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5996912
(24)【登録日】2016年9月2日
(45)【発行日】2016年9月21日
(54)【発明の名称】識別子(ID)を使用しないでワンタイム・パスワードのみを用いて行うパスワード認証システムおよび方法
(51)【国際特許分類】
G06F 21/31 20130101AFI20160908BHJP
H04L 9/32 20060101ALI20160908BHJP
【FI】
G06F21/31
H04L9/00 673A
【請求項の数】8
【全頁数】17
(21)【出願番号】特願2012-87778(P2012-87778)
(22)【出願日】2012年4月6日
(65)【公開番号】特開2013-218488(P2013-218488A)
(43)【公開日】2013年10月24日
【審査請求日】2015年4月1日
(73)【特許権者】
【識別番号】710010836
【氏名又は名称】久米 明倫
(72)【発明者】
【氏名】久米 明倫
【審査官】
平井 誠
(56)【参考文献】
【文献】
再公表特許第2008/035450(JP,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21
(57)【特許請求の範囲】
【請求項1】
被認証者側装置と認証者側装置とからなるパスワード認証システムであって、
全ての被認証者側装置には、各々の被認証者側装置に固有のデータ(値)としての識別子(ID)が他の被認証者側装置と重複しないように割り当てられており、
被認証者側装置と認証者側装置の双方は記憶部とデータ処理手段とから構成され、
被認証者側装置の記憶部は、予め自身に割り当てられた前記識別子(ID)と、自身の後述するワンタイム・パスワード作成手段が作成する自身のワンタイム・パスワードと、を記憶し、更に前記自身のワンタイム・パスワードを作成する際に使用する場合には、全ての被認証者側装置と認証者側装置とで共用する1対1対応の関数や、後述するカウント手段がカウントする自身の認証回数や、各種処理のプロトコールや、各種処理に必要な各種パラメータなど、をも必要に応じて記憶し、
認証者側装置の記憶部は、全ての被認証者側装置に予め割り当てた前記識別子(ID)の一覧である識別子(ID)・テーブルと、前述した被認証者側装置のそれぞれのワンタイム・パスワード作成手段が作成するのとそれぞれ同一の方法で、自身の後述するワンタイム・パスワード作成手段が作成する当該被認証者側装置のワンタイム・パスワードとそれぞれ同一のワンタイム・パスワードを集めた、全ての被認証者側装置のそれぞれと同一のワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルと、を記憶し、更に前記ワンタイム・パスワード・テーブルを作成する際に使用する場合には、全ての被認証者側装置と認証者側装置とで共用する1対1対応の関数や、後述するカウント手段がカウントする各々の被認証者側装置ごとの認証回数の一覧である認証回数・テーブルや、各種処理のプロトコールや、各種処理に必要な各種パラメータなど、をも必要に応じて記憶し、
被認証者側装置のデータ処理手段は、ワンタイム・パスワード作成手段と、通信手段と、日付や時刻を表示するカレンダ時計手段と、更に、認証回数をパラメータに使用する場合には自身の認証回数を数えるカウント手段と、から構成され、
認証者側装置のデータ処理手段は、ワンタイム・パスワード作成手段と、通信手段と、日付や時刻を表示するカレンダ時計手段と、認証決定手段と、更に、認証回数をパラメータに使用する場合には各々の被認証者側装置の認証回数を数えるカウント手段と、から構成され、
被認証者側装置のワンタイム・パスワード作成手段は、前記自身の識別子(ID)と、前記カレンダ時計手段が示す、日付、又は時刻、又は日付と時刻の両者、又は年月日と時刻の両者、を数値化したデータ(値)と、更に必要に応じてそれらに加えて前記カウント手段がカウントした自身の認証回数と、を適宜組み合わせて、全ての被認証者側装置それぞれで異なる値であるデータ(値)を作成してそれを、あるいはそのデータ(値)を更に前記記憶部に記憶された全ての被認証者側装置と認証者側装置とで共用する1対1対応の関数に入力して得た関数の値を、ワンタイム・パスワードとして作成してそれで自身の前記記憶部に記憶した過去のワンタイム・パスワードを更新し、
認証者側装置のワンタイム・パスワード作成手段は、記憶部に記憶した、前記識別子(ID)・テーブルと、前記カレンダ時計手段が示す、日付、又は時刻、又は日付と時刻の両者、又は年月日と時刻の両者、を数値化したデータ(値)と、更に必要に応じてそれらに加えて認証回数・テーブルと、を適宜組み合わせて使用して、各々の被認証者装置のワンタイム・パスワード作成手段とそれぞれ同一の方法で、当該被認証者側装置に対応するワンタイム・パスワードを作成し、更に同様にして全ての被認証者側装置それぞれに対応するワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルを作成してそれで自身の前記記憶部に記憶した過去のワンタイム・パスワード・テーブルを更新し、
実際にパスワード認証を実施する時は、まず、認証を依頼する被認証者側装置の通信手段が、自身の記憶部に記憶したワンタイム・パスワードを認証者装置に送信し、次に、認証者側装置の通信手段が被認証者側装置からワンタイム・パスワードを受信すると、認証者側装置の認証決定手段は被認証者側装置から受信したワンタイム・パスワードを自身の記憶部のワンタイム・パスワード・テーブルに照合して両者が一致する被認証者側装置を同定し、そのワンタイム・パスワードを送信した被認証者装置を当該識別子(ID)を割り当てられた被認証者装置であると同定することで認証が成立することを特徴とする、
被認証者装置の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者装置が被認証者側装置を認証するパスワード認証システム。
全ての被認証者側装置には、各々の被認証者側装置に固有のデータ(値)としての識別子(ID)が他の被認証者側装置と重複しないように割り当てられており、
被認証者側装置と認証者側装置の双方は記憶部とデータ処理手段とから構成され、
被認証者側装置の記憶部は、予め自身に割り当てられた前記識別子(ID)と、自身の後述するワンタイム・パスワード作成手段が作成する自身のワンタイム・パスワードと、を記憶し、更に前記自身のワンタイム・パスワードを作成する際に使用する場合には、全ての被認証者側装置と認証者側装置とで共用する1対1対応の関数や、後述するカウント手段がカウントする自身の認証回数や、各種処理のプロトコールや、各種処理に必要な各種パラメータなど、をも必要に応じて記憶し、
認証者側装置の記憶部は、全ての被認証者側装置に予め割り当てた前記識別子(ID)の一覧である識別子(ID)・テーブルと、前述した被認証者側装置のそれぞれのワンタイム・パスワード作成手段が作成するのとそれぞれ同一の方法で、自身の後述するワンタイム・パスワード作成手段が作成する当該被認証者側装置のワンタイム・パスワードとそれぞれ同一のワンタイム・パスワードを集めた、全ての被認証者側装置のそれぞれと同一のワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルと、を記憶し、更に前記ワンタイム・パスワード・テーブルを作成する際に使用する場合には、全ての被認証者側装置と認証者側装置とで共用する1対1対応の関数や、後述するカウント手段がカウントする各々の被認証者側装置ごとの認証回数の一覧である認証回数・テーブルや、各種処理のプロトコールや、各種処理に必要な各種パラメータなど、をも必要に応じて記憶し、
被認証者側装置のデータ処理手段は、ワンタイム・パスワード作成手段と、通信手段と、日付や時刻を表示するカレンダ時計手段と、更に、認証回数をパラメータに使用する場合には自身の認証回数を数えるカウント手段と、から構成され、
認証者側装置のデータ処理手段は、ワンタイム・パスワード作成手段と、通信手段と、日付や時刻を表示するカレンダ時計手段と、認証決定手段と、更に、認証回数をパラメータに使用する場合には各々の被認証者側装置の認証回数を数えるカウント手段と、から構成され、
被認証者側装置のワンタイム・パスワード作成手段は、前記自身の識別子(ID)と、前記カレンダ時計手段が示す、日付、又は時刻、又は日付と時刻の両者、又は年月日と時刻の両者、を数値化したデータ(値)と、更に必要に応じてそれらに加えて前記カウント手段がカウントした自身の認証回数と、を適宜組み合わせて、全ての被認証者側装置それぞれで異なる値であるデータ(値)を作成してそれを、あるいはそのデータ(値)を更に前記記憶部に記憶された全ての被認証者側装置と認証者側装置とで共用する1対1対応の関数に入力して得た関数の値を、ワンタイム・パスワードとして作成してそれで自身の前記記憶部に記憶した過去のワンタイム・パスワードを更新し、
