特許第6498358号(P6498358)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > コリア フレーミング インスティテュート

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ コリア フレーミング インスティテュートの特許一覧

特許6498358使い捨て乱数を利用して認証する統合認証システム
<>
  • 特許6498358-使い捨て乱数を利用して認証する統合認証システム 図000002
  • 特許6498358-使い捨て乱数を利用して認証する統合認証システム 図000003
  • 特許6498358-使い捨て乱数を利用して認証する統合認証システム 図000004
  • 特許6498358-使い捨て乱数を利用して認証する統合認証システム 図000005
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6498358
(24)【登録日】2019年3月22日
(45)【発行日】2019年4月10日
(54)【発明の名称】使い捨て乱数を利用して認証する統合認証システム
(51)【国際特許分類】
   G06F 21/31 20130101AFI20190401BHJP
   H04L 9/32 20060101ALI20190401BHJP
【FI】
   G06F21/31
   H04L9/00 673A
【請求項の数】11
【全頁数】16
(21)【出願番号】特願2018-515133(P2018-515133)
(86)(22)【出願日】2016年9月28日
(65)【公表番号】特表2018-530235(P2018-530235A)
(43)【公表日】2018年10月11日
(86)【国際出願番号】KR2016010860
(87)【国際公開番号】WO2017057899
(87)【国際公開日】20170406
【審査請求日】2018年4月20日
(31)【優先権主張番号】10-2015-0139016
(32)【優先日】2015年10月2日
(33)【優先権主張国】KR
(73)【特許権者】
【識別番号】518089849
【氏名又は名称】コリア フレーミング インスティテュート
【氏名又は名称原語表記】KOREA FRAMING INSTITUTE
(74)【代理人】
【識別番号】100109508
【弁理士】
【氏名又は名称】菊間 忠之
(72)【発明者】
【氏名】ファン,スン ヨン
【審査官】 中里 裕正
(56)【参考文献】
【文献】 特表2002−507025(JP,A)
【文献】 特開2006−221440(JP,A)
【文献】 特開2009−003498(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/31
H04L 9/32
(57)【特許請求の範囲】
【請求項1】
ユーザー端末、認証サーバーと使い捨ての乱数生成器を含む統合認証システムであって、ユーザー端末からユーザーの認証を要求された認証サーバーがシード値(seed value)を生成して前記ユーザー端末に送信し、使い捨ての乱数生成器が前記ユーザー端末の受信したシード値とユーザーのパスワードを位置情報として利用して前記使い捨て乱数生成器に保存された第1の乱数の集合を構成する乱数の中から、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成して表示し、前記認証サーバーが前記シード値とパスワードDBに格納されたユーザーのパスワードを位置情報として利用して乱数の集合DBに格納された第2の乱数の集合を構成する乱数の中から、前記シード値と前記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成し、前記第2の使い捨て乱数と前記ユーザー端末から受信した第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証し、前記使い捨て乱数生成器は、前記ユーザーのパスワードが保存されておらず、前記第1の乱数の集合と、前記第1の乱数の集合と同じ前記第2の乱数の集合は、ユーザーごとに一意に生成され、付与された情報であり、前記シード値は、擬似乱数生成器を介して生成された乱数である、統合認証システム。
【請求項2】
ユーザー端末、認証サーバーと使い捨ての乱数生成器を含む統合認証システムであって、ユーザー端末からユーザーの認証を要求された認証サーバーがシード値(seed value)の含まれている隠蔽数字の集合を生成して前記ユーザー端末に送信、使い捨ての乱数生成器が前記ユーザー端末の受信した隠蔽数字の集合から取得されたシード値とユーザーのパスワードを位置情報として利用して前記使い捨て乱数生成器に保存された第1の乱数の集合を構成する乱数の中から、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成して表示し、前記認証サーバーが前記シード値とパスワードDBに格納されたユーザーのパスワードを位置情報として利用して乱数の集合DBに格納された第2の乱数の集合を構成する乱数の中から、前記シード値と前記パスワードDBに保存されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成し、前記第2の使い捨て乱数と前記ユーザー端末から受信した第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証し、前記使い捨て乱数生成器は、前記ユーザーのパスワードが保存されておらず、前記第1の乱数の集合と、前記第1の乱数の集合と同じ前記第2の乱数の集合は、ユーザーごとに一意に生成され、付与された情報であり、前記シード値は、擬似乱数生成器を使用して作成された乱数である、統合認証システム。
【請求項3】
請求項2において、前記シード値は、前記隠蔽数字の集合を構成する数字の中から、ユーザーに付与されたシード抽出用の位置番号に対応する数字を抽出して獲得されることを特徴とする、統合認証システム。
【請求項4】
