特許第6286132号(P6286132)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > セコム株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ セコム株式会社の特許一覧

<>
  • 特許6286132-照合システム 図000002
  • 特許6286132-照合システム 図000003
  • 特許6286132-照合システム 図000004
  • 特許6286132-照合システム 図000005
  • 特許6286132-照合システム 図000006
  • 特許6286132-照合システム 図000007
  • 特許6286132-照合システム 図000008
  • 特許6286132-照合システム 図000009
  • 特許6286132-照合システム 図000010
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6286132
(24)【登録日】2018年2月9日
(45)【発行日】2018年2月28日
(54)【発明の名称】照合システム
(51)【国際特許分類】
   G06F 21/34 20130101AFI20180215BHJP
   G06K 17/00 20060101ALI20180215BHJP
【FI】
   G06F21/34
   G06K17/00 003
【請求項の数】3
【全頁数】15
(21)【出願番号】特願2013-72762(P2013-72762)
(22)【出願日】2013年3月29日
(65)【公開番号】特開2014-197321(P2014-197321A)
(43)【公開日】2014年10月16日
【審査請求日】2016年3月17日
(73)【特許権者】
【識別番号】000108085
【氏名又は名称】セコム株式会社
(72)【発明者】
【氏名】細田 将
【審査官】 青木 重徳
(56)【参考文献】
【文献】 特開2008−015877(JP,A)
【文献】 特開平11−282982(JP,A)
【文献】 国際公開第2013/012120(WO,A1)
【文献】 特開2004−355332(JP,A)
【文献】 特開2007−323483(JP,A)
【文献】 楫 勇一 ほか,パスワード事前宣言による個人認証法−磁気カードを用いた安全な個人認証法,電子情報通信学会技術研究報告,日本,社団法人電子情報通信学会[オンライン],1995年12月15日,Vol.95,No.423,p.21−28,[平成26年 2月24日検索],インターネット,URL,<http://ci.nii.ac.jp/els/110003297047.pdf?id=ART0003723813&type=pdf&lang=jp&host=cinii&order_no=&ppv_type=0&lang_sw=&no=1393216512&cp=>
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/34
G06K 17/00
(57)【特許請求の範囲】
【請求項1】
順次パスワードを生成するパスワード生成部を有するサーバ装置と記憶媒体と、利用者端末とから構成され、前記利用者端末が前記記憶媒体に近づけられることによって当該記憶媒体から読み出されるパスワードを前記サーバ装置にて照合する照合システムであって、
前記サーバ装置は、前記利用者端末が近づけられた前記記憶媒体に対して前記パスワード生成部が生成した新たなパスワードを当該利用者端末に送信するパスワード送信部と、前記新たなパスワードを前記記憶媒体に対応付けて順次記憶するパスワード記憶部と、前記利用者端末から受信したパスワードと前記パスワード記憶部のパスワードとを照合するパスワード照合部とを更に備え、
前記利用者端末は、前記記憶媒体に近づけられたときに、当該記憶媒体から当該記憶媒体が記憶しているパスワードを読み出すとともに当該記憶媒体のパスワードを前記サーバ装置から受信した当該記憶媒体に対する前記新たなパスワードに更新する媒体更新部と、前記サーバ装置に前記媒体更新部が当該記憶媒体から読み出したパスワードによる照合を要求する照合要求部とを備え、
前記パスワード照合部は、前記記憶媒体から読み出されて前記利用者端末から受信したパスワードと、当該記憶媒体に対応付けて前記パスワード記憶部に記憶されているパスワードのうち最新に照合OKとなったパスワードの次に記憶されているパスワードとを照合することを特徴とする照合システム。
【請求項2】
順次パスワードを生成するパスワード生成部を有する利用者端末と、記憶媒体と、サーバ装置とから構成され、前記利用者端末が前記記憶媒体に近づけられることによって当該記憶媒体から読み出されるパスワードを前記サーバ装置にて照合する照合システムであって、