認証者側装置のワンタイム・パスワード作成手段は、記憶部に記憶した、前記識別子(ID)・テーブルと、前記カレンダ時計手段が示す、日付、又は時刻、又は日付と時刻の両者、又は年月日と時刻の両者、を数値化したデータ(値)と、更に必要に応じてそれらに加えて認証回数・テーブルと、を適宜組み合わせて使用して、各々の被認証者装置のワンタイム・パスワード作成手段とそれぞれ同一の方法で、当該被認証者側装置に対応するワンタイム・パスワードを作成し、更に同様にして全ての被認証者側装置それぞれに対応するワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルを作成してそれで自身の前記記憶部に記憶した過去のワンタイム・パスワード・テーブルを更新し、
実際にパスワード認証を実施する時は、まず、認証を依頼する被認証者側装置の通信手段が、自身の記憶部に記憶したワンタイム・パスワードを認証者装置に送信し、次に、認証者側装置の通信手段が被認証者側装置からワンタイム・パスワードを受信すると、認証者側装置の認証決定手段は被認証者側装置から受信したワンタイム・パスワードを自身の記憶部のワンタイム・パスワード・テーブルに照合して両者が一致する被認証者側装置を同定し、そのワンタイム・パスワードを送信した被認証者装置を当該識別子(ID)を割り当てられた被認証者装置であると同定することで認証が成立することを特徴とする、
被認証者装置の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者装置が被認証者側装置を認証するパスワード認証システム。
【請求項2】
請求項1に記載の、被認証者側装置と認証者側装置とからなるパスワード認証システムであって、
被認証者側装置のデータ処理手段は請求項1に記載の各手段に加えて認証決定手段とから構成され、
被認証者側装置のワンタイム・パスワード作成手段は、請求項1に記載のタイミングと方法で、全ての被認証者側装置それぞれで異なる値であるデータ(値)を二つ作成してそれらを、あるいはそれらの二つのデータ(値)を更に前記記憶部に記憶された全ての被認証者側装置と認証者側装置とで共用する1対1対応の関数に入力して得た二つの関数の値を、同定用と確認用の二つのワンタイム・パスワードとして作成してそれで自身の前記記憶部に記憶した過去の同定用と確認用の二つのワンタイム・パスワードをそれぞれ更新し、
認証者側装置のワンタイム・パスワード作成手段は、請求項1に記載のタイミングと方法で、各々の被認証者装置のワンタイム・パスワード作成手段とそれぞれ同一の方法で、当該被認証者側装置に対応する同定用と確認用の二つのワンタイム・パスワードを作成し、更に同様にして全ての被認証者側装置それぞれに対応する同定用と確認用の二つずつのワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルを作成してそれで自身の前記記憶部に記憶した過去のワンタイム・パスワード・テーブルを更新し、
実際にパスワード認証を実施する時は、まず請求項1に記載の要領で、はじめに同定用のワンタイム・パスワードを使用して認証を依頼する被認証者側装置を認証者側装置の認証決定手段が同定したら、本請求項では更に引き続いて、認証者側装置の認証決定手段は自身の記憶部に記憶したワンタイム・パスワード・テーブルのなかから前記同定した当該被認証者側装置に対応する確認用のワンタイム・パスワードを選別し、続いて認証者側装置の通信手段は前記選別された当該被認証者側装置に対応する確認用のワンタイム・パスワードを前記同定した当該被認証者側装置に送信し、次に、前記認証を依頼した当該被認証者側装置の通信手段は前記確認用のワンタイム・パスワードを認証者側装置から受信すると、当該被認証者側装置の認証決定手段は自身の通信手段が認証者側装置から受信した確認用のワンタイム・パスワードと自身の記憶部に記憶した確認用のワンタイム・パスワードとを比較して両者が一致した場合には認証者装置が被認証者側装置自身を正しく同定したことを確認することで、はじめに同定用のワンタイム・パスワードを送信した被認証者装置を当該識別子(ID)を割り当てられた被認証者装置であると認証することを特徴とする、
被認証者装置の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者側装置が被認証者側装置を同定し、更に被認証者装置が認証者側装置の正しい正確な同定を確認することで認証が成立する、請求項1に記載の、パスワード認証システム。
被認証者側装置のデータ処理手段は請求項1に記載の各手段に加えて認証決定手段とから構成され、
被認証者側装置のワンタイム・パスワード作成手段は、請求項1に記載のタイミングと方法で、全ての被認証者側装置それぞれで異なる値であるデータ(値)を二つ作成してそれらを、あるいはそれらの二つのデータ(値)を更に前記記憶部に記憶された全ての被認証者側装置と認証者側装置とで共用する1対1対応の関数に入力して得た二つの関数の値を、同定用と確認用の二つのワンタイム・パスワードとして作成してそれで自身の前記記憶部に記憶した過去の同定用と確認用の二つのワンタイム・パスワードをそれぞれ更新し、
認証者側装置のワンタイム・パスワード作成手段は、請求項1に記載のタイミングと方法で、各々の被認証者装置のワンタイム・パスワード作成手段とそれぞれ同一の方法で、当該被認証者側装置に対応する同定用と確認用の二つのワンタイム・パスワードを作成し、更に同様にして全ての被認証者側装置それぞれに対応する同定用と確認用の二つずつのワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルを作成してそれで自身の前記記憶部に記憶した過去のワンタイム・パスワード・テーブルを更新し、
実際にパスワード認証を実施する時は、まず請求項1に記載の要領で、はじめに同定用のワンタイム・パスワードを使用して認証を依頼する被認証者側装置を認証者側装置の認証決定手段が同定したら、本請求項では更に引き続いて、認証者側装置の認証決定手段は自身の記憶部に記憶したワンタイム・パスワード・テーブルのなかから前記同定した当該被認証者側装置に対応する確認用のワンタイム・パスワードを選別し、続いて認証者側装置の通信手段は前記選別された当該被認証者側装置に対応する確認用のワンタイム・パスワードを前記同定した当該被認証者側装置に送信し、次に、前記認証を依頼した当該被認証者側装置の通信手段は前記確認用のワンタイム・パスワードを認証者側装置から受信すると、当該被認証者側装置の認証決定手段は自身の通信手段が認証者側装置から受信した確認用のワンタイム・パスワードと自身の記憶部に記憶した確認用のワンタイム・パスワードとを比較して両者が一致した場合には認証者装置が被認証者側装置自身を正しく同定したことを確認することで、はじめに同定用のワンタイム・パスワードを送信した被認証者装置を当該識別子(ID)を割り当てられた被認証者装置であると認証することを特徴とする、
被認証者装置の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者側装置が被認証者側装置を同定し、更に被認証者装置が認証者側装置の正しい正確な同定を確認することで認証が成立する、請求項1に記載の、パスワード認証システム。
【請求項3】
請求項2に記載の、被認証者側装置と認証者側装置とからなるパスワード認証システムであって、
被認証者側装置のワンタイム・パスワード作成手段は、請求項2に記載のタイミングと方法で同定用と確認用と再確認用の三つのワンタイム・パスワードを作成してそれで自身の前記記憶部に記憶した過去の同定用と確認用と再確認用の三つのワンタイム・パスワードをそれぞれ更新し、
認証者側装置のワンタイム・パスワード作成手段は、請求項2に記載のタイミングと方法で、各々の被認証者装置のワンタイム・パスワード作成手段とそれぞれ同一の方法で、当該被認証者側装置に対応する、同定用と確認用と再確認用の三つのワンタイム・パスワードを作成して、更に同様にして全ての被認証者側装置それぞれに対応する同定用と確認用と再確認用の三つずつのワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルを作成してそれで自身の前記記憶部に記憶した過去のワンタイム・パスワード・テーブルを更新し、
実際にパスワード認証を実施する時は、まず請求項2に記載の要領で、はじめに同定用のワンタイム・パスワードを使用して認証を依頼する被認証者側装置を認証者側装置の認証決定手段が同定したら、続いて確認用のワンタイム・パスワードを使用して当該被認証者側装置が認証者側装置の正しい同定を確認し、本請求項では更に引き続いて、前記認証を依頼した当該被認証者側装置の通信手段は、自身の再確認用のワンタイム・パスワードを認証者側装置に送信し、認証者側装置の通信手段が被認証者側装置から再確認用のワンタイム・パスワードを受信すると、当該認証者側装置の認証決定手段は自身の通信手段が被認証者側装置から受信した再確認用のワンタイム・パスワードと自身の記憶部のワンタイム・パスワード・テーブルに登録された当該被認証者側装置に対応する再確認用のワンタイム・パスワードとを比較して両者が一致することを再確認し、それによりはじめに同定用のワンタイム・パスワードを送信した被認証者装置を当該識別子(ID)を割り当てられた被認証者装置であると認証することを特徴とする、