請求項1又は請求項2において、前記使い捨て乱数生成器は、前記シード値と前記ユーザーのパスワードの第1の演算規則を適用して第1の中間値を生成し、前記第1の中間値に第1の抽出ルールを適用して第1の位置番号を抽出し、前記第1の乱数の集合を構成する乱数の中から、前記第1の位置番号に対応する乱数を抽出して、前記第1の使い捨て乱数を生成し、前記認証サーバーは、前記シード値と、前記パスワードDBに格納されたユーザーのパスワードに第2の演算規則を適用して第2の中間値を生成し、前記第2の中間値に第2の抽出ルールを適用して第2の位置番号を抽出し、前記第2の乱数の集合を構成乱数の中、前記第2の位置番号に対応する乱数を抽出して前記第2の使い捨て乱数を生成することを特徴とする、統合認証システム。
【請求項5】
請求項4において、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれの移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする、統合認証システム。
【請求項6】
請求項4において、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれ前記ユーザーの生体情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする、統合認証システム。
【請求項7】
請求項1又は請求項2において、前記使い捨て乱数生成器は、前記第1の乱数の集合を構成する乱数の中から、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数に第1変換規則を適用して、前記第1の使い捨て乱数を生成し、前記認証サーバーは、前記第2の乱数の集合を構成する乱数の中から、前記シード値と前記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数に第2の変換規則を適用して前記第2の使い捨て乱数を生成することを特徴とする、統合認証システム。
【請求項8】
請求項7において、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれの移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする、統合認証システム。
【請求項9】
請求項7において、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれ前記ユーザーの生体情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする、統合認証システム。
【請求項10】
請求項1又は請求項2において、前記使い捨て乱数生成器は、前記第1の乱数の集合を構成する乱数の中から、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数を第1のハッシュ関数で暗号化して前記第1の使い捨て乱数を生成し、前記認証サーバーは、前記第2の乱数の集合を構成する乱数の中から、前記シード値と前記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数を第2のハッシュ関数で暗号化して前記第2の使い捨て乱数を生成することを特徴とする、統合認証システム。
【請求項11】
請求項1又は請求項2において、前記使い捨て乱数生成器は、前記ユーザー端末と物理的に区分されたハードウェアデバイスであるか、前記ユーザー端末にソフトウェア的に実装された機能モジュールであることを特徴とする、統合認証システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、使い捨ての乱数を利用して認証する統合認証システムに関するものである。より詳細には、正当な権原がない第三者によってユーザー端末またはサーバーがハッキングされても取引パスワードが流出しないようにし、ユーザー認証要求ごとに取引パスワードを動的に変更させて、第三者による再利用を不可能にし、第三者がこの取引パスワードを事前に予測することができないようにすることで、ユーザー認証のセキュリティを大幅に強化することができる方法に関するものである。
【背景技術】
【0002】
一般的に、ユーザーは、ユーザー端末を介して特定のサービスを提供しているウェブサイトに接続するとき、自分のユーザー名とパスワードを入力してサーバーにユーザー認証を要求する。このとき、サーバーは、既に登録されたユーザーのIDとパスワードが一致することを確認することで接続するかどうかを決定することになる。ところが、もしユーザーのIDとパスワードが第三者に流出された状態で、第三者がユーザーのIDとパスワードを入力して認証を要求する場合には、サーバーは、第三者が正当な権原を持つユーザーであるかどうかを区別することができない、IDとパスワードが一致するかどうかだけを基準に接続を認証するため、実質的な認証のエラーの問題が発生する。
【0003】
これらの認証のエラーの問題は、現在のインターネットのハッキングによって広範囲に出現しており、これによるインターネットユーザーの情報の盗用の問題が深刻なのが現実である。
【0004】
すなわち、従来の方式によると、パスワードがユーザーによって変更されない限り、固定されるので、第三者がユーザーのコンピュータなどをハッキングしたり、サーバーに保存されたユーザーのパスワード(数字)をハッキングしたりして知っているとき、そのパスワードを再利用することにより、正当な権原なく、ユーザーのふりをすることができるという問題がある。
【0005】
これらの固定パスワード方式の問題点を解決するために、毎回変わる数字を発生させる使い捨てパスワード(One Time Password、OTP)生成器が使用されている。
【0006】
しかし、従来のOTP方式は、一方向ハッシュ関数と呼ばれる特定のルール(アルゴリズム)を使用してパスワードを生成しているため、正当な権原がない第三者にそのルール(アルゴリズム)が流出した場合には、パスワードで使用されている数字を予測することができるので、やはり個人情報の盗用が発生するという問題がある。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】大韓民国公開特許公報第10-2008-0086733号(公開日:2008年09月26日、名称:OTPを利用した金融取引システム)
【特許文献2】大韓民国公開特許公報第10-2014-0106360号(公開日:2014年09月03日、名称:OTP認証システム及び方法)
