(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022008284
(43)【公開日】2022-01-13
(54)【発明の名称】利用者認証システム
(51)【国際特許分類】
G06F 21/31 20130101AFI20220105BHJP
【FI】
G06F21/31
【審査請求】有
【請求項の数】4
【出願形態】OL
(21)【出願番号】P 2021122075
(22)【出願日】2021-07-27
(62)【分割の表示】P 2020171593の分割
【原出願日】2019-11-29
(31)【優先権主張番号】P 2019130749
(32)【優先日】2019-07-13
(33)【優先権主張国・地域又は機関】JP
(71)【出願人】
【識別番号】396006309
【氏名又は名称】曽根 利仁
(72)【発明者】
【氏名】曽根 利仁
(57)【要約】
【課題】同一値となるペアのOTPの比較により利用者認証を行う。
【解決手段】ペアの暗号鍵の一方及び同一値となるペアのOTPの一方を生成するペア暗号鍵一方生成機構は、同期時刻を用いてOTPの一方を生成する第1手段と、暗号鍵の一方を生成する第2手段と、を備え、OTPを比較して利用者を認証するペアOTP比較利用者認証装置は、同期時刻を用いてOTPの他方を生成する第3手段と、OTPを比較して利用者を認証する第4手段と、暗号鍵の他方を生成する第5手段と、を備える。
【選択図】図1
【解決手段】ペアの暗号鍵の一方及び同一値となるペアのOTPの一方を生成するペア暗号鍵一方生成機構は、同期時刻を用いてOTPの一方を生成する第1手段と、暗号鍵の一方を生成する第2手段と、を備え、OTPを比較して利用者を認証するペアOTP比較利用者認証装置は、同期時刻を用いてOTPの他方を生成する第3手段と、OTPを比較して利用者を認証する第4手段と、暗号鍵の他方を生成する第5手段と、を備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
ペアの暗号鍵の一方及び同一値となるペアのOTPの一方を生成するペア暗号鍵一方生成機構は、同期時刻を用いて前記OTPの一方を生成する第1手段と、前記暗号鍵の一方を生成する第2手段と、を備え、
前記OTPを比較して利用者を認証するペアOTP比較利用者認証装置は、前記同期時刻を用いて前記OTPの他方を生成する第3手段と、前記OTPを比較して前記利用者を認証する第4手段と、前記暗号鍵の他方を生成する第5手段と、を備える利用者認証システムに用いることを特徴とするペア暗号鍵一方生成機構。
前記OTPを比較して利用者を認証するペアOTP比較利用者認証装置は、前記同期時刻を用いて前記OTPの他方を生成する第3手段と、前記OTPを比較して前記利用者を認証する第4手段と、前記暗号鍵の他方を生成する第5手段と、を備える利用者認証システムに用いることを特徴とするペア暗号鍵一方生成機構。
【請求項2】
ペアの暗号鍵の一方及び同一値となるペアのOTPの一方を生成するペア暗号鍵一方生成機構は、同期時刻を用いて前記OTPの一方を生成する第1過程と、前記暗号鍵の一方を生成する第2過程と、を含み、
前記OTPを比較して利用者を認証するペアOTP比較利用者認証装置は、前記同期時刻を用いて前記OTPの他方を生成する第3過程と、前記OTPを比較して前記利用者を認証する第4過程と、前記暗号鍵の他方を生成する第5過程と、を含む利用者認証方法において、
前記ペアOTP比較利用者認証装置を使用することを特徴とする方法。
前記OTPを比較して利用者を認証するペアOTP比較利用者認証装置は、前記同期時刻を用いて前記OTPの他方を生成する第3過程と、前記OTPを比較して前記利用者を認証する第4過程と、前記暗号鍵の他方を生成する第5過程と、を含む利用者認証方法において、
前記ペアOTP比較利用者認証装置を使用することを特徴とする方法。
【請求項3】
プロセッサを、
請求項1に記載の利用者認証システムに用いる前記第1ないし第5手段の何れかとして機能させるための制御プログラム。
請求項1に記載の利用者認証システムに用いる前記第1ないし第5手段の何れかとして機能させるための制御プログラム。
【請求項4】
請求項1に記載の利用者認証システムに用いる前記第1手段または前記第2手段を備えることを特徴とする集積回路。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、利用者認証システムに関する。
【背景技術】
【0002】