前記サーバ装置は、前記利用者端末が近づけられた前記記憶媒体に対して生成されて当該利用者端末から受信した新たなパスワードを当該記憶媒体に対応付けて順次記憶するパスワード記憶部と、前記利用者端末から受信したパスワードと前記パスワード記憶部のパスワードとを照合するパスワード照合部とを備え、
前記利用者端末は、前記記憶媒体に近づけられたときに、当該記憶媒体から当該記憶媒体が記憶しているパスワードを読み出すとともに当該記憶媒体のパスワードを当該記憶媒体に対して前記パスワード生成部が生成した前記新たなパスワードに更新する媒体更新部と、前記サーバ装置に前記媒体更新部が前記記憶媒体から読み出したパスワードによる照合を要求するとともに前記新たなパスワードを前記サーバ装置に送信する照合要求部とを更に備え、
前記パスワード照合部は、前記記憶媒体から読み出されて前記利用者端末から受信したパスワードと、当該記憶媒体に対応付けて前記パスワード記憶部に記憶されているパスワードのうち最新に照合OKとなったパスワードの次に記憶されているパスワードとを照合することを特徴とする照合システム。
【請求項3】
前記利用者端末の前記媒体更新部は、前記サーバ装置に指定された領域IDに対応する前記記憶媒体の領域のパスワードの更新および読出しを実行し、
前記サーバ装置の前記パスワード記憶部は、照合OKとなったパスワードによる照合を要求した利用者端末と指定した領域ID前記新たなパスワードに対応付けて記憶し、
前記サーバ装置の前記パスワード照合部は、照合要求をした利用者端末とは対応していないパスワードを前記パスワード記憶部から選定し、当該パスワードに対応する領域IDを照合要求した利用者端末に指定し、かかる照合要求に対して当該選定したパスワードを用いて照合する請求項1又は請求項2に記載の照合システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ワンタイムパスワード(OTP)を利用する照合システムに関する。
【背景技術】
【0002】
従来、ワンタイムパスワード認証を利用する場合、照合側から認証要求する利用者に英数字や記号を組み合せて作成した2次元マトリクスを予め配布しておき、認証要求があると照合側からランダムにマトリクス中のいくつかの位置を指定して、応答として正しい組み合わせが得られたことを照合して実現する手法が知られている。
【0003】
また、照合側(サーバ)と認証要求側(クライアント)の両方に同じタイミングで同じパスワードを生成できるワンタイムパスワード生成器を用意する手法が知られている(特許文献1)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−051348号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、1つ目の手法では、配布した2次元マトリクスが持つ個々の要素の値は不変で、生成できる組み合わせは有限である。また、2つ目の手法では、サーバとクライアントの両方にワンタイムパスワード生成器を用意し、ワンタイムパスワード生成器をカウンタや時計などで同期させる必要がある。
【0006】
そこで、本発明は、書き換え可能な記憶媒体を介在させてワンタイムパスワードを配布する照合システムを提供することを目的とする。
【課題を解決するための手段】
【0007】
かかる課題を解決するために、本発明は、順次パスワードを生成するパスワード生成部を有し、利用者端末が記憶媒体から読み出したパスワードをサーバ装置にて照合する照合システムであって、前記利用者端末は、前記記憶媒体に記憶されるパスワードを順次更新および読出しを行う媒体更新部と前記サーバ装置に照合要求をする照合要求部とを備え、前記サーバ装置は、前記パスワードを順次記憶するパスワード記憶部と、前記照合要求部から取得したパスワードと前記パスワード記憶部のパスワードとを照合するパスワード照合部を備え、前記パスワード照合部は、前記パスワード記憶部に記憶されているパスワードから最新に照合OKとなったパスワードの次に生成されたパスワードを用いて照合することを特徴とする照合システムを提供する。これにより、携帯端末が照合用に現在書き込まれているワンタイムパスワードを読み出した後、次回以降の照合用に新たなワンタイムパスワードを記憶媒体に上書きすることで、記憶媒体経由でワンタイムパスワードを配布することができる。
【0008】
かかる照合システムにおいて、前記利用者端末の前記媒体更新部は、前記サーバ装置に指定された領域IDに対応する前記記憶媒体の領域のパスワードの更新および読出しを実行し、