被認証者装置の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者側装置が被認証者側装置を同定し、更に被認証者装置が認証者側装置の正しい正確な同定を確認し、更に認証者側装置が被認証者側装置を再確認することで認証が成立する、請求項2に記載の、パスワード認証システム。
被認証者側装置のワンタイム・パスワード作成手段は、請求項2に記載のタイミングと方法で同定用と確認用と再確認用の三つのワンタイム・パスワードを作成してそれで自身の前記記憶部に記憶した過去の同定用と確認用と再確認用の三つのワンタイム・パスワードをそれぞれ更新し、
認証者側装置のワンタイム・パスワード作成手段は、請求項2に記載のタイミングと方法で、各々の被認証者装置のワンタイム・パスワード作成手段とそれぞれ同一の方法で、当該被認証者側装置に対応する、同定用と確認用と再確認用の三つのワンタイム・パスワードを作成して、更に同様にして全ての被認証者側装置それぞれに対応する同定用と確認用と再確認用の三つずつのワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルを作成してそれで自身の前記記憶部に記憶した過去のワンタイム・パスワード・テーブルを更新し、
実際にパスワード認証を実施する時は、まず請求項2に記載の要領で、はじめに同定用のワンタイム・パスワードを使用して認証を依頼する被認証者側装置を認証者側装置の認証決定手段が同定したら、続いて確認用のワンタイム・パスワードを使用して当該被認証者側装置が認証者側装置の正しい同定を確認し、本請求項では更に引き続いて、前記認証を依頼した当該被認証者側装置の通信手段は、自身の再確認用のワンタイム・パスワードを認証者側装置に送信し、認証者側装置の通信手段が被認証者側装置から再確認用のワンタイム・パスワードを受信すると、当該認証者側装置の認証決定手段は自身の通信手段が被認証者側装置から受信した再確認用のワンタイム・パスワードと自身の記憶部のワンタイム・パスワード・テーブルに登録された当該被認証者側装置に対応する再確認用のワンタイム・パスワードとを比較して両者が一致することを再確認し、それによりはじめに同定用のワンタイム・パスワードを送信した被認証者装置を当該識別子(ID)を割り当てられた被認証者装置であると認証することを特徴とする、
被認証者装置の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者側装置が被認証者側装置を同定し、更に被認証者装置が認証者側装置の正しい正確な同定を確認し、更に認証者側装置が被認証者側装置を再確認することで認証が成立する、請求項2に記載の、パスワード認証システム。
【請求項4】
請求項2に記載の、被認証者側装置と認証者側装置とからなるパスワード認証システムであって、
認証者側装置のデータ処理手段は請求項2に記載の各手段に加えておとり用偽ワンタイム・パスワード作成手段とから構成され、
実際にパスワード認証を実施する時は、まず請求項2に記載の要領で、はじめに同定用のワンタイム・パスワードを使用して認証者側装置の認証決定手段が認証を依頼する被認証者側装置を同定したら、引き続いて自身の記憶部に記憶したワンタイム・パスワード・テーブルのなかから前記同定した当該被認証者側装置に対応する確認用のワンタイム・パスワードを選別し、次に、本請求項では更に引き続いて、認証者側装置のおとり用偽ワンタイム・パスワード作成手段はいくつかのおとり用の偽のワンタイム・パスワードを作成し、次に、認証者側装置の通信手段は前記選別された当該被認証者側装置に対応する正規の確認用のワンタイム・パスワードと前記おとり用の偽のワンタイム・パスワードとをあわせた複数のデータ(値)を前記同定した当該被認証者側装置に送信し、次に、前記認証を依頼した当該被認証者側装置の通信手段が前記複数のデータ(値)を認証者側装置から受信すると、引き続いて当該被認証者側装置の認証決定手段は前記認証者側装置から受信した複数のデータ(値)を自身の記憶部に記憶した正規の確認用のワンタイム・パスワードに照合して前記受信した複数のデータ(値)のなかから正規の確認用のワンタイム・パスワードを選別し、続いて当該被認証者側装置の通信手段は前記選別した正規の確認用のワンタイム・パスワードか、その正規の確認用のワンタイム・パスワードを選別したことを示す印か、を認証者側装置に送信し、次に、認証者側装置の通信手段が被認証者側装置から正規の確認用のワンタイム・パスワードか、その正規の確認用のワンタイム・パスワードを選別したことを示す印か、を受信すると、認証者側装置の認証決定手段は被認証者側装置が正しく正規の確認用のワンタイム・パスワードを選別できたことを再確認し、それによりはじめに同定用のワンタイム・パスワードを送信した被認証者装置を当該識別子(ID)を割り当てられた被認証者装置であると認証することを特徴とする、
被認証者装置の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者側装置が被認証者側装置を同定し、更に被認証者装置が認証者側装置の正しい正確な同定を確認し、更に認証者側装置が被認証者側装置を再確認することで認証が成立する、請求項2に記載の、パスワード認証システム。
認証者側装置のデータ処理手段は請求項2に記載の各手段に加えておとり用偽ワンタイム・パスワード作成手段とから構成され、
実際にパスワード認証を実施する時は、まず請求項2に記載の要領で、はじめに同定用のワンタイム・パスワードを使用して認証者側装置の認証決定手段が認証を依頼する被認証者側装置を同定したら、引き続いて自身の記憶部に記憶したワンタイム・パスワード・テーブルのなかから前記同定した当該被認証者側装置に対応する確認用のワンタイム・パスワードを選別し、次に、本請求項では更に引き続いて、認証者側装置のおとり用偽ワンタイム・パスワード作成手段はいくつかのおとり用の偽のワンタイム・パスワードを作成し、次に、認証者側装置の通信手段は前記選別された当該被認証者側装置に対応する正規の確認用のワンタイム・パスワードと前記おとり用の偽のワンタイム・パスワードとをあわせた複数のデータ(値)を前記同定した当該被認証者側装置に送信し、次に、前記認証を依頼した当該被認証者側装置の通信手段が前記複数のデータ(値)を認証者側装置から受信すると、引き続いて当該被認証者側装置の認証決定手段は前記認証者側装置から受信した複数のデータ(値)を自身の記憶部に記憶した正規の確認用のワンタイム・パスワードに照合して前記受信した複数のデータ(値)のなかから正規の確認用のワンタイム・パスワードを選別し、続いて当該被認証者側装置の通信手段は前記選別した正規の確認用のワンタイム・パスワードか、その正規の確認用のワンタイム・パスワードを選別したことを示す印か、を認証者側装置に送信し、次に、認証者側装置の通信手段が被認証者側装置から正規の確認用のワンタイム・パスワードか、その正規の確認用のワンタイム・パスワードを選別したことを示す印か、を受信すると、認証者側装置の認証決定手段は被認証者側装置が正しく正規の確認用のワンタイム・パスワードを選別できたことを再確認し、それによりはじめに同定用のワンタイム・パスワードを送信した被認証者装置を当該識別子(ID)を割り当てられた被認証者装置であると認証することを特徴とする、
被認証者装置の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者側装置が被認証者側装置を同定し、更に被認証者装置が認証者側装置の正しい正確な同定を確認し、更に認証者側装置が被認証者側装置を再確認することで認証が成立する、請求項2に記載の、パスワード認証システム。
【請求項5】
被認証者と認証者とからなるパスワード認証方法であって、
全ての被認証者には、予め各々に固有のデータ(値)である識別子(ID)が他の被認証者と重複しないように割り当てられており、認証者は、予め全ての被認証者に割り当てた各々の被認証者の識別子(ID)の一覧を識別子(ID)・テーブルとして記憶しており、
被認証者は、予め自身に割り当てられた前記識別子(ID)と、日付、又は時刻、又は日付と時刻の両者、又は年月日と時刻の両者、を数値化したデータ(値)と、更には必要に応じてそれに加えて自身の認証回数を示す数値を追加したデータ(値)と、を適宜組み合わせて作成した全ての被認証者それぞれで異なる値であるデータ(値)を、あるいはそのデータ(値)を更に全ての被認証者と認証者とで共用する1対1対応の関数に入力して得られた関数の値を、自身のワンタイム・パスワードとして作成し、
認証者は、前記識別子(ID)・テーブルと、日付、又は時刻、又は日付と時刻の両者、又は年月日と時刻の両者、を数値化したデータ(値)と、更には必要に応じてそれに加えて各々の被認証者の認証回数を示す数値を追加したデータ(値)と、を適宜組み合わせて使用して各々の被認証者がワンタイム・パスワードを作成したのと同一の方法で、各々の被認証者それぞれに対応するワンタイム・パスワードを作成し、更に同様にして全ての被認証者のそれぞれに対応するワンタイム・パスワードの一覧をワンタイム・パスワード・テーブルとして作成し、