従来、時刻同期式OTP(One Time Password)方法が知られている。例えば、特開平04-037341号公報に記載の技術は、第1局が公開情報Yj、時刻tおよび第1生成手順502、503を利用して、時刻同期式ワンタイムパスワードWi、情報Xijおよび暗号鍵Kijを生成して、第2局が時刻同期式ワンタイムパスワードWi、情報Xijおよび時刻tの受渡情報と、第2生成手順505、507を利用して時刻同期式ワンタイムパスワードWiと暗号鍵Kjiを生成して、生成した時刻同期式ワンタイムパスワードWiを用いて第1局の時刻同期式ワンタイムパスワードWiを認証する技術が開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開平04-037341号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、従来の技術は、同一値となるペアのOTPの比較により利用者認証を行うことができないと言った問題があった。
【0005】
そこで、本発明の目的は、同一値となるペアのOTPの比較により利用者認証を行うことができるシステム及び方法を提供することにある。
【課題を解決するための手段】
【0006】
上記課題を解決するため本発明のシステムは、ペアの暗号鍵の一方及び同一値となるペアのOTPの一方を生成するペア暗号鍵一方生成機構は、同期時刻を用いて前記OTPの一方を生成する第1手段と、前記暗号鍵の一方を生成する第2手段と、を備え、前記OTPを比較して利用者を認証するペアOTP比較利用者認証装置は、前記同期時刻を用いて前記OTPの他方を生成する第3手段と、前記OTPを比較して前記利用者を認証する第4手段と、前記暗号鍵の他方を生成する第5手段と、を備えることを特徴とする。
【発明の効果】
【0007】
本発明によれば、システム及び方法は、同一値となるペアのOTPの比較により利用者認証を行うことができる。
【図面の簡単な説明】
【0008】
【図1】実施形態のワンタイムパスワード認証システムの構成図である。
【発明を実施するための形態】
【0009】
以下、本発明の一実施の形態について詳細に説明する。
【0010】
図1は実施形態のワンタイムパスワード認証システムの構成図である。
例えば、ワンタイムパスワード認証システムは、インターネット10、OTPによりWeb(Webクライアント2)の利用者を認証するWebサーバ1、Webサーバ1と接続する利用者のWebクライアント2およびOTPトークン(ワンタイムパスワード生成機構)をなす利用者のOTP装置3から構成され、Webサーバ1は、インターネット10を介してWebクライアント2にOTP要求を送信する。
例えば、ワンタイムパスワード認証システムは、インターネット10、OTPによりWeb(Webクライアント2)の利用者を認証するWebサーバ1、Webサーバ1と接続する利用者のWebクライアント2およびOTPトークン(ワンタイムパスワード生成機構)をなす利用者のOTP装置3から構成され、Webサーバ1は、インターネット10を介してWebクライアント2にOTP要求を送信する。
【0011】
OTP要求を受信したWebクライアント2は、利用者にログイン識別子(アカウント)および時差を入力させ、入力後、利用者がWebクライアント2にOTP装置3をかざして、NFCペアリング手段20が行なわれた場合に、Webクライアント2の時刻に時差を反映して求めた同期時刻を、NFCペアリング手段20を介してOTP装置3に通知する。
【0012】
NFCペアリング手段20が行なわれたOTP装置3は、受信した同期時刻と、OTPシードおよびOTP生成手順を利用してOTPを生成し、同期時刻、シークレット鍵およびセッション鍵生成手順を利用してセッション鍵を生成し(例えば、シークレット鍵の後方に同期時刻を連結した情報をハッシュ関数に通してハッシュ値を求め、そのハッシュ値をセッション鍵に変換するなど)、NFCペアリング手段20を介してOTPおよびセッション鍵をWebクライアント2に応答する。
【0013】
OTPおよびセッション鍵を受信したWebクライアント2は、インターネット10を介してアカウントおよびOTPをWebサーバ1に応答する(OTP要求の応答)。
【0014】
アカウントおよびOTPを受信したWebサーバ1は、アカウントとペアのトークン識別子を割出し、Webサーバ1の時刻にトークン識別子と対応する時差を反映して求めた同期時刻と、トークン識別子と対応するOTPシードと、OTP生成手順を利用してOTPを生成し、受信したOTPと生成したOTPが一致することを確認して利用者を認証し、同期時刻と、トークン識別子と対応するシークレット鍵と、セッション鍵生成手順を利用してセッション鍵を生成する。
【0015】
この結果、利用者の認証後のWebサーバ1およびWebクライアント2の双方は、セッション鍵を利用した暗号化Web通信(暗号化Webページを用いた通信。後述する暗号化したIP電話機の通話の伝送を含む)を行うこととなる。
【0016】