前記サーバの前記パスワード記憶部は、照合OKとなった利用者端末と指定した領域IDを前記次に生成されたパスワードに対応付けて記憶し、前記サーバ装置の前記パスワード照合部は、照合要求をした利用者端末とは対応していないパスワードを前記パスワード記憶部から選定し、当該パスワードに対応する領域IDを照合要求した利用者端末に指定し、かかる照合要求に対して当該選定したパスワードを用いて照合するのが好ましい。これにより、記憶媒体にワンタイムパスワードの書き込みを行った携帯端末自身が同じワンタイムパスワードを使用することを禁止できるため、ワンタイムパスワードの陳腐化を防止することができる。
【0009】
また、かかる照合システムにおいて、前記媒体更新部は、前記パスワード照合部にて照合OKしたことを条件に、当該パスワードの次に生成されたパスワードにて更新するのが好ましい。
【0010】
また、かかる照合システムにおいて、前記パスワード生成部は、前記パスワード照合部にてパスワードの照合OKを条件に、次のパスワードを生成するのが好ましい。
【発明の効果】
【0011】
本発明によれば、書き換え可能な記憶媒体を介してワンタイムパスワードを授受することができる。
【図面の簡単な説明】
【0012】
図1】本発明による認証システムを説明するための図である。
図2】携帯端末の構成図である。
図3】記憶媒体の構成図である。
図4】認証サーバ装置の構成図である。
図5】記憶媒体の記憶部を説明するための図である。
図6】認証サーバ装置の記憶部を説明するための図である。
図7】携帯端末の処理フローチャートである。
図8】認証サーバ装置の処理フローチャートである。
図9】携帯端末により書き込みが行われた記憶媒体の記憶部を説明するための図である。
【発明を実施するための形態】
【0013】
以下、本発明に係る認証システムについて、図を参照しつつ説明する。
図1は、本発明による認証システムの全体構成を模式的に示した図である。図1に示す認証システム1は、利用者が携帯して認証を受ける際に使用する携帯端末2(2−1、2−2)と、ワンタイムパスワードを記憶する記憶媒体3と、ワンタイムパスワード認証を行う認証サーバ装置4と、認証サーバ装置4の認証結果を利用して記憶媒体3と対応付けられた所定のサービスを利用者に提供するサービス提供装置5とから構成される。
【0014】
この認証システムにおいて、携帯端末2の利用者が記憶媒体3に対応付けられたサービス提供装置5が提供するサービスを利用したいとき、まず、利用者は携帯端末2を記憶媒体3に近づけ、記憶媒体3の媒体IDを読み出し、読み出した媒体IDを認証サーバ装置4へ送信する。媒体IDを受信した認証サーバ装置4は、認証用に携帯端末2が媒体IDで識別される記憶媒体3に記憶されているワンタイムパスワードを読み出すために必要な情報と、携帯端末2が記憶媒体3に書き込むワンタイムパスワードを携帯端末2へ送信する。
【0015】
次に、携帯端末2は、認証サーバ装置4から受信した情報を用いて記憶媒体3に記憶されているワンタイムパスワードを読み出し、認証サーバ装置4から受信したワンタイムパスワードを記憶媒体3に書き込む。そして、携帯端末2は、記憶媒体3から読み出したワンタイムパスワードを認証サーバ装置4へ送信する。
【0016】
認証サーバ装置4は、携帯端末2から受信したワンタイムパスワードと認証サーバ装置4が記憶している前回記憶媒体3へ書き込ませたワンタイムパスワードとを照合し、照合OKであれば、サービス提供装置5にサービス提供をするように指示を送信する。
【0017】
図1において、記憶媒体3を介して、携帯端末2−1と携帯端末2−2がワンタイムパスワードの読み出しと書き込みを行うと、携帯端末2−1が書き込んだワンタイムパスワードを携帯端末2−2が読み出して認証に使用するということになり、記憶媒体3と認証サーバ装置4の間で異なる経路でワンタイムパスワードの書き込みと読み出しが行われる。
【0018】
まず、図2を参照して、携帯端末2について説明する。
携帯端末2は、例えばNFC(Near Field Communication)機能を搭載したスマートフォンやタブレットであって、入力部21、表示部22、処理部23、記憶部24、記憶媒体3とデータの授受を行う第1通信部25、認証サーバ装置4とデータの授受を行う第2通信部26を含んで構成される。
【0019】
入力部21は、携帯端末2を操作するためのコマンドやデータを利用者が入力するための入力手段であり、例えばキーパッド、タッチパネル等を含む。入力部21により、利用者からのサービス要求開始や認証要求の指示を受け付け、必要に応じて利用者認証のための利用者名・パスワードなどの入力も行われる。
【0020】
表示部22は、携帯端末2で扱われる情報等を利用者に表示する出力手段であり、例えば液晶ディスプレイ等の画像表示装置を含む。表示部22により、利用者に対して認証結果の表示も行われる。
【0021】
記憶部24は、ROM、RAM、磁気ハードディスク等の記憶装置であり、各種プログラムや各種データを記憶し、端末情報である端末ID241と認証情報242を記憶する。