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は、正当な権原のない第三者によってユーザー端末またはサーバーがハッキングされても取引パスワードが流出しないようすることにより、ユーザー認証のセキュリティ性を大幅に向上させることを目的とする。
また、本発明は、ユーザーの認証要求ごとに取引パスワードを動的に変更させて、第三者による再利用を不可能にし、第三者がこの取引パスワードを事前に予測することができないようにすることで、ユーザー認証のセキュリティを大幅に強化することを目的とする。
また、本発明は、ユーザーがサーバーに接続する前に取引パスワードが生成されないようにすることで、サーバー運営者でさえも盗用が不可能であり、サーバー運営者側で内部統制のコストを減少させることを目的とする。
【課題を解決するための手段】
【0009】
本発明の一側面による統合認証システムは、ユーザー端末、認証サーバーと使い捨て乱数生成器を含み、ユーザー端末からユーザーの認証を要求された認証サーバーがシード値(seed value)を生成して前記ユーザー端末に送信し、使い捨ての乱数生成器が前記ユーザー端末の受信したシード値とユーザーのパスワードを位置情報として利用して前記使い捨て乱数生成器に保存された第1の乱数の集合を構成する乱数の中から、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成して表示し、前記認証サーバーが前記シード値とパスワードDBに格納されたユーザーのパスワードを位置情報として利用して乱数の集合DBに格納された第2の乱数の集合を構成する乱数に中前記シード値と前記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成し、前記第2の使い捨て乱数と前記ユーザー端末から送信された第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証する。
【0010】
本発明の他の側面による統合認証システムは、ユーザー端末、認証サーバーと使い捨て乱数生成器を含み、ユーザー端末からユーザーの認証を要求された認証サーバーはシード値(seed value)が含まれている隠蔽数の集合を生成して前記ユーザー端末に送信し、使い捨ての乱数生成器が前記ユーザー端末の受信した隠蔽数の集合から取得されたシード値とユーザーのパスワードを位置情報として利用して前記使い捨て乱数生成器に保存された第1の乱数の集合を構成する乱数の中で、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成して表示し、前記認証サーバーが前記シード値とパスワードDBに格納されたユーザーのパスワードを位置情報として利用して乱数の集合DBに格納された第2の乱数の集合を構成する乱数の中から、前記シード値と前記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成し、前記第2の使い捨て乱数と前記ユーザー端末から送信された第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証する。
【0011】
本発明の他の側面による統合認証システムにおいて、前記シード値は、前記隠蔽数字の集合を構成する数字の中から、ユーザーに付与されたシード抽出用の位置番号に対応する数字を抽出して獲得されることを特徴とする。
【0012】
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器は、前記シード値と前記ユーザーのパスワードの第1の演算規則を適用して第1の中間値を生成し、前記第1の中間値に第1の抽出ルールを適用して、第1の位置番号を抽出し、前記第1の乱数の集合を構成する乱数の中から、前記第1の位置番号に対応する乱数を抽出して、前記第1の使い捨て乱数を生成し、前記認証サーバーは、前記シード値と前記パスワードDBに格納されたユーザーのパスワードに第2の演算規則を適用して第2の中間値を生成し、前記第2の中間値に第2の抽出ルールを適用して第2の位置番号を抽出し、前記第2の乱数の集合を構成する乱数の中から前記第2の位置番号に対応する乱数を抽出して前記第2の使い捨て乱数を生成することを特徴とする。
【0013】
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれの移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする。
【0014】
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれ前記ユーザーの生体情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする。
【0015】
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器は、前記第1の乱数の集合を構成する乱数の中から、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数に第1の変換規則を適用して、前記第1の使い捨て乱数を生成し、前記認証サーバーは、前記第2の乱数の集合を構成する乱数の中から、前記シード値と前記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数に第2の変換規則を適用して前記第2の使い捨て乱数を生成することを特徴とする。
【0016】
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれの移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする。
【0017】
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器と、前記認証サーバーは、それぞれ前記ユーザーの生体情報をさらに利用して、前記第1の使い捨て乱数と前記第2の使い捨て乱数を生成することを特徴とする。
【0018】