実際のパスワード認証に当たっては、まず、認証を依頼する被認証者は自身で作成した自身のワンタイム・パスワードを認証者に連絡し、認証者は被認証者からワンタイム・パスワードの連絡を受けると、連絡を受けたワンタイム・パスワードをワンタイム・パスワード・テーブルに照合して両者が一致する被認証者を同定し、そのワンタイム・パスワードを有する被認証者を当該識別子(ID)を割り当てられた被認証者であると認証することを特徴とする、
被認証者の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで行うパスワード認証方法。
全ての被認証者には、予め各々に固有のデータ(値)である識別子(ID)が他の被認証者と重複しないように割り当てられており、認証者は、予め全ての被認証者に割り当てた各々の被認証者の識別子(ID)の一覧を識別子(ID)・テーブルとして記憶しており、
被認証者は、予め自身に割り当てられた前記識別子(ID)と、日付、又は時刻、又は日付と時刻の両者、又は年月日と時刻の両者、を数値化したデータ(値)と、更には必要に応じてそれに加えて自身の認証回数を示す数値を追加したデータ(値)と、を適宜組み合わせて作成した全ての被認証者それぞれで異なる値であるデータ(値)を、あるいはそのデータ(値)を更に全ての被認証者と認証者とで共用する1対1対応の関数に入力して得られた関数の値を、自身のワンタイム・パスワードとして作成し、
認証者は、前記識別子(ID)・テーブルと、日付、又は時刻、又は日付と時刻の両者、又は年月日と時刻の両者、を数値化したデータ(値)と、更には必要に応じてそれに加えて各々の被認証者の認証回数を示す数値を追加したデータ(値)と、を適宜組み合わせて使用して各々の被認証者がワンタイム・パスワードを作成したのと同一の方法で、各々の被認証者それぞれに対応するワンタイム・パスワードを作成し、更に同様にして全ての被認証者のそれぞれに対応するワンタイム・パスワードの一覧をワンタイム・パスワード・テーブルとして作成し、
実際のパスワード認証に当たっては、まず、認証を依頼する被認証者は自身で作成した自身のワンタイム・パスワードを認証者に連絡し、認証者は被認証者からワンタイム・パスワードの連絡を受けると、連絡を受けたワンタイム・パスワードをワンタイム・パスワード・テーブルに照合して両者が一致する被認証者を同定し、そのワンタイム・パスワードを有する被認証者を当該識別子(ID)を割り当てられた被認証者であると認証することを特徴とする、
被認証者の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで行うパスワード認証方法。
【請求項6】
請求項5に記載の、被認証者と認証者とからなるパスワード認証方法であって、
被認証者は、請求項5に記載のタイミングと方法で、全ての被認証者それぞれで異なる値であるデータ(値)を二つ作成してそれらを、あるいはそれらの二つのデータ(値)を更に全ての被認証者と認証者とで共用する1対1対応の関数に入力して得た二つの関数の値を、同定用と確認用の二つのワンタイム・パスワードとして作成し、
認証者は、請求項5に記載のタイミングと方法で、各々の被認証者のそれぞれが同定用と確認用の二つのワンタイム・パスワードを作成したのと同一の方法で、各々の被認証者のそれぞれに対応する同定用と確認用の二つのワンタイム・パスワードを作成し、更に全ての被認証者のそれぞれに対応する同定用と確認用の二つずつのワンタイム・パスワードの一覧をワンタイム・パスワード・テーブルとして作成し、
実際のパスワード認証に当たっては、まず、請求項5に記載の要領で同定用のワンタイム・パスワードを使用して認証者が認証を依頼する被認証者を同定し、本請求項では更に引き続いて、認証者自身が作成したワンタイム・パスワード・テーブルのなかから前記同定した当該被認証者に対応する確認用のワンタイム・パスワードを選別して当該被認証者に連絡し、次に、前記認証を依頼した当該被認証者は前記確認用のワンタイム・パスワードを認証者から連絡されると、連絡された前記確認用のワンタイム・パスワードと自身が作成した確認用のワンタイム・パスワードとを比較して両者が一致した場合には認証者が被認証者自身を正しく認証したことを確認することで、はじめに同定用のワンタイム・パスワードを連絡した被認証者を当該識別子(ID)を割り当てられた被認証者であると認証することを特徴とする、
被認証者の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで、認証者が被認証者を同定し、続いて、被認証者は認証者が自身を正しく認証したことを確認することで認証が成立する、請求項5に記載の、パスワード認証方法。
被認証者は、請求項5に記載のタイミングと方法で、全ての被認証者それぞれで異なる値であるデータ(値)を二つ作成してそれらを、あるいはそれらの二つのデータ(値)を更に全ての被認証者と認証者とで共用する1対1対応の関数に入力して得た二つの関数の値を、同定用と確認用の二つのワンタイム・パスワードとして作成し、
認証者は、請求項5に記載のタイミングと方法で、各々の被認証者のそれぞれが同定用と確認用の二つのワンタイム・パスワードを作成したのと同一の方法で、各々の被認証者のそれぞれに対応する同定用と確認用の二つのワンタイム・パスワードを作成し、更に全ての被認証者のそれぞれに対応する同定用と確認用の二つずつのワンタイム・パスワードの一覧をワンタイム・パスワード・テーブルとして作成し、
実際のパスワード認証に当たっては、まず、請求項5に記載の要領で同定用のワンタイム・パスワードを使用して認証者が認証を依頼する被認証者を同定し、本請求項では更に引き続いて、認証者自身が作成したワンタイム・パスワード・テーブルのなかから前記同定した当該被認証者に対応する確認用のワンタイム・パスワードを選別して当該被認証者に連絡し、次に、前記認証を依頼した当該被認証者は前記確認用のワンタイム・パスワードを認証者から連絡されると、連絡された前記確認用のワンタイム・パスワードと自身が作成した確認用のワンタイム・パスワードとを比較して両者が一致した場合には認証者が被認証者自身を正しく認証したことを確認することで、はじめに同定用のワンタイム・パスワードを連絡した被認証者を当該識別子(ID)を割り当てられた被認証者であると認証することを特徴とする、
被認証者の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで、認証者が被認証者を同定し、続いて、被認証者は認証者が自身を正しく認証したことを確認することで認証が成立する、請求項5に記載の、パスワード認証方法。
【請求項7】
請求項6に記載の、被認証者と認証者とからなるパスワード認証方法であって、
被認証者は、請求項6に記載のタイミングと方法で、同定用と確認用と再確認用の三つのワンタイム・パスワードを作成し、
認証者は、請求項6に記載のタイミングと方法で、各々の被認証者のそれぞれが同定用と確認用と再確認用の三つのワンタイム・パスワードを作成したのと同一の方法で、各々の被認証者それぞれに対応する同定用と確認用と再確認用の三つのワンタイム・パスワードを作成し、更に同様にして全ての被認証者それぞれに対応する同定用と確認用と再確認用の三つずつのワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルを作成し、
実際のパスワード認証に当たっては、まず、請求項6に記載の要領で同定用のワンタイム・パスワードを使用して認証者が認証を依頼する被認証者を同定したのに続いて確認用のワンタイム・パスワードを使用して被認証者が認証者の正しい認証を確認し、本請求項では更に引き続いて、前記認証を依頼した被認証者は、自身の再確認用のワンタイム・パスワードを認証者に連絡し、認証者は被認証者から再確認用のワンタイム・パスワードを連絡されると、連絡された再確認用のワンタイム・パスワードと自身のワンタイム・パスワード・テーブルに登録された当該被認証者に対応する再確認用のワンタイム・パスワードとを比較して両者が一致することを再確認し、それによりはじめに同定用のワンタイム・パスワードを連絡した被認証者を当該識別子(ID)を割り当てられた被認証者であると認証することを特徴とする
被認証者の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者が被認証者を同定し、更に被認証者が認証者の正しい正確な認証を確認し、更に認証者が被認証者を再確認することで認証が成立する、請求項6に記載の、パスワード認証方法。
被認証者は、請求項6に記載のタイミングと方法で、同定用と確認用と再確認用の三つのワンタイム・パスワードを作成し、
認証者は、請求項6に記載のタイミングと方法で、各々の被認証者のそれぞれが同定用と確認用と再確認用の三つのワンタイム・パスワードを作成したのと同一の方法で、各々の被認証者それぞれに対応する同定用と確認用と再確認用の三つのワンタイム・パスワードを作成し、更に同様にして全ての被認証者それぞれに対応する同定用と確認用と再確認用の三つずつのワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブルを作成し、