端末ID241は、認証サーバ装置4が携帯端末2を識別する識別情報である。認証情報242は、認証サーバ装置4が携帯端末2の端末認証を行う場合に使用する秘密情報である。
【0022】
処理部23は、携帯端末2の各部を統合的に制御する構成部であり、記憶部24に記憶されている端末プログラムを処理するCPU等を備える。このため、認証要求手段231と媒体更新手段232と照合要求手段233を有する。
【0023】
認証要求手段231は、第1通信部25を介して記憶媒体3から媒体IDを読み出す。また、認証要求手段231は、記憶媒体3から読み出した媒体IDと記憶部24から読み出した端末ID241と認証情報242からなる端末情報を、第2通信部26を介して認証サーバ装置4へ送信し、認証要求を行う。また、認証要求手段231は、認証要求の結果を、第2通信部26を介して認証サーバ装置4から受信する。認証OK応答には、ワンタイムパスワードと領域ID及び認証キーが含まれている。
【0024】
媒体更新手段232は、認証サーバ装置4から認証OK応答として受信した記憶媒体3の領域IDに書き込まれているワンタイムパスワードを読み出すとともに、当該領域に新たなワンタイムパスワードで上書きする。なお、本実施の形態では、認証サーバ装置4が生成したワンタイムパスワードを受信するようにしたが、携帯端末にて生成してもよい。その場合は、携帯端末に設けたパスワード生成器で生成したワンタイムパスワードを記憶媒体3へ書き込んだ後、書き込んだワンタイムパスワードを新たなワンタイムパスワードとして認証サーバ装置4へ送信し、記憶させればよい。
【0025】
照合要求手段233は、記憶媒体3から読み出したワンタイムパスワードを、第2通信部26を介して認証サーバ装置4へ送信し、ワンタイムパスワードの照合を要求する。また、照合要求手段233は、照合結果を、第2通信部26を介して認証サーバ装置4から受信し、照合結果を表示部22に表示させる。
【0026】
第1通信部25は、記憶媒体3とデータの授受を行う通信インタフェースである。そのため、記憶媒体3がNFCタグであれば非接触の近距離無線通信部となり、記憶媒体3がSDカードであればSDカードリーダライタ部となる。この第1通信部25を介して、認証要求手段231は、記憶媒体3に対し、媒体ID321の読み出しを行う。また、この第1通信部25を介して、媒体更新手段232は、記憶媒体3に対し、ワンタイムパスワードの読み出しと書き込みを行う。
【0027】
第2通信部26は、認証サーバ装置4とデータの授受を行う通信インタフェースである。そのため、第2通信部26は、有線通信又は無線通信に対応し、インターネット等の広域通信網あるいは閉域通信網などのIP網、あるいは携帯電話通信網の各種ネットワークを介して認証サーバ装置4と通信してもよい。
【0028】
次に、図3を参照して、記憶媒体3について説明する。
記憶媒体3は、例えばNFCタグやSDカードなどの記憶媒体であり、図3に示すように、通信部31、記憶部32、処理部33を含んで構成される。
【0029】
通信部31は、携帯端末2との通信を行うインタフェースである。携帯端末2からの読み出し、書き込みは、通信部31を介して行われる。通信部31は、記憶媒体3がNFCタグであれば非接触の近距離無線通信部となり、記憶媒体3がSDカードであれば携帯端末2側のSDカードリーダライタとの接触点となる。以降の説明では、記憶媒体3がNFCタグである場合について説明する。
【0030】
記憶部32は、媒体ID321とワンタイムパスワード記憶領域322から構成される。媒体ID321は、記憶媒体3を特定する識別子を記憶する領域である。携帯端末2から書き込み不可であるのが好ましい。
【0031】
ワンタイムパスワード記憶領域322は、携帯端末2から読み出し書き込み可能な領域であり、複数のワンタイムパスワードの記憶を行うことができる。複数のワンタイムパスワードの記憶が可能な場合、記憶媒体3を複数の携帯端末2で利用し、利用者や携帯端末2ごとにワンタイムパスワードの読み出しと書き込みに用いる領域を分けて指定することが可能になる。また、セキュリティ性を向上させるために、同じ携帯端末2が書き込みと読み出しを連続して行う行為(すなわち、携帯端末2が書き込んだワンタイムパスワードを同じ携帯端末2が読み出す行為)を禁止し、他の携帯端末2が書き込んだワンタイムパスワードのみ読み出し可能にしたいときに、利用可能なワンタイムパスワードを確保しやすくなる。これは、複数の携帯端末2で利用している中で、ワンタイムパスワード記憶領域322に記憶できるワンタイムパスワードが多ければ、他の携帯端末2が書き込んだ読み出し可能なワンタイムパスワードを全て利用して、サービスを利用できなくなるという状況を発生しにくくすることができる。
【0032】