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器は、前記第1の乱数の集合を構成する乱数の中から、前記シード値と前記ユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数を第1のハッシュ関数で暗号化して前記第1の使い捨て乱数を生成し、前記認証サーバーは、前記第2の乱数の集合を構成する乱数の中から、前記シード値と前記パスワードDBに格納されたユーザーのパスワードに対応する位置の乱数を抽出で、抽出された乱数を第2のハッシュ関数で暗号化して前記第2の使い捨て乱数を生成することを特徴とする。
【0019】
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器は、前記ユーザー端末と物理的に区分されたハードウェアデバイスであるか、前記ユーザー端末にソフトウェア的に実装された機能モジュールであることを特徴とする。
本発明の両側面に沿った統合認証システムにおいて、前記使い捨て乱数生成器は、前記ユーザーのパスワードが保存されていないことを特徴とする。
【発明の効果】
【0020】
本発明によると、正当な権原のない第三者によってユーザー端末またはサーバーがハッキングされても取引パスワードが流出しないようすることにより、ユーザー認証のセキュリティが大幅に向上する効果がある。
【0021】
また、ユーザー認証要求ごとに取引パスワードを動的に変更させて、第三者による再利用を不可能にし、第三者がこの取引パスワードを事前に予測することができないようにすることで、ユーザー認証のセキュリティが大幅に強化される効果がある。
【0022】
また、ユーザーがサーバーに接続する前に取引パスワードが生成されないので、サーバー運営者でさえも盗用が不可能だという効果があり、サーバー運営者側で内部統制のコストが減少される効果がある。
【0023】
また、本発明は、ユーザーが認証を受けるための使い捨ての乱数生成器で生成された使い捨ての乱数を取引パスワードを利用するので、正当な権原がない第三者がオンライン盗聴やハッキングされても取引パスワードを盗用することができない効果がある。
【0024】
また、正当な権原がない第三者が使い捨て乱数生成器を習得して使用しても、第三者ユーザーのパスワードを知ることができないので、第三者が習得した使い捨て乱数生成器は、認証サーバーが生成した乱数と同じ乱数を生成することができず、これにより、使い捨ての乱数生成器が紛失された場合でも、取引パスワードが盗用されない効果がある。
【0025】
また、ユーザーのパスワードとユーザーの個人キーに対応する第2の乱数の集合を認証サーバーに保管せず、それぞれのパスワードDBと乱数の集合DBに分離保管するので、認証ハッキングされても取引パスワードが盗用されない効果がある。
【0026】
また、使い捨ての乱数生成器で生成された乱数は、移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報を含んでいるので取引否認防止効果が発生する。つまり、シード値を送ってくれた認証サーバー(金融機関等)が取引していなかったと否定することができず、そのシード値と自分のユーザーのーパスワードを入力して発生した数字を認証サーバーに送ったユーザーも、自分がそのような行為をしていなかったと否定することができない。また、使い捨ての乱数生成器で生成された乱数は、受取人の識別情報を含んでいるので、ハッカーが使い捨て乱数生成器を不当に傍受自分の他の人の名前の通帳番号に転送を要求しても、受取人の識別情報が異なるため、ハッカーのための認証が拒否される効果がある。
【0027】
また、使い捨て乱数生成器を使用するためには、ユーザーのパスワードが必要で、そのユーザーのパスワードは、ユーザーの記憶(脳)の中にだけ保持され、外部のどこにも残っていませんので、第三者がこれを盗用する方法がないので、使い捨て乱数生成器は、公認証明書を効果的に代替することができる。
【0028】
また、特定の取引でトレーダーが正当なユーザーであるかどうかを認証することができるのみならず、ユーザーの身分を一般的に確認できる身分確認用としても利用することができるので、ユーザーのための統合的な認証が可能となる効果を奏する。
【図面の簡単な説明】
【0029】
図1】本発明の第1の実施態様に係る統合認証システムを示した図である。
図2】本発明の第1の実施態様に係る統合認証システムの動作の流れを説明するための図である。
図3】本発明の第2の実施態様に係る統合認証システムを示した図である。
図4】本発明の第2の実施態様に係る統合認証システムの動作の流れを説明するための図である。連結
【発明を実施するための形態】
【0030】
本明細書に開示されている本発明の概念による実施態様に対して特定の構造または機能の説明は、単に本発明の概念による実施態様を説明するための目的で例示されたものであり、本発明の概念による実施態様は、様々な形に実施されることができ、本明細書に説明された実施態様に限定されない。
【0031】
本発明の概念による実施態様は、様々な変更を加えることができ、様々な態様を持つことができますので、実施態様を図面に例示し、本明細書で詳細に説明する。しかし、これは本発明の概念による実施態様を特定の開示態様に対して限定しようとするものではなく、本発明の思想及び技術範囲に含まれるすべての変更、均等物、または代替物を含んでいる。
【0032】
第1または第2のなどの用語は、様々な構成要素を説明するために使用することができますが、前記の構成要素は、前記の用語によって限定されてはならない。前記の用語は、1つの構成要素を他の構成要素から区別するためにのみ、例えば、本発明の概念に基づく権利の範囲から逸脱しないまま、第1の構成要素は、第2の構成要素として命名することができ同様に、第2構成要素は、第1の構成要素としても命名されることができる。
【0033】
どの構成要素が他の構成要素に「連結されて」いるとか、「接続されて」いると言及されたときには、そのほかの構成要素に直接連結されているか、または接続されている場合がありますが、中間に他の構成要素が存在する可能性もあると理解なければならない。一方、いくつかの構成要素が他の構成要素に”直接連結されて"いるとか、"直接接続されて"いると言及されたときには、中間に他の構成要素が存在しないことを理解されるべきである。構成要素間の関係を説明する他の表現、すなわち「〜の間に」と「すぐ〜の間に」または「〜に隣接する」と「〜に直接隣接する」なども同様に解釈されるべきである。
【0034】