実際のパスワード認証に当たっては、まず、請求項6に記載の要領で同定用のワンタイム・パスワードを使用して認証者が認証を依頼する被認証者を同定したのに続いて確認用のワンタイム・パスワードを使用して被認証者が認証者の正しい認証を確認し、本請求項では更に引き続いて、前記認証を依頼した被認証者は、自身の再確認用のワンタイム・パスワードを認証者に連絡し、認証者は被認証者から再確認用のワンタイム・パスワードを連絡されると、連絡された再確認用のワンタイム・パスワードと自身のワンタイム・パスワード・テーブルに登録された当該被認証者に対応する再確認用のワンタイム・パスワードとを比較して両者が一致することを再確認し、それによりはじめに同定用のワンタイム・パスワードを連絡した被認証者を当該識別子(ID)を割り当てられた被認証者であると認証することを特徴とする
被認証者の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者が被認証者を同定し、更に被認証者が認証者の正しい正確な認証を確認し、更に認証者が被認証者を再確認することで認証が成立する、請求項6に記載の、パスワード認証方法。
【請求項8】
請求項6に記載の、被認証者と認証者とからなるパスワード認証方法であって、
まず、請求項6に記載の要領で同定用のワンタイム・パスワードを使用して認証者が認証を依頼する被認証者を同定し、本請求項では更に引き続いて、認証者は同定した当該被認証者に対して請求項6に記載の当該被認証者に対応する正規の確認用のワンタイム・パスワードに加えて、いくつかの新たに作成したおとり用の偽のワンタイム・パスワードを含めた、複数のデータ(値)を連絡し、次に、当該被認証者は認証者から連絡された前記複数のデータ(値)を自身が請求項6に記載の方法で作成した確認用のワンタイム・パスワードに照合して前記連絡された複数のデータ(値)のなかから正規の確認用のワンタイム・パスワードを選別し、続いて前記選別した正規の確認用のワンタイム・パスワードか、その正規の確認用のワンタイム・パスワードを選別したことを示す印を認証者に連絡し、次に、認証者が被認証者から正規の確認用のワンタイム・パスワードか、その正規の確認用のワンタイム・パスワードを選別したことを示す印を連絡されると、認証者は被認証者が正しく正規の確認用のワンタイム・パスワードを選別できたことを再確認し、それによりはじめに同定用のワンタイム・パスワードを送信した被認証者を当該識別子(ID)を割り当てられた被認証者であると認証することを特徴とする、
被認証者の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者が被認証者を同定し、更に被認証者が認証者の正しい正確な認証を確認し、更に認証者が被認証者を再確認することで認証が完了する、請求項6に記載の、パスワード認証方法。
まず、請求項6に記載の要領で同定用のワンタイム・パスワードを使用して認証者が認証を依頼する被認証者を同定し、本請求項では更に引き続いて、認証者は同定した当該被認証者に対して請求項6に記載の当該被認証者に対応する正規の確認用のワンタイム・パスワードに加えて、いくつかの新たに作成したおとり用の偽のワンタイム・パスワードを含めた、複数のデータ(値)を連絡し、次に、当該被認証者は認証者から連絡された前記複数のデータ(値)を自身が請求項6に記載の方法で作成した確認用のワンタイム・パスワードに照合して前記連絡された複数のデータ(値)のなかから正規の確認用のワンタイム・パスワードを選別し、続いて前記選別した正規の確認用のワンタイム・パスワードか、その正規の確認用のワンタイム・パスワードを選別したことを示す印を認証者に連絡し、次に、認証者が被認証者から正規の確認用のワンタイム・パスワードか、その正規の確認用のワンタイム・パスワードを選別したことを示す印を連絡されると、認証者は被認証者が正しく正規の確認用のワンタイム・パスワードを選別できたことを再確認し、それによりはじめに同定用のワンタイム・パスワードを送信した被認証者を当該識別子(ID)を割り当てられた被認証者であると認証することを特徴とする、
被認証者の識別子(ID)を直接やりとりしないでワンタイム・パスワードのみのやりとりで認証者が被認証者を同定し、更に被認証者が認証者の正しい正確な認証を確認し、更に認証者が被認証者を再確認することで認証が完了する、請求項6に記載の、パスワード認証方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、識別子(ID)を使用しないでワンタイム・パスワードのみを用いて行うパスワード認証システムおよび方法に関する。
【背景技術】
【0002】
被認証者と認証者との間における認証では、一般に、被認証者の識別子(ID)とパスワードの両者を併用して認証成立の決定がなされている。その識別子(ID)とパスワードを併用した認証に当たっては、キーロガー、スキミング、フィッシング等で第3者がパスワードを不正に取得して悪用することによる被害が生じている。上記のパスワード不正使用に対する防止策として、一度の認証ごとにパスワードを変更するワンタイム・パスワードが使用されており、その方式としてLamportが考案したS/Key方式(非特許文献1)や、RSA_SecurIDのトークンを使用した方式などが実用化されている。又、これら上記の方法の問題点を解決したパスワード認証システムと方法が申請・開示されている(特許文献1、2)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2012-068930 パスワード認証システム及び方法、暗号化通信システム及び方法
【特許文献2】特願2011-252771 パスワード認証システム及び方法、暗号化通信システム及び方法
【非特許文献】
【0004】
【非特許文献1】L.Lamport:Password authentication with insecure communication. Commun.ACM,24,11,pp.770‐772;1981
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし従来のパスワード認証では、いずれも被認証者の識別子(ID)とパスワードの両者を併用して認証成立の決定がなされており、悪意のある第三者にとっては、被認証者の識別子(ID)が情報収集の手掛かりになる可能性があり、又被認証者にとっても、自分の固有の番号である識別子(ID)を、そのままでは勿論、たとえそれを暗号化したとしても、通信回線上に直接自分の識別子(ID)を流すことに抵抗感を持つ場合も考えられる。
【0006】
本発明はこのような点に鑑みてなされたものであり、被認証者の識別子(ID)を併用しないで、毎回異なるパスワードである、ワンタイム・パスワードのみを使用してパスワード認証を行うシステムと方法を提供するものである。
【0007】
更に、被認証者にとっては、自身の識別子(ID)を併用しないでワンタイム・パスワードのみを使用して行う認証では、認証者が本当に間違いなく正しく自分を認証しているのかどうか不安になることも考えられ、その問題を解決するための認証者の正しい正確な認証を被認証者が確認するシステムと方法をも提供するものである。
【課題を解決するための手段】
【0008】
前記課題を解決するために、請求項1の本発明では、全ての被認証者側装置ごとに異なるデータ(値)として割り当てられた被認証者側装置の識別子(ID)と、日付、時刻、又は日付と時刻の両者、又は年月日と時刻の両者、を数値化したデータ(値)と、更に必要に応じてそれらに加えてカウント手段が示す自身の認証回数と、を適宜組み合わせて、全ての被認証者側装置で異なるデータ(値)を作成し、これをそのまま、あるいはこのデータ(値)を更に全ての被認証者側装置と認証者側装置とで共用する1対1対応の関数に入力して得た関数の値を、ワンタイム・パスワードとして使用する。こうすることで、常時に全ての被認証者側装置のそれぞれのワンタイム・パスワードが異なるデータ(値)になるように設定することが可能となる。
【0009】
請求項1の本発明は、被認証者側装置の識別子(ID)そのものを直接やりとりしないで認証を行うことを可能としたパスワード認証システムである。
【0010】
尚、請求項5の本発明は、請求項1のシステムで行う方法の発明である。
【0011】
しかし、認証が成立することと、認証者に本当に自分を正しく認証されていると被認証者が確信することと、は別問題であり、被認証者自身が認証者に本当に自分を正しく認証してもらっていることを確信できなければ次の手続きに進められない場合も多い。
【0012】
この問題を解決するために、請求項2の本発明では、被認証者側装置と認証者側装置の双方は予め同定用と確認用の二つのワンタイム・パスワードを作成し、まず、認証者側装置が同定用のワンタイム・パスワードで被認証者側装置を同定した後に、認証者側装置が当該被認証者側装置に確認用のワンタイム・パスワードを返送し、その確認用のワンタイム・パスワードを被認証者側装置が確認することで認証が成立することとした。こうすることで、請求項2の本発明は、認証者側装置が本当に正しく自分を認証していることを被認証者側装置が確認することを可能としたシステムである。