ここで、図5に記憶部32の例を示す。図5では、媒体ID321には“1111”が設定されている。そして、ワンタイムパスワード記憶領域322は、全部で8つのワンタイムパスワードが記憶可能であり、領域IDとワンタイムパスワード及び認証キーを対応づけて記憶している。ワンタイムパスワードは“領域ID”にて特定される。認証キーは、ワンタイムパスワードの読み出し保護を担う保護機構の一部として用いる。図5では、“領域ID”が“1”の“ワンタイムパスワード”は“X”で、“認証キー”には“mmm”が設定されている。なお、初期状態は、記憶媒体3とサービス提供装置5との関連付けを行う際に専用端末で書き込む等何らかの方法で書き込まれる。そして、その同じ内容が後述する認証サーバ装置4の記憶部41に記憶される。
【0033】
処理部33は、携帯端末2の要求に従って記憶部32の読み出し、書き込みの処理を行う。保護機構は、読み出し要求時に正しい認証キーが提示されたときのみ読み出しを許可することにより、携帯端末2による記憶部32への読み出し・書き込みを制限する。
【0034】
次に、図4を参照して、認証サーバ装置4について説明する。
認証サーバ装置4は、携帯端末2に対してワンタイムパスワード認証を行い、記憶媒体3と対応付けられたサービス提供装置5へ認証結果を提供するサーバであり、図4に示すように、記憶部41、処理部42、通信部43を含んで構成される。
【0035】
記憶部41は、ROM、RAM、磁気ハードディスク等の記憶装置であり、各種プログラムや各種データを記憶し、端末情報DB411とワンタイムパスワードDB412を記憶する。また、記憶媒体3とサービス提供装置5の対応関係についても記憶している。
【0036】
端末情報DB411は、認証サーバ装置4が携帯端末2の端末認証を行う場合に使用する認証情報242を携帯端末2の端末ID241を対応付けた端末情報を携帯端末2ごとに記憶している。
【0037】
ワンタイムパスワードDB412は、記憶媒体3に対して発行したワンタイムパスワードを記憶しているデータベースである。ワンタイムパスワードDB412は、記憶媒体3のワンタイムパスワード記憶領域322の現在状況を記憶している。
【0038】
ここで、図6に記憶部41の例を示す。図6では、端末情報DB411は、端末ID241と認証情報242が対応づけられて記憶されている。本例では3つの端末が管理されている。“端末ID”が“2a”の“認証情報”は“aaa”であり、“端末ID”が“2b”の“認証情報”は“bbb”である。また、ワンタイムパスワードDB412では、媒体IDと発行OTPが対応付けられて記憶されている。発行OTPは、記憶媒体3のワンタイムパスワード記憶領域322の領域IDに対応させた番号(#)毎に、OTPと認証キー、どの携帯端末2にOTPを送信したかを示す情報である送信先、当該OTPが有効か否かを示す有効フラグとが対応付けられている。有効フラグが有効(本例では1=有効、0=無効)の場合、媒体IDで識別される記憶媒体3の記憶部32のワンタイムパスワード記憶領域322とOTPと認証キーのセットは同じ状態に保たれていることになる。図6では、“媒体ID”が“1111”の“#1”の領域(すなわち、“媒体ID”が“1111”のワンタイムパスワード記憶領域322の“領域ID”が“1”の領域)に、“OTP”が“X”、“認証キー”が“mmm”の組を設定し、“端末ID”が“2a”の携帯端末2にその書き込みを行わせ、“有効フラグ”が“1”で現在OTPが有効な状態であることが示されている。
【0039】
処理部42は、認証サーバ装置4の各部を統合的に制御する構成部であり、記憶部41に記憶されているサーバプログラムを処理するCPU等を備える。このため、端末認証手段421とOTP生成手段422とOTP送信手段423とOTP照合手段424を有する。
【0040】
端末認証手段421は、通信部43を介して携帯端末2から受信した端末情報(端末IDと認証情報)を、記憶部41の端末情報DB411の端末情報と照合して携帯端末2の端末認証を行い、認証結果を出力する。
【0041】
OTP生成手段422は、トリガを受ける毎にランダムになるパスワードをワンタイムパスワードとして生成する。また、OTP生成手段422は、通信部43を介して携帯端末2から受信した認証要求から照合に用いるワンタイムパスワードDB412における当該記憶媒体3の領域IDを選定する。なお、記憶媒体3で保護機構を使用しているので、OTP生成手段422は、ワンタイムパスワードと共に認証キーも生成する。
【0042】
OTP送信手段423は、OTP生成手段422で生成したワンタイムパスワードを、領域IDと共に、通信部43を介して携帯端末2に送信する。
なお、生成したワンタイムパスワードは、送信先の携帯端末2の端末IDや記憶媒体3の媒体IDと共に記憶部41の作業領域に一時的に記憶しておく。なお、記憶媒体3で保護機構を使用しているとき、ワンタイムパスワードと共に認証キーも記憶しておく。