本明細書で使用される用語は、単に特定の実施態様を説明するために使用されたものであり、本発明を限定する意図ではない。単数の表現は、文脈上明らかに別の方法で意味ない限り、複数の表現を含んでいる。本明細書では、「含む」または「有する」などの用語は、本明細書に記載された特徴、数字、段階、動作、構成要素、部分品またはこれらを組み合わせたものが存在することを指定しようとするのであって、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部分品またはこれらを組み合わせたものの存在または付加可能性を予め排除しないものと理解されるべきである。
【0035】
別の方法で定義されない限り、技術的または科学的な用語を含めてここで使用されるすべての用語は、本発明が属する技術分野で通常の知識を有する者によって一般的に理解されるのと同じ意味を表す。一般的に使用される事前に定義されているような用語は、関連技術の文脈上持つ意味と一致する意味を持つものと解釈されるべきであり、本明細書で明らかに定義しない限り、理想的または過度に形式的な意味に解釈されない。
【0036】
以下では、添付された図面を参照して、本発明の好ましい実施態様を詳細に説明する。
【0037】
図1は、本発明の第1の実施態様に係る統合認証システムを示した図である。
図1を参照すると、本発明の第1の実施態様に係る統合認証システムは、ユーザー端末(10)、使い捨て乱数生成器(20)、認証サーバー(31)、パスワードDB(40)と乱数の集合DB(50)を含んでいる。以下、該当部分で説明しますが、第1の乱数の集合の第2の乱数の集合は同一であり、第1の演算規則と第2の演算規則は同一であり、第1の中間値と第2の中間値は等しく、第1の抽出ルールと第2の抽出ルールは同一であり、第1の位置番号と第2の位置番号は同一であり、第1の変換規則と第2の変換規則は同一であり、第1のハッシュ関数と第2のハッシュ関数は同一である。また、本実施態様によると、第1の使い捨て乱数と第2の使い捨て乱数は同じである場合にだけ、ユーザーが正常に認証される。
【0038】
ユーザー端末(10)は、ユーザーがネットワークを利用した取引を実行するための装置であり、取引実行の過程で、認証サーバー(31)に認証を要求し、認証サーバー(31)からシード値を受けて表示し、使い捨て乱数生成器(20)が生成して表示する第1の使い捨て乱数をユーザーから入力を受け、認証サーバー(31)に転送するなどの機能を実行する。これらのユーザー端末(10)は、一般的なパーソナルコンピュータ、ラップトップコンピュータなどだけではなく、所定の演算と通信機能を備えたスマートフォンなどのモバイル端末であることができる。
【0039】
使い捨ての乱数生成器(20)は、第1の使い捨て乱数を生成して、ユーザーに表示する機能を実行する。
【0040】
例えば、使い捨て乱数生成器(20)は、ユーザーインターフェースモジュール(210)、第1の使い捨て乱数生成モジュール(220)とストレージモジュール(230)を含んで構成されることができる。
【0041】
ユーザーインターフェースモジュール(210)は、ユーザーによる情報の入力をサポートし、第1の使い捨て乱数生成モジュール(220)によって生成された第1の使い捨て乱数をユーザーに表示する機能を実行する。
【0042】
第1の使い捨て乱数生成モジュール(220)は、認証サーバー(31)によって生成されたシード値とユーザーのパスワードを位置情報として利用して保存モジュール(230)に格納された第1の乱数の集合を構成する乱数の中でシード値とユーザーのパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成し、これをユーザーに表示する機能を実行する。シード値は、認証サーバー(31)によって生成され、ユーザー端末(10)に転送されて表示され、ユーザーによってユーザーインターフェイスモジュール(210)を介して使い捨ての乱数生成器(20)に入力される。ここで、ユーザーのパスワードはユーザーが記憶している情報である。
【0043】
ストレージモジュール(230)は、第1の使い捨て乱数を生成するための募集した第1の乱数の集合が保存されており、それ以外のユーザーに関連する情報、例えば、ユーザーのパスワードは保存されていない。第1の乱数の集合は、ユーザーごとに一意に生成され、付与された情報であり、第1の乱数の集合と同じ情報である第2の乱数の集合は認証サーバー(31)がアクセスすることができる乱数の集合DB(50)に保存されている。
【0044】
認証サーバー(31)は、シード値とパスワードDB(40)に保存されたユーザーのパスワードを位置情報として利用して乱数の集合DB(50)に格納された第2の乱数の集合を構成する乱数の中でシード値とパスワードDB(40)に保存されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成し、第2の使い捨て乱数とユーザー端末(10)から送られて第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証する機能を実行する。
【0045】
例えば、認証サーバー(31)は、通信モジュール(310)、シード値生成モジュール(320)、第2の使い捨て乱数生成モジュール(340)と認証モジュール(350)を含んで構成されることができる。
【0046】
通信モジュール(310)は、ユーザー端末を含む外部装置との通信をサポートする機能を実行する。
【0047】
シード値生成モジュール(320)は、第1の使い捨て乱数と第2の使い捨て乱数を生成するためのシード値を生成する機能を実行する。
【0048】
第2の使い捨て乱数生成モジュール(340)は、シード値とパスワードDB(40)に保存されたユーザーのパスワードを位置情報として利用して乱数の集合DB(50)に格納された第2の乱数の集合を構成する乱数の中でシード値とパスワードDB(40)に保存されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成する機能を実行する。
【0049】
認証モジュール(350)は、第2の使い捨て乱数生成モジュール(340)によって生成された第2の使い捨て乱数とユーザー端末(10)から送られて第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証する機能を実行する。
【0050】
パスワードDB(40)には、ユーザーが設定したユーザーのパスワードがユーザーのIDに対応されて保存されている。