【0013】
尚、請求項6の本発明は、請求項2のシステムで行う方法の発明である。
【0014】
その他の問題としては、被認証者が悪意やいたずらで故意にランダムに入力した数値で、あるいは誤ってワンタイム・パスワードを誤入力した数値で、被認証者が別の被認証者として誤認証されてしまう問題がある。これに対しては、チェックデジット(検査数字)を使用すれば単なる入力ミスによる誤認証の多くを防ぐ効果があるが、それでも万能ではない。
【0015】
この場合に悪意のない単なるミスによる誤入力が誤認証につながったのならば、認証者から返送された確認用のワンタイム・パスワードが被認証者自身が作成した確認用のワンタイム・パスワードと異なることから被認証者自身が自分の誤入力に気づくことで解決できるが、時に、ある被認証者が悪意やいたずらで故意にランダムな数字を入力してそのランダムな数字が偶然に別の被認証者の1人と一致することで別の被認証者として誤認証された場合や、あるいは過失による誤入力がきっかけではあっても認証者の誤認証につけこんで途中から悪意をいだいた場合には、確認用のワンタイム・パスワードをそのまま受け入れさえすれば、誤入力した被認証者が別の被認証者として、あるいは第三者が被認証者の一人として、なりすましを行うことが可能になる。
【0016】
この問題を解決するための方法の一つとして、請求項3の本発明では、被認証者側装置と認証者側装置の双方は予め同定用と確認用と再確認用の三つのワンタイム・パスワードを作成し、まず、同定用のワンタイム・パスワードで認証者側装置が被認証者側装置を同定した後に、認証者側装置が当該被認証者側装置に確認用のワンタイム・パスワードを返送して被認証者側装置は認証者側装置が正しく同定していることを確認し、更に、被認証者側装置は再確認用のワンタイム・パスワードを認証者側装置に再送信して、認証者側装置が、最初の同定用のワンタイム・パスワードによる被認証者側装置の同定が偶然なされたものでないことを再確認し、これで認証が成立することとした。
【0017】
もしも、最初の同定用のワンタイム・パスワードによる認証が被認証者が悪意やいたずらで故意にランダムに入力した数字や文字列を、あるいは誤ってワンタイム・パスワードを誤入力した数字や文字列を、別の被認証者の1人としての認証者による誤認証だった場合に、当該被認証者やいたずら者にとっては認証者の確認用のワンタイム・パスワードをそのまま受け入れるところまではかんたんだが、その、当該被認証者やいたずら者にとっては再確認用のワンタイム・パスワードを再送信することは不可能である。こうすることで、請求項3の本発明は、故意や偶然による誤認証の問題を解決することを可能としたシステムである。
【0018】
尚、請求項7の本発明は、請求項3のシステムで行う方法の発明である。
【0019】
なりすましの問題を解決するためのもう一つの方法として、請求項4の本発明では、認証者が被認証者に確認用のワンタイム・パスワードを返送するときに、正しい正規の確認用のワンタイム・パスワードに加えて、更におとり用の偽のワンタイム・パスワードを含めた、複数のデータ(値)を返送して、その中から被認証者が正しい正規の確認用のワンタイム・パスワードを選ぶことで、認証者は被認証者が正規の確認用のワンタイム・パスワードを知っていることを再確認することができる。こうすることで、請求項4の本発明は、被認証者が認証者の誤認証につけこんで途中から悪意をいだいてなりすましを行うことを高い確率で防止することを可能としたシステムである。
【0020】
尚、請求項8の本発明は、請求項4のシステムで行う方法の発明である。
【0021】
尚、請求項1乃至請求項8の本発明において、1対1対応の関数は十進法の四則計算を用いても良いし、その他のどのような関数を使用してもよい。
【0022】
又、一般に共通鍵方式の暗号方式では、暗号鍵が一定に固定され、元のデータ(平文)のデータ量が1ブロック以内のデータ量であれば、元のデータ(平文)の集合と暗号化したデータ(暗号文)の集合との間に1対1対応が保障されており、これをこの場合の1対1対応の関数として使用することも可能である。
【発明の効果】
【0023】
請求項1および請求項5の本発明によれば、悪意ある盗聴者にとっては情報収集の手がかりになりうる被認証者の識別子(ID)そのものを直接やりとりしないで認証を行うことを可能としたパスワード認証システムや方法を提供することができる。
【0024】
請求項2および請求項6の本発明によれば、請求項1および請求項5の本発明によって被認証者の識別子(ID)そのものを直接やりとりしないで認証を行う場合にも、被認証者が認証者に本当に正しく自分を認証してもらっていることを確認することができるパスワード認証システムや方法を提供することができる。
【0025】
請求項3、請求項4、請求項7、および請求項8の本発明によれば、請求項1および請求項5の本発明によって被認証者の識別子(ID)そのものを直接やりとりしないで認証を行う場合にも、被認証者が認証者に本当に正しく自分を認証してもらっていることを確認することができのみならず、時に、被認証者の過失あるいは第三者の故意の入力の結果、認証者が被認証者を別の被認証者として誤認証することが偶然起こったとしても、当該被認証者がそのまま認証を成立させてなりすましを行うことをも予防することができるパスワード認証システムや方法を提供することができる。
【0026】
尚、ここでは「識別子(ID)を直接やりとりしない」とは、「識別子(ID)をそのまま平文のままでやりとりしないで暗号化した暗号文などの加工したデータにしてやりとりする」という意味ではなく、ワンタイム・パスワードそのものなかに、識別子(ID)そのものの情報も加工して組み込んでそれをワンタイムで変化させてやりとりすると言う意味である。
【図面の簡単な説明】
【0027】
【図1】実施の形態1に記載のパスワード認証システムの構成例を模式的に表すブロック図である。
【図2】実施の形態1に記載の被認証者側装置と認証者側装置における処理課程を示すフローチャートである。
【図3】実施の形態2における各被認証者のワンタイム・パスワードを示した表である。
【図4】実施の形態3における各被認証者の同定用のワンタイム・パスワードを示した表である。
【図5】実施の形態3における各被認証者の確認用のワンタイム・パスワードを示した表である。
【図6】実施の形態2における各被認証者のワンタイム・パスワードの入力方法の変更例を示した表である。
【図7】実施の形態3における各被認証者の同定用のワンタイム・パスワードの入力方法の変更例を示した表である。
【0028】
[実施の形態1]実施の形態1は、請求項3に記載の、被認証者側装置と認証者側装置とからなるパスワード認証システムであって、図1と図2を参照しながら説明する。
本実施例では、被認証者は世界中に展開するある大企業の幹部9000人で、認証者は当該大企業本社のデータベースであると仮定する。全ての被認証者には1人あたり1台の被認証者側装置を割り当てられ、認証者のデータベースには認証者側装置が接続されている。全ての被認証者側装置と認証者側装置はインターネットに接続されている。本実施例では被認証者側装置が認証者側装置に接続する時に本発明のパスワード認証システムを使用することとする。
【0029】
まず、図1には本パスワード認証システムの構成例を模式的にブロック図で表す。本パスワード認証システムは、通信網200(ここではインターネット)を介して相互に通信可能に接続されている被認証者側装置100と認証者側装置300とからなる。本実施例では、被認証者側装置100には、携帯端末装置として、セキュリティ・トークンや携帯型コンピュータや携帯電話などが該当し、認証者側装置300には、サーバやコンピュータなどが該当する。
【0030】
被認証者側装置100と認証者側装置300の双方は、共に記憶部110、310とデータ処理手段120、320とから構成される。
【0031】
双方の記憶部110、310は、例えば主記憶装置、ハードディスク装置、フラッシュメモリ等のように記憶可能な装置や媒体が該当する。
【0032】
被認証者側装置100の記憶部110は、自身のワンタイム・パスワード112と、自身の識別子(ID)113と、自身の認証回数114と、全ての被認証者側装置100と認証者側装置300とで共用する1対1対応の関数115と、各種処理のプロトコール116と、各種処理に必要な各種パラメータ117と、を記憶する。
【0033】
認証者側装置300の記憶部310は、全ての被認証者側装置100のそれぞれに対応するワンタイム・パスワード112の一覧であるワンタイム・パスワード・テーブル312と、全ての被認証者側装置100に予め割り当てた前記識別子(ID)113の一覧である識別子(ID)・テーブル313と、各々の被認証者側装置100ごとの認証回数114の一覧である認証回数・テーブル314と、全ての被認証者側装置100と認証者側装置300とで共用する1対1対応の関数315と、各種処理のプロトコール316と、各種処理に必要な各種パラメータ317と、を記憶する。