【0043】
OTP照合手段424は、通信部43を介して携帯端末2から受信したワンタイムパスワードを、ワンタイムパスワードDB412を参照して照合し、照合結果を出力する。また、OTP照合手段424は、OTP送信手段423が作業領域に一時記憶させたワンタイムパスワード、認証キー、媒体ID及び端末IDを、ワンタイムパスワードDB412のOTP生成手段422が選定した記憶媒体3の領域IDに発行OTPとして記憶させる。
【0044】
通信部43は、携帯端末2やサービス提供装置5との通信を行うインタフェースである。通信部43は有線通信又は無線通信に対応し、インターネット等の広域通信網あるいは閉域通信網などのIP網、あるいは携帯電話通信網の各種ネットワークを介して携帯端末2やサービス提供装置5と通信してもよい。
【0045】
サービス提供装置5は、記憶媒体3と関連づけられ、認証サーバ装置4から受信した照合結果が照合成功の場合に、所定のサービスを携帯端末2の利用者に提供する。
【0046】
ここで、携帯端末2の処理フローを、図7を参照しつつ詳細に説明する。
図7に示すように、利用者がサービスを受けるためにサービス要求開始の操作として記憶媒体3に携帯端末2を近づけることによって処理を開始する。最初に、記憶媒体3から媒体IDを読み出す(ステップS11)。詳細には、認証要求手段231は、記憶媒体3に対して、媒体ID要求信号を送信する。この媒体ID要求信号の応答として、記憶媒体3から媒体IDを取得する。
【0047】
ステップS12では、認証要求手段231は、記憶媒体3から読み出した媒体IDと記憶部24から読み出した端末ID241、認証情報242を含む認証要求を認証サーバ装置4へ送信する。
ステップS13では、認証要求手段231は、認証サーバ装置4から認証要求への応答を受信するまで待機する。認証要求への応答を受信すると(ステップS13―はい)、ステップS14では、認証要求手段231は、受信した応答が認証成功によるOK応答か認証失敗によるNG応答かを判断する。OK応答の場合は、領域ID、読み出しに用いる現在の認証キー、書き込みに使用する新たなワンタイムパスワードと新しい認証キーを、認証サーバ装置4から受信する。一方、NG応答の場合は、端末認証の認証失敗の結果を認証サーバ装置4から受信する。
【0048】
ステップS14で認証成功によるOK応答であれば(ステップS14−はい)、ステップS 15に進み、媒体更新手段232は、認証サーバ装置4から受信した領域IDと現在の認証キーを指定して記憶媒体3へパスワード読出要求信号を送信し、記憶媒体3から現在のワンタイムパスワードを読み出す。また、媒体更新手段232は、認証サーバ装置4から受信した領域IDと新たなワンタイムパスワードと新しい認証キーを指定して記憶媒体3へパスワード書込要求信号を送信し、上書きしてワンタイムパスワードを更新する。このとき、ワンタイムパスワードの書き込みに成功したかどうかの書き込み結果を記憶媒体3から受信する。
【0049】
例えば、図5図6を参照し、“端末ID”が“2a”の携帯端末2が、“媒体ID”が“1111”の記憶媒体3に対して、認証サーバ装置4から“領域ID”が“4”、“現在の認証キー”が“ppp”、“新たなワンタイムパスワード”が“E”、“新しい認証キー”が“ggg”のOK応答を受信したとき、読み出されるワンタイムパスワードは“U”となる。そして、携帯端末2が記憶媒体3への書き込みに成功すると、図9に示すように、ワンタイムパスワード記憶領域322の“領域ID”について更新され、“領域ID”が“4”の“ワンタイムパスワード”は“E”に、“認証キー”には“ggg”が設定されることになる。
【0050】
そして、ステップS16では、照合要求手段233は、記憶媒体3から読み出したワンタイムパスワードを認証サーバ装置4へ送信し、ワンタイムパスワード認証の照合を要求する。詳細には、端末ID241、媒体ID、領域ID、
記憶媒体3から読み出した現在のワンタイムパスワード、新たなワンタイムパスワードの書き込み結果を含む照合要求を認証サーバ装置4に送信し、ワンタイムパスワードの照合を要求する。
【0051】
ステップS17では、照合要求手段233は、認証サーバ装置4から照合要求への応答を受信するまで待機する。照合要求への応答を受信すると(ステップS17―はい)、ステップS18に進み、照合要求手段233は、受信した照合結果を表示部22に表示させ、処理を終了する。受信した照合結果が照合OKであれば、その後、サービス提供装置5から所望のサービスの提供を受けることができる。
【0052】
一方、ステップS14で認証失敗によるNG応答であれば(ステップS14−いいえ)、ステップS18に進み、照合要求手段233は、受信した認証失敗の応答を表示部22に表示させ、処理を終了する。
【0053】