【0051】
乱数の集合DB(50)には、第2の使い捨て乱数を生成するための募集した第2の乱数の集合が保存されている。第2の乱数の集合は、ユーザーごとに一意に生成され、付与された情報であり、第1の乱数の集合と同じ情報である。乱数の集合DB(50)には、ユーザーに付与された第2の乱数の集合がユーザーのIDに対応されて保存されている。
【0052】
このようなシステム環境では、ユーザー端末(10)または認証サーバー(31)が第三者によってハッキングされても、第三者があたかもユーザーであることのように行為することを防止するために、すなわち、第三者の間違った認証を防止するために、 1)認証要求ごとのパスワードを動的に変更させて、第三者による再利用を不可能にしなければならず、2)第三者がパスワードを事前に予測することができないようにしなければならず、3)使い捨て乱数生成器(20)から動的に変更生成される使い捨て乱数を認証サーバー(31)がわかる必要があるため、認証サーバー(31)も、使い捨て乱数生成器(20)で生成される使い捨て乱数と同じ使い捨て乱数を生成することができなければならない。
【0053】
このため、使い捨て乱数生成器(20)には、一連のランダム数字と、その数字から一定数の乱数を抽出する方法(アルゴリズム)が保存されている。使い捨ての乱数生成器(20)に格納された乱数を第1の乱数の集合と呼び、使い捨て乱数生成器(20)が、第1の乱数の集合から一定乱数を抽出するアルゴリズムを第1のアルゴリズムと称する。使い捨ての乱数生成器(20)は、ユーザーが別途所持するハードウェアデバイスで実装されるか、ユーザー端末(10)にソフトウェア的に実装されることができる。
【0054】
また、認証サーバー(31)にも使用者側の使い捨て乱数生成器(20)と同じ使い捨て乱数を発生させることができる乱数及びその乱数から一定の乱数を抽出する方法(アルゴリズム)が保存されている。認証サーバー(31)に格納された乱数を第2の乱数の集合と呼び、認証サーバー(31)が、第2の乱数の集合から一定乱数を抽出するアルゴリズムを第2のアルゴリズムと称する。
【0055】
認証サーバー(31)と使い捨て乱数生成器(20)は、同一の使い捨て乱数を生成する必要があるため、第1の乱数の集合と第2の乱数の集合は同一であり、第1のアルゴリズムは第2のアルゴリズムと同じである。乱数の集合DB(50)には、ユーザー固有の乱数の集合がすべて保存されており、ユーザーのIDを使用してユーザーを識別し、認証サーバー(31)は、このユーザーに割り当てられた乱数の集合である第2の乱数の集合を使用する。
【0056】
図2は、本発明の第1の実施態様に係る統合認証システムの動作の流れを説明するための図である。
【0057】
図2をさらに参照すると、段階S110では、ユーザー端末(10)が、認証サーバー(31)にユーザーの認証を要求する過程が行われる。例えば、このプロセスは、ユーザー端末(10)を介して認証サーバー(31)が提供する特定のサービスを、提供を受けようとするユーザーが、自分が所持しているユーザー端末(10)にIDを入力してユーザー認証を要請し、認証サーバー(31)がこの認証要求を受信することで実行されることができる。
【0058】
段階S120では、ユーザー端末(10)からユーザーの認証を要求された認証サーバー(31)がシード値(seed value)を作成して、ユーザー端末(10)に転送する過程が行われる。例えば、認証サーバー(31)から生成されるシード値は乱数であることができ、この数字は擬似乱数生成器を使用して作成することができる。
【0059】
段階S130は、使い捨て乱数生成器(20)は、ユーザー端末(10)が受信したシード値とユーザーによって入力されたユーザーのパスワードを位置情報として利用して使い捨ての乱数生成器(20)に格納された第1の乱数の集合を構成する乱数の中でシード値とユーザーによって入力されたユーザーのパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成して表示する過程が行われる。
【0060】
一つの例として、使い捨て乱数生成器(20)は、ユーザー端末(10)と、物理的に区分されたハードウェアデバイスである場合、ステップS130は、ユーザーが自分の記憶しているユーザーのパスワードとユーザー端末(10)が、認証サーバー(31)から送信されて表示されるシード値を使い捨ての乱数生成器(20)に入力する場合には、使い捨ての乱数生成器(20)が、このシード値とユーザーのパスワードを位置情報として利用して第1の乱数の集合を構成する乱数の中から、シード値とユーザーのパスワードに対応する第1の使い捨て乱数を生成して表示するように構成されることができる。
【0061】
他の例として、使い捨て乱数生成器(20)は、ユーザー端末(10)にソフトウェア的に実装された場合には、ユーザー端末(10)が、認証サーバー(31)からシード値を受けて表示し、ユーザー端末(10)に実装された使い捨て乱数生成器(20)つまり、使い捨て乱数生成用のアプリケーションが提供するインタフェース画面を介して、シード値、およびユーザーのパスワードが入力されると、使い捨て乱数生成器(20)が、このシード値とユーザーのパスワードを位置情報として利用して第1の乱数の集合を構成する乱数の中でシード値とユーザーのパスワードに対応する第1の使い捨て乱数を生成して表示するように構成されることができる。
【0062】
段階S140では、ユーザー端末(10)が第1の使い捨て乱数を認証サーバー(31)に転送する過程が行われる。第1の使い捨て乱数は使い捨ての乱数生成器(20)によって生成され、表示され、ユーザーが第1の使い捨て乱数をユーザー端末(10)に入力すると、ユーザー端末(10)が第1の使い捨て乱数を認証サーバー(31)に転送するように構成されることができる。
【0063】
段階S150で、認証サーバー(31)がシード値とパスワードDB(40)に保存されたユーザーのパスワードを位置情報として利用して乱数の集合DB(50)に格納された第2の乱数の集合を構成する乱数の中でシード値とパスワードDB(40)に保存されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成する過程が行われる。
【0064】