【0034】
双方のデータ処理手段120、320は、共に、ワンタイム・パスワード作成手段122、322とカレンダ時計手段123、323とカウント手段124、324と認証決定手段128、328と通信手段129、329とから構成される。
【0035】
被認証者側装置100のワンタイム・パスワード作成手段122は、自身の識別子(ID)113と、カレンダ時計手段123が示す認証当日の年月日を数値化したデータ(値)と、カウント手段124が示す認証当日の認証回数114と、を組み合わせて、全ての被認証者側装置100それぞれで異なる値であるデータ(値)を三つ作成してその三つのデータ(値)を更に全ての被認証者側装置100と認証者側装置300とで共用する1対1対応の関数115に入力して得た関数の値を、同定用と確認用と再確認用の三つのワンタイム・パスワード112として作成して自身の記憶部110に記憶した過去のワンタイム・パスワード112を更新する。
【0036】
認証者側装置300のワンタイム・パスワード作成手段322は、識別子(ID)・テーブル313と、カレンダ時計手段323が示す認証当日の年月日を数値化したデータ(値)と、認証回数・テーブル314と、を使用して、各々の被認証者装置100のワンタイム・パスワード作成手段122とそれぞれ同一の方法で、当該被認証者側装置100に対応する同定用と確認用と再確認用の三つずつのワンタイム・パスワードを作成し、更に同様にして全ての被認証者側装置のそれぞれに対応する同定用と確認用と再確認用の三つずつのワンタイム・パスワードの一覧であるワンタイム・パスワード・テーブル312を作成して自身の記憶部310に記憶した過去のワンタイム・パスワード・テーブル312を更新する。
【0037】
ここでは全ての被認証者側装置100と認証者側装置300とで共用する1対1対応の関数115、315として、知られた暗号方式であるアメリカ合衆国の国家新標準暗号規格で、1ブロックが128ビットのブロック暗号方式であるAES(Advanced Encryption Standard)を使用する。又、この本実施例のシステムではAES暗号の鍵はこのシステム全体で一つの任意の値に固定することとすると、1ブロックが128ビットのブロック暗号方式であるAESでは128ビット以下のデータ量の平文を暗号化して128ビットの暗号文を作成した場合、平文と暗号文は1対1に対応する。従って、数字やアルファベットの1文字は8ビットのデータ量で指定することができるため、16文字(=128ビット)以下の数の数字やアルファベットによるデータの平文をAESで暗号化して128ビットの暗号文を作成した場合、平文と暗号文は1対1に対応する。
【0038】
又、ここではAESを使用した暗号文の表記法として、平文であるPをAESを使用して暗号化した暗号文をAES[P]と表記することとする。
【0039】
本実施例では、識別子(ID)113としては、9000人の幹部にランダムに8桁の数字か大文字か小文字のアルファベットによる識別子(ID)113が重複しないように割り当てられており、幹部は互いに各々の識別子(ID)113を知らないで、9000人の幹部のそれぞれの識別子(ID)113は被認証者である幹部本人と本社のデータベースのみが知っていることとする。又、本実施例での1日の認証回数の上限を33回に制限することとする。
【0040】
本実施例での被認証者側装置100のワンタイム・パスワード作成手段122でのワンタイム・パスワード122の作成方法としては、識別子(ID)113としてabcdefghが割り当てられた被認証者側装置100の西暦20ij年kl月mn日における第op回めの認証に用いるワンタイム・パスワード112の元になる「全ての被認証者ごとに異なるデータ(値)」を「abcdefghijklmnop」と取り決めて、更に、このデータ(値)を平文としてこの平文を1対1対応の関数115であるAESを用いて暗号化した暗号文であるデータ(値)であるAES[abcdefghijklmnop]をワンタイム・パスワード112とすると取り決める。ただし、ここで「a、b、c、d、e、f、g、h」はそれぞれ1桁の数字又は大文字か小文字のアルファベットで、「i、j、k、l、m、n、o、p」はそれぞれ1桁の数字で、「a、b、c、d、e、f、g、h、i、j、k、l、m、n、o、p」は全てそれぞれ8ビットのデータとする。
【0041】
一方、認証者側装置300では各々の被認証者側装置100のそれぞれのワンタイム・パスワード作成手段122がワンタイム・パスワード112を作成するのと同一の方法で、当該被認証者側装置100のそれぞれに対応するワンタイム・パスワードを作成して、全ての被認証者側装置に対応するワンタイム・パスワードの一覧をワンタイム・パスワード・テーブル312として作成する。
【0042】
ここでは上述のように本実施例での一日の認証回数の上限を33回と取り決め、「全ての被認証者ごとに異なるデータ(値)」を作成する元になる認証回数114としては、同定用のワンタイム・パスワードの認証回数114は実際の認証当日の認証回数を2桁の数値で示したものを、確認用のワンタイム・パスワードの認証回数114には実際の認証当日の認証回数に33を加算した2桁の数値を、再確認用のワンタイム・パスワードの認証回数114には実際の認証当日の認証回数に66を加算した2桁の数値を、それぞれ使用するとする。すると、例えば識別子(ID)111として4k5LM37pが割り当てられた被認証者側装置の2012年2月4日の26回めの認証の際の、同定用のワンタイム・パスワードはAES[4k5LM37p12020426]、確認用のワンタイム・パスワードはAES[4k5LM37p12020459]、再確認用のワンタイム・パスワードはAES[4k5LM37p12020492]で表されるそれぞれ2進法128ビット(16バイト)のデータ(値)になる。
【0043】
上述のように構成されたパスワード認証システムにおいて実行される手続き例について図2を参照しながら説明する。図2の左側には被認証者側装置の手続き例を表し、右側には認証者側装置の手続きを表す。尚、これは2012年2月4日に行われた26回めの認証手続き例であるとする。
【0044】
まず、被認証者側装置が認証者側装置に認証要求信号を送信する[ステップS11]、本実施例では、例えば、インターネットのホームページの接続ボタンをクリックすることなどを行うこととする。認証者側装置は被認証者側装置から認証要求信号を受信すると[ステップS31]、当該被認証者側装置に対してパスワードの送信を要求する信号を送信する[ステップS32]。
被認証者側装置は認証者側装置からパスワードの送信を要求する信号を受信すると[ステップS12]、まず、自身の記憶部に記憶した同定用のワンタイム・パスワードとしてAES[4k5LM37p12020426]を認証者側装置に送信する[ステップS13]。
認証者側装置は被認証者側装置から同定用のワンタイム・パスワードとしてAES[4k5LM37p12020426]を受信すると[ステップS33]、認証決定手段では、この受信したデータ(値)を自身の記憶部のワンタイム・パスワード・テーブルに照会して、両者が一致する同定用のワンタイム・パスワードを有する被認証者側装置を、認証を依頼した、識別子(ID)が4k5LM37pの被認証者側装置である、と同定し[ステップS34]、次に、当該被認証者側装置に対してワンタイム・パスワード・テーブルとして記憶された当該被認証者側装置100に対応する確認用のワンタイム・パスワードとしてAES[4k5LM37p12020459]を送信する[ステップS35]
被認証者側装置は認証者側装置から確認用のワンタイム・パスワードとしてAES[4k5LM37p12020459]を受信すると[ステップS15]、認証決定手段では、この受信したデータ(値)を自身の記憶部に記憶した確認用のワンタイム・パスワードと比較して、両者が一致したことで、認証者側装置が正しく被認証者側装置を同定したことを確認し[ステップS16]、次に、自身の記憶部に記憶した再確認用のワンタイム・パスワードとしてAES[4k5LM37p12020492]を認証者側装置に送信する[ステップS17]。
認証者側装置は被認証者側装置から再確認用のワンタイム・パスワードとしてAES[4k5LM37p12020492]を受信すると[ステップS37]、認証決定手段では、この受信したデータ(値)を自身の記憶部のワンタイム・パスワード・テーブルに照会して、両者が一致する再確認用のワンタイム・パスワードを有する被認証者側装置を、識別子(ID)が4k5LM37pの被認証者側装置であることを再確認し[ステップS38]、これにより、最初の認証が故意や偶然による誤認証でなかったことが確定し、以上で認証が成立する。
【0045】