さらに、相互認証を実施するワンタイムパスワード認証システムは、Webサーバ1が利用者を認証後にセッション鍵で暗号化されたOTPをWebクライアント2に送信し、それを受信したWebクライアント2がOTPを復号化しOTP装置3で生成したOTPと一致することを確認してWebサーバ1を認証する。
【0017】
また、Webサーバ1が利用者を認証後にセッション鍵で暗号化されたOTPをWebクライアント2に送信し、それを受信したWebクライアント2がOTP装置3に送信し、それを受信したOTP装置3がOTPを復号化しOTP装置3で生成したOTPと一致することを確認してWebサーバ1を認証し、認証結果をWebクライアント2に送信してもよい。
【0018】
Webサーバ1、Webクライアント2、OTP装置3などの装置は、CPU、ROM、RAM、記憶装置、通信部、入出力部(ディスプレイ、キーボードなど)などを有するコンピュータ部を備える。Webクライアント2およびOTP装置3は、NFCペアリング実施部を備える。
【0019】
Webサーバ1およびWebクライアント2は、同期する時刻を刻むUTC時刻手段を備える。
Webサーバ1およびOTP装置3は、共通のOTP生成手順、共通のセッション鍵生成手順および共通のハッシュ関数を備える。
Webサーバ1およびOTP装置3は、共通のOTP生成手順、共通のセッション鍵生成手順および共通のハッシュ関数を備える。
【0020】
Webサーバ1は、利用者のアカウントとトークン識別子のペアと、トークン識別子と対応付けられた時差、OTPシードおよびシークレット鍵を記憶する利用者登録情報を備える。また、利用者を認証する認証サーバ1aおよびWebクライアント2と暗号化Web通信(暗号化Webページを用いた通信)を行うWebサーバ1bなどの二つのサーバで構成されていてもよい。
【0021】
OTP装置3は、トークン識別子、OTPシードおよびシークレット鍵を記憶する利用者登録情報を備える。また、スマートフォンなどを構成し、Webクライアント2の機能を複合していてもよい。また、OTP生成機能およびセッション鍵生成機能を備える集積回路(LSI)で構成されたスマートカードの形態をとっていてもよい。
【0022】
<認証サーバ1aおよびWebサーバ1bの構成の場合>
利用者登録処理として、Webクライアント2は、利用者が入力したトークン識別子をWebサーバ1bに送信し、トークン識別子を受信したWebサーバ1bは、利用者にアカウントを割当て、アカウントを含む利用者情報を自己に記憶し、Webクライアント2にアカウントを応答して利用者に通知させるとともに、アカウントおよびトークン識別子のペアを認証サーバ1aに送信し、認証サーバ1aは、該ペアをWebサーバ1bごとの利用者登録情報として自己に記憶する。この結果、利用者は、一つのOTP装置3を複数のWebサイトで利用することができる。
利用者登録処理として、Webクライアント2は、利用者が入力したトークン識別子をWebサーバ1bに送信し、トークン識別子を受信したWebサーバ1bは、利用者にアカウントを割当て、アカウントを含む利用者情報を自己に記憶し、Webクライアント2にアカウントを応答して利用者に通知させるとともに、アカウントおよびトークン識別子のペアを認証サーバ1aに送信し、認証サーバ1aは、該ペアをWebサーバ1bごとの利用者登録情報として自己に記憶する。この結果、利用者は、一つのOTP装置3を複数のWebサイトで利用することができる。
【0023】
さらに、Webクライアント2からOTP要求の応答を受けたWebサーバ1bは、受信したアカウントとOTPを含む利用者認証要求を認証サーバ1aに送信し、利用者認証要求を受信した認証サーバ1aは、利用者の認証を実施し、セッション鍵を生成し、セッション鍵をWebサーバ1bに応答する、この結果、利用者の認証後のWebサーバ1bおよびWebクライアント2の双方は、セッション鍵を利用した暗号化Web通信(暗号化Webページを用いた通信)を行うこととなる。
【0024】
さらに、OTP装置3の紛失や破損時の交換措置として、認証サーバ1aは、自己の利用者登録情報の旧トークン識別子に該当する全てのペアを対象に旧トークン識別子を、新たなOTP装置3のトークン識別子に置換え該ペアを一新する。
【0025】
さらに、利用者によりアカウントが変更されたWebサーバ1bは、変更された新旧のアカウントを認証サーバ1aに送信し、認証サーバ1aは、自己の利用者登録情報の旧アカウントとトークン識別子のペアの内の旧アカウントを新アカウントに置換え該ペアを一新する。
【0026】
上記実施形態において、ワンタイムパスワード認証システムは、ブラウザソフトウェアの機能(プラグインを利用するなど)として、上記Webクライアント2の機能が提供されることが望ましい。
【0027】
また、上記OTP要求をログインWebページとすると、ログインWebページによりアカウントと時差が入力され送信ボタンが押下されると、ブラウザソフトウェアにより時