段階S160で、認証サーバー(31)が、自分が作成した第2の使い捨て乱数とユーザー端末(10)から送られて第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証する過程が行われる。
【0065】
以下では、本発明の第1の実施態様において、使い捨て乱数生成器(20)が第1の使い捨て乱数を生成し、認証サーバー(31)がこれに対応して第2の使い捨て乱数を生成する具体的な方法の例を説明する。
【0066】
一つの例として、使い捨て乱数生成器(20)は、認証サーバー(31)によって生成されたシード値とユーザーによって入力されたユーザーのパスワードに第1の演算規則を適用して第1の中間値を生成し、第1の中間値に第1の抽出規則を適用して、第1の位置番号を抽出し、第1の乱数の集合を構成する乱数の中から、前記第1の位置番号に対応する乱数を抽出して第1の使い捨て乱数を生成することができる。例えば、第1の演算規則は合算、減算などの様々な演算方法であることができ、第1の抽出規則では、第1の中間値で第1の位置番号を抽出するための様々な方法が適用されることができる。また、認証サーバー(31)は、自身が生成したシード値とパスワードDB(40)に保存されたユーザーのパスワードに第2の演算規則を適用して第2の中間値を生成し、第2の中間値に第2の抽出ルールを適用して第2の位置番号を抽出し、第2の乱数の集合を構成する乱数の中から第2の位置番号に対応する乱数を抽出して第2の使い捨て乱数を生成することができる。第2の演算規則は、第1の演算規則と同一であり、第2の抽出規則は、第1の抽出規則と同じである。この例では、使い捨ての乱数生成器(20)と、認証サーバー(31)は、それぞれ移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報をさらに利用して、第1の使い捨て乱数と第2の使い捨て乱数を生成するように構成することもできる。例えば、送金取引の場合には、受取人の識別情報は、受取人の口座情報であることがあり、ショッピングモール決済取引の場合には、数追認識別情報は、ショッピングモール事業者番号情報であることができる。
【0067】
また、例えば、使い捨て乱数生成器(20)と、認証サーバー(31)は、それぞれ前記ユーザーの生体情報をさらに利用して、第1の使い捨て乱数と第2の使い捨て乱数を生成するように構成することもできる。
【0068】
他の例として、使い捨て乱数生成器(20)は、第1の乱数の集合を構成する乱数の中で、認証サーバー(31)によって生成されたシード値とユーザーによって入力されたユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数に第1の変換規則を適用して第1の使い捨て乱数を生成することができる。また、認証サーバー(31)は、第2の乱数の集合を構成する乱数の中でシード値とパスワードDB(40)に保存されたユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数に第2の変換規則を適用して第2の使い捨て乱数を生成することができる。第1の変換規則と第2の変換規則は同じである。例えば、抽出された乱数が「114101」である場合には、この数字に2を乗じた数(229202)またはログ(LOG)をとり出てきたことが(5.0572894506634274641656910578661)の一部(例えば、057289)を、第1および第2のOTPとして使用することができている。この例でも、使い捨て乱数生成器(20)と、認証サーバー(31)は、それぞれ移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報をさらに利用して、第1の使い捨て乱数と第2の使い捨て乱数を生成するように構成することもできる。また、例えば、使い捨て乱数生成器(20)と、認証サーバー(31)は、それぞれ前記ユーザーの生体情報をさらに利用して、第1の使い捨て乱数と第2の使い捨て乱数を生成するように構成することもできる。
【0069】
別の例として、セキュリティ強化のために、第1の使い捨て乱数と第2の使い捨て乱数は暗号化されることができる。このため、使い捨て乱数生成器(20)は、第1の乱数の集合を構成する乱数の中で、認証サーバー(31)によって生成されたシード値とユーザーによって入力されたユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数を第1のハッシュ関数で暗号化して第1の使い捨て乱数を生成することができ、抽出された乱数にユーザー情報を付加した後、暗号化することもできる。また、認証サーバー(31)は、第2の乱数の集合を構成する乱数の中から、自分が作成したシード値とパスワードDB(40)に保存されたユーザーのパスワードに対応する位置の乱数を抽出し、抽出された乱数を第2のハッシュ関数で暗号化して第2の使い捨て乱数を生成することができ、抽出された乱数にユーザー情報を付加した後、暗号化することもできる。第1のハッシュ関数と第2のハッシュ関数は同一である。
【0070】
図3は、本発明の第2の実施態様に係る統合認証システムを示した図である。以下では、第1の実施態様と比較して、第2の実施態様の持つ特徴的な部分に焦点を合わせて説明し、第1の実施態様に適用される様々な例が、第2の実施態様にも適用されることができるという点を明らかにしておく。
【0071】
図3を参照すると、本発明の第2の実施態様に係る統合認証システムは、ユーザー端末(10)が、使い捨て乱数生成器(20)、認証サーバー(32)、パスワードDB(40)と乱数の集合DB(50)を含んでいる。第2の実施態様は、第1の実施態様と比較して、認証サーバー(32)が隠蔽数字の集合の生成モジュール(330)をさらに含むという点で違いがある。隠蔽数字の集合の生成モジュール(330)は、シード値(seed value)が含まれている隠蔽数字の集合を生成する機能を実行する。
【0072】
図4は、本発明の第2の実施態様に係る統合認証システムの動作の流れを説明するための図である。
【0073】
図4をさらに参照すると、段階S210では、ユーザー端末(10)が、認証サーバー(32)にユーザーの認証を要求する過程が行われる。
【0074】
段階S220では、ユーザー端末(10)からユーザーの認証を要求された認証サーバー(32)はシード値(seed value)が含まれている隠蔽数字の集合を作成して、ユーザー端末(10)に転送する過程が行われる。シード値を隠蔽数字の集合に含まれていて送信すれば、第三者はシード値が何なのかを知ることができないので、安全性が強化される。