本実施例では1つのワンタイム・パスワードの量は0から9までの数字とaからfまでのアルファベットを用いた16進法で表せば32桁で、自動入力の方が楽ではあるものの、手入力でも実用可能である。又、本システムの安全性の程度はAESの安全性に依存しており、それはすなわち現時点では十分な安全性を備えていると考えられる。又、本システムの導入は極めて容易で経済的でもある。しかし、本システムではAESの鍵は、同一時期では全ての被認証者装置100と認証者装置300で同一にする必要があり、その結果は、すなわち被認証者装置100の1つに不法に侵入されてAESの鍵を解析されてしまえば全ての本システムの安全性が損なわれてしまうという本システムの弱点となる。これに対しては、本実施例のような状況であれば、信頼できる社員が定期的にAESの鍵を持ち運ぶことも可能で、頻繁にAESの鍵を変更すれば十分な安全性の確保は可能であると思われる。
【0046】
[実施の形態2]実施の形態2は、請求項5に記載のパスワード認証方法の実施例で、図3を参照しながら説明する。
本実施例では、被認証者は6人の会社員で、毎日会社に出社して特別管理区域に入るときに特別管理区域の専用扉でセキュリティチェックを受ける。本実施例では、この特別管理区域の専用扉が認証者に相当する。この認証に際して今回請求項5で発明したワンタイム・パスワードを使用することとする。いま、6人の会社員の氏名を、それぞれ、A、B、C、D、E、Fとし、それぞれの会社員の固有の社員番号(ID=識別子)を、それぞれ、2、3、5、6、8、9とする。
本実施例ではそれぞれの会社員は出社日の日付の数値に自分の固有の社員番号(ID=識別子)の数値を加算した数値の1桁めの数字をその日のワンタイム・パスワードとすると取り決めをする。すると、図3に示したように、X年Y月1日のA、B、C、D、E、Fそれぞれのワンタイム・パスワードはそれぞれ3、4、6、7、9、0で、X年Y月2日のA、B、C、D、E、Fそれぞれのワンタイム・パスワードはそれぞれ4、5、7、8、0、1で、以下同様に、X年Y月5日のA、B、C、D、E、Fそれぞれのワンタイム・パスワードはそれぞれ7、8、0、1、3、4となる。
会社のデータベースにはそれぞれの会社員の固有の社員番号(ID=識別子)とパスワード作成方法が記憶されており、それを用いてこの特別管理区域の専用扉は被認証者である6人の会社員のそれぞれを認証することができる。
【0047】
[実施の形態3]実施の形態3は、請求項6に記載のパスワード認証方法の実施例で、図4と図5を参照しながら説明する。この実施例は、実施の形態2と同様の会社および会社員で構成され、この認証に際して今回請求項6で発明したワンタイム・パスワードを使用することとする。
本実施例ではそれぞれの会社員の同定用と確認用の二つのワンタイム・パスワードはそれぞれ2桁の数字とする。そしてワンタイム・パスワードの作成方法としては、同定用のワンタイム・パスワードの1桁めは、実施の形態2のワンタイム・パスワードの数字に当該会社員の固有の社員番号(ID=識別子)の数値と出社日の日付の月の数値とを加算した数値の1桁めの数字、同定用のワンタイム・パスワードの2桁めは実施の形態2のワンタイム・パスワードの数字、又、確認用のワンタイム・パスワードの1桁めは実施の形態2のワンタイム・パスワードの数字、確認用のワンタイム・パスワードの2桁めは実施の形態2のワンタイム・パスワードの数字に数値の12と当該会社員の固有の社員番号(ID=識別子)の数値とを加算し更にそこから出社日の日付の月の数値を減算した数値の1桁めの数字、とすると取り決めをする。すると、図4に示すようにX年3月1日のA、B、C、D、E、Fそれぞれの同定用のワンタイム・パスワードはそれぞれ38、40、64、77、90、02で、X年3月2日のA、B、C、D、E、Fそれぞれの同定用のワンタイム・パスワードはそれぞれ49、51、75、87、01、13で、以下同様に、X年3月5日のA、B、C、D、E、Fそれぞれの同定用のワンタイム・パスワードはそれぞれ72、84、08、10、34、46となり、図5に示すようにX年3月1日のA、B、C、D、E、Fそれぞれの確認用のワンタイム・パスワードはそれぞれ43、64、06、27、69、80で、X年3月2日のA、B、C、D、E、Fそれぞれの確認用のワンタイム・パスワードはそれぞれ54、75、17、38、70、91で、以下同様に、X年3月5日のA、B、C、D、E、Fそれぞれの確認用のワンタイム・パスワードはそれぞれ87、08、40、61、03、24となる。
【0048】
この実施例では、同定用のワンタイム・パスワードを使用してこの特別管理区域の専用扉が被認証者である会社員を同定すると、次に認証者が作成したワンタイム・パスワード・テーブルのなかの、図5に示す各々の会社員の確認用のワンタイム・パスワードのなかから当該被認証者の確認用のワンタイム・パスワードが選別されて専用扉の表示部に表示され、当該会社員は自分が正しく認証されたことを確認して確認のボタンを押すことで認証が成立する。
【0049】
実施の形態1では1対1対応の関数としてAESを使用したが、他のブロック暗号方式を使用してもよいし、普通の四則計算を使用してもよい。システムに求められる安全性の程度と実用可能なワンタイム・パスワードの量とから、そのシステムに適した1対1対応の関数を決定することができる。
【0050】
実施の形態2と3では、原理を分かりやすく説明するために、認証回数を1日1回に限定し、更にワンタイム・パスワードには極めて少ない桁数の数字を用いたが、このままでは比較的短期間に同じワンタイム・パスワードが繰り返されるし、特に実施の形態2ではワンタイム・パスワードの桁数が少なすぎて何も知らない第三者でも思いつきの数字を入力するだけで正規の会社員のうちの誰かに認証されて特別管理区域に入ることができてしまう可能性が極めて高く、実用的ではない。
【0051】
実施の形態2と3の実用化への改良案としては、識別子(ID)やワンタイム・パスワードの桁数をもっと大きくすることでセキュリティと実用性の向上を図ることである。実施の形態2と3では、実施の形態1のように、実際の被認証者の人数よりも識別子(ID)の桁を格段に大きくして、該当被認証者の存在しない空の識別子(ID)を多くすることで、より実際的にすることができる。すなわち、被認証者である社員が6人でも、例えば識別子(ID)は6〜8桁にして、更にそれぞれの桁ごとに日付や月の数値や固有の社員番号(ID=識別子)と別々の演算をすることなどにより、比較的短期間に同じワンタイム・パスワードが繰り返されることのないようにすることで、実施の形態2と3は認証回数を1日1回に限定できる環境であればこの原理のままのでも実用化が可能になる。
【0052】
実施の形態2と3の実用化への改良のもう一つの方法としては、ワンタイム・パスワードの入力方法の変更があげられる。例えば実施の形態2では、被認証者である会社員は任意に6〜8桁の数字を入力するが、自分の実際のワンタイム・パスワードの数字は4桁めの数字とする(右から4番めの数字)という方法に変更すると、例えばX年Y月1日およびX年Y月2日の各々の会社員のワンタイム・パスワードの入力例は図6のようになる。
【0053】
同様に、実施の形態3では、被認証者である会社員は任意に6〜8桁の数字を入力するが、実際の自分のワンタイム・パスワードの1桁めの数字は入力するワンタイム・パスワードの1桁め(1番右の数字)に、実際の自分ワンタイム・パスワードの2桁めの数字は入力する数値のうち2番めに大きい桁(1番左から2つめの数字)とするという方法に変更すると、例えば各々の会社員の同定用のワンタイム・パスワードの入力例は図7のようになる。尚、確認用のワンタイム・パスワードは実際の2桁の数字のままでもよい。
【0054】
又、特に手入力を想定する場合で、単なる入力ミスによる誤認証を防ぐためには、チェックデジット(検査数字)の併用は有用と思われる。
【0055】
又、本発明では、ワンタイム・パスワードは、予め被認証者と認証者の双方それぞれで作成しておいて、その後にパスワード認証を行ったが、被認証者はパスワード認証を行う時にワンタイム・パスワードを作成するようにしてもよいし、認証者はある被認証者の認証依頼を受けたあとで、ワンタイム・パスワード・テーブルを作成するようにしてもよい。
【0056】
又、請求項4および請求項8では、おとり用の偽ワンタイム・パスワードは、認証者が被認証者から確認用のワンタイム・パスワードを受信してから作成したが、予め作成しておいてもよい。
【0057】
なお、本発明を実施するための最良の形態について前記のように3つの実施例を説明したが、本発明は当該形態になんら限定されるものではなく、本発明の要旨を逸脱しない範囲内において、種々なる形態で種々の認証分野で実施することができる。
【符号の説明】
【0058】
100 被認証者側装置110、310 記憶部
112 ワンタイム・パスワード
113 識別子(ID)
114 認証回数
115、315 1対1対応の関数
116、316 各種処理のプロトコール
117、317 各種パラメータ
120、320 データ処理手段
122、322 ワンタイム・パスワード作成手段
123、323 カレンダ時計手段
124、324 カウント手段
128、328 認証決定手段
129、329 通信手段
200 通信網
300 認証者側装置
312 ワンタイム・パスワード・テーブル
313 識別子(ID)・テーブル
314 認証回数・テーブル