なお、図示しないが、ステップS13及びステップS17において一定の時間待機しても認証サーバ装置4からの応答を受信できない場合は、タイムアウトし、処理を中止する。
【0054】
次に、認証サーバ装置4の処理フローを、図8を参照しつつ詳細に説明する。
図8に示すように、携帯端末2から認証要求を受信すると、認証サーバ装置4は処理を開始する。まず、ステップS21で、端末認証手段421は、携帯端末2から受信した端末ID241と認証情報242が、端末情報DB411に登録されているかどうか端末認証処理を行う。ここでは、端末情報DB411に登録されている端末IDと認証情報の組み合わせが一致すれば認証成功とし、組合せが不一致であれば認証失敗として認証結果を出力する。ステップS22では、出力された認証結果を判定する。
【0055】
認証成功であれば(ステップS22−はい)、ステップS23に進み、OTP生成手段422は、記憶部41に記憶したワンタイムパスワードDB412を参照し、携帯端末2から受信した認証要求の中の媒体IDで特定される記憶媒体3に対し、この携帯端末2により現在書き込みがされていない領域のワンタイムパスワードの領域IDを選択する。OTP生成手段422は、携帯端末2に読み出させるワンタイムパスワードが格納された媒体領域を選定すると、現在の認証キーを読み出し、携帯端末2が読み出した後に書き込ませるワンタイムパスワード及び認証キーを生成する。そして、ステップS24では、OTP送信手段423は、生成したワンタイムパスワードを携帯端末2に送信する。詳細には、選定した領域IDと読み出した現在の認証キー、生成したワンタイムパスワードと認証キーを含んだOK応答を携帯端末2に送信する。また、OTP送信手段423は、生成したワンタイムパスワードと認証キー、媒体ID及び端末IDを作業領域に一時記憶させる。その後、ステップS25では、携帯端末から照合要求を受信するまで待機する。
【0056】
携帯端末から照合要求を受信すると(ステップS25−はい)、ステップS26に進み、OTP照合手段424は、受信したワンタイムパスワードとワンタイムパスワードDB412に記憶したワンタイムパスワードを照合する。そして、OTP照合手段424は、ステップS27では照合結果を出力し、携帯端末2に通知する。また、OTP照合手段424は、OTP送信手段423が作業領域に一時記憶させたワンタイムパスワード、認証キーを正式にワンタイムパスワードDB412に記憶する。
【0057】
詳細には、照合結果が照合OKかつ携帯端末2から照合要求に含まれて受信した新たなワンタイパスワードの書き込み結果が書き込み成功であれば、認証サーバ装置4は、ワンタイムパスワードDB412内の該当する媒体ID、領域IDに対応するワンタイムパスワードに新しいワンタイムパスワードを格納し、同様に、認証キーには新しい認証キー、送信先に端末IDを格納するとともに有効フラグを有効にセットする。
【0058】
一方、照合結果が照合NGや携帯端末2から照合要求に含まれて受信した新たなワンタイパスワードの書き込み結果が書き込み失敗なら、認証サーバ装置4は記憶部41に媒体ID、領域IDと紐付けて処理が失敗した旨をログとして記録し、ワンタイムパスワードDB412内の該当する媒体ID、領域IDに対応する有効フラグを無効にセットする。
【0059】
なお、照合結果が照合OKだった場合、携帯端末2から照合要求に含まれて受信した書き込み結果が書き込み成功以外のとき(例えば、書き込みが失敗または処理が中断)、該当する領域IDに対する新たなワンタイムパスワードを再度生成し、携帯端末2経由で記憶媒体3に書き込み、さらにその書き込み結果を携帯端末2経由で認証サーバ装置4に返送させ、認証サーバ装置4内のワンタイムパスワードDB412に書き込んでもよい。
【0060】
ステップS28では、照合結果を判定し、照合結果が照合OKであれば(ステップS28−はい)、ステップS29に進み、サービス提供装置5に対し、所定のサービスを利用者に提供するようにサービス提供指示を通知する。一方、照合結果が照合NGであればステップS28−いいえ)、処理を終了する。
【0061】
一方、ステップS22で認証失敗であれば(ステップS22−いいえ)、ステップS30に進み、認証失敗によるNG応答を送信して、処理を終了する。
【0062】
なお、図示しないが、ステップS25において一定の時間待機しても携帯端末から照合要求を受信できない場合は、タイムアウトし、処理を中止する。
【0063】
以上から、本発明によれば、記憶媒体を介することで、認証サーバ装置又は携帯端末のいずれか一方にワンタイムパスワードを生成するパスワード生成器があればよい。また、本発明によれば、1つのワンタイムパスワード生成器で単なる記憶媒体を介するという構成であっても、異なる経路を用いて流通させることで、安全なワンタイムパスワードを実現できる。記憶媒体がNFCタグであれば、利用者の近接操作の都度授受される記憶媒体のワンタイムパスワードが、認証サーバ装置で正しく照合一致することで、ワンタイムパスワードを記憶する記憶媒体自体の信頼性を持続させることが可能になり、1つのワンタイムパスワード生成器という構成であってもセキュアなワンタイムパスワードを実現できる。