【0075】
段階S230は、使い捨て乱数生成器(20)は、ユーザー端末(10)が受信した隠蔽数字の集合から取得されたシード値とユーザーによって入力されたユーザーのパスワードを位置情報として利用して使い捨ての乱数生成器(20)に格納された第1の乱数の集合を構成する乱数の中でシード値とユーザーによって入力されたユーザーのパスワードに対応する位置の乱数を抽出して第1の使い捨て乱数を生成して表示する過程が行われる。例えば、段階S230は隠蔽数字の集合を構成する数字の中から、ユーザーに付与されたシード抽出用の位置番号に対応する数字を抽出してシード値を取得するように構成されることができる。具体的な例として、約束された位置の値、すなわち、シード抽出用の位置番号が「7」、「9」、「5」、「6」である場合は、認証サーバー(32)は、ユーザー端末(10)に送信した隠蔽数字の集合が「3701235468」であれば、シード値は、7番目に位置する数字「5」と9番目に位置する数字「6」と5番目に位置する数字「2」と6番目に位置する数字「3」、つまり「5623」はシード値となるものである。
【0076】
段階S240では、ユーザー端末(10)が第1の使い捨て乱数を認証サーバー(32)に送信する過程が行われる。第1の使い捨て乱数は使い捨ての乱数生成器(20)によって生成され、表示され、ユーザーが第1の使い捨て乱数をユーザー端末(10)に入力すると、ユーザー端末(10)が第1の使い捨て乱数を認証サーバー(32)に転送するように構成されることができる。
【0077】
段階S250で、認証サーバー(32)がシード値とパスワードDB(40)に保存されたユーザーのパスワードを位置情報として利用して乱数の集合DB(50)に格納された第2の乱数の集合を構成する乱数の中でシード値とパスワードDB(40)に保存されたユーザーのパスワードに対応する位置の乱数を抽出して第2の使い捨て乱数を生成する過程が行われる。
【0078】
段階S260で、認証サーバー(32)が、自分が作成した第2の使い捨て乱数とユーザー端末から受信した第1の使い捨て乱数とが一致するかどうかを基準にしてユーザーを認証する過程が行われる。
【0079】
先に明らかにしたように、第1の実施態様に適用される様々な例が、第2の実施態様にも適用することができる。例えば、第1の実施態様に適用される使い捨ての乱数生成器(20)が第1の使い捨て乱数を生成し、認証サーバー(31)がこれに対応して第2の使い捨て乱数を生成する具体的な方法の例が、第2の実施態様にも適用することができる。
【0080】
以上で詳細に説明したように、本発明によると、正当な権原がない第三者によってユーザー端末またはサーバーがハッキングされても取引パスワードが流出しないようすることにより、ユーザー認証のセキュリティが大幅に向上する効果がある。
【0081】
また、ユーザー認証要求ごとに取引パスワードを動的に変更させて、第三者による再利用を不可能にし、第三者がこの取引パスワードを事前に予測することができないようにすることで、ユーザー認証のセキュリティが大幅に強化される効果がある。
【0082】
また、ユーザーがサーバーに接続する前に取引パスワードが生成されないので、サーバー運営者でさえも盗用が不可能だという効果があり、サーバー運営者側で内部統制のコストが減少される効果がある。
【0083】
また、本発明は、ユーザーが認証を受けるための使い捨ての乱数生成器で生成された使い捨ての乱数を取引パスワードを利用するので、正当な権原がない第三者が来たライン盗聴やハッキングをしても取引パスワードを盗用することができない効果がある。
【0084】
また、正当な権原がない第三者が使い捨て乱数生成器を習得して使用しても、第三者ユーザーのパスワードを知ることができないので、第三者が習得した使い捨て乱数生成器は、認証サーバーが生成した乱数と同じ乱数を生成することができず、これにより、使い捨ての乱数生成器が紛失された場合でも、取引パスワードが盗用されない効果がある。
【0085】
また、ユーザーのパスワードとユーザーの個人キーに対応する第2の乱数の集合を認証サーバーに保管せず、それぞれのパスワードDBと乱数の集合DBに分離保管するので、認証サーバーがハッキングされても取引パスワードが盗用されない効果がある。
【0086】
また、使い捨ての乱数生成器で生成された乱数は、移替金額情報、受取人の識別情報、取引時間情報の一部または全部を含んでいる取引情報を含んでいるので取引否認防止効果が発生する。つまり、シード値送った認証サーバー(金融機関等)が取引していなかったと否定することができず、そのシード値と自分のユーザーのパスワードを入力して発生した数字を認証サーバーに送ったユーザーも、自分がそのような行為をしていなかった否定できない。また、使い捨ての乱数生成器で生成された乱数は、受取人の識別情報を含んでいるので、ハッカーが使い捨て乱数生成器を不当に傍受自分の大砲通帳番号に転送を要求しても、受取人の識別情報が異なるため、ハッカーのための認証が拒否される効果がある。
【0087】
また、使い捨て乱数生成器を使用するためには、ユーザーのパスワードが必要で、そのユーザーのパスワードは、ユーザーの記憶(脳)の中にだけ保持され、外部のどこにも残っていませんので、第三者がこれを盗用する方法がないので、使い捨て乱数生成器は、公認証明書を効果的に置き換えることができる。
【0088】
また、特定の取引でトレーダーが正当なユーザーであるかどうかを認証することができるのみならず、ユーザーの身分を一般的に確認できる身分確認用としても利用することができるので、ユーザーのための統合的な認証が可能となる効果がある。
【符号の説明】
【0089】
10:ユーザー端末
20:使い捨て乱数生成器
31、32:認証サーバー
40:パスワードDB
50:乱数の集合DB
210:ユーザーインターフェースモジュール
220:第1の使い捨て乱数生成モジュール
230:ストレージモジュール
310:通信モジュール
320:シード値生成モジュール
330:隠蔽数字の集合の生成モジュール
340:第2の使い捨て乱数生成モジュール
350:認証モジュール
図1
図2
図3
図4
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.