【0064】
本発明は、上記実施の形態に限定されるものではなく、幾多の変更及び変形が可能である。例えば、本実施の形態では、新たなワンタイムパスワードを認証要求時のOK応答で送信する場合を説明したが、照合結果を送信する際に新たなワンタイムパスワードを送信してもよい。その場合、照合結果を受信後に記憶媒体3へワンタイムパスワード書き込み要求と書き込み結果を受信する処理が行われ、更に書き込み結果を認証サーバ装置4へ送信する処理が追加される。そして、認証要求時には領域IDを選定するだけで新たなワンタイムパスワードや認証キーを生成せずに、ワンタイムパスワード照合処理の後に照合結果を送信する前にOTP生成手段422が新たなワンタイムパスワードや認証キーを生成してもよい。
【0065】
本実施の形態では、端末認証を行う場合を説明したが、端末認証を省略したり、端末認証に加えて利用者認証を行ったりしてもかまわない。
【0066】
本実施の形態では、新たなワンタイムパスワードを認証サーバ装置4のOTP生成手段422において生成する場合を説明したが、携帯端末2にパスワード生成手段を持たせてもよい。その場合、認証サーバ装置4から受け取るOK応答は領域IDを含めばよく、媒体更新手段は、パスワード生成手段が生成したワンタイムパスワードを用いて記憶媒体3へワンタイムパスワードの上書きを行えばよい。また、照合要求手段は、パスワード生成手段が生成したワンタイムパスワードを照合要求と一緒に認証サーバ装置4へ送信すればよい。
【0067】
本実施の形態では、ワンタイムパスワード認証に用いる領域IDを選択するときに、携帯端末2が現在書き込みをしていない領域のワンタイムパスワードの領域IDを選択する場合を説明したが、ワンタイムパスワードDB412の送信先と有効フラグの両方を判定して選択する以外にも、有効フラグが有効になっているものを選択候補にして選択するようにしてもよい。また、ワンタイムパスワードDB412の送信先及び有効フラグの状況を定期的に確認し、同一端末IDの送信先が一定の割合に達したり、有効フラグが無効の領域が一定の割合に達したりして、領域IDの選択候補に制限が生じていれば、認証サーバ装置4の管理者に対し警告を出力し、管理者が携帯した専用端末により、記憶媒体3のワンタイムパスワードをすべてリセットする書き込みをさせるようにしてもよい。
【0068】
本実施の形態では、複数の領域IDを用いて1つの記憶媒体に複数のワンタイムパスワードを使用可能としているが、1つのワンタイムパスワードでよい場合は、単数の領域ID又は固定の領域を用いてもよい。
【0069】
本実施の形態では、認証サーバ装置4が携帯端末2から照合要求を受信する際、ワンタイムパスワードDB412に照合に使用するワンタイムパスワードがあり、OTP生成手段422が生成した新たなワンタイムパスワードは作業領域に一時記憶させている場合を説明したが、ワンタイムパスワードDBに領域ID毎に照合用と更新用の両方を記憶できるようにしてもよい。その場合、OTP生成手段422が生成した新たなワンタイムパスワードは更新用に記憶させ、照合処理の後に更新用から照合用へワンタイムパスワードをスライドさせ、記憶媒体3のワンタイムパスワード記憶領域322の現在状況が照合用に記憶されるようにする。また、ワンタイムパスワードDBに、領域ID毎にOTP生成手段422が生成したワンタイムパスワードを生成順がわかるように複数記憶させ、照合処理の後の時点で最新のものがワンタイムパスワード記憶領域322の現在状況となって次の照合に使用するようにしてもよい。
【符号の説明】
【0070】
1・・・認証システム
2・・・携帯端末
21・・・入力部
22・・・表示部
23・・・処理部
231・・・認証要求手段
232・・・媒体更新手段
233・・・照合要求手段
24・・・記憶部
241・・・端末ID
242・・・認証情報
25・・・第1通信部
26・・・第2通信部
3・・・記憶媒体
31・・・通信部
32・・・記憶部
321・・・媒体ID
322・・・ワンタイムパスワード記憶領域
33・・・処理部
4・・・認証サーバ装置
41・・・記憶部
411・・・端末情報DB
412・・・ワンタイムパスワードDB
42・・・処理部
421・・・端末認証手段
422・・・OTP生成手段
423・・・OTP送信手段
424・・・OTP照合手段
43・・・通信部
5・・・サービス提供装置

図1
図2
図3
図4
図5
図6
図7
図8
図9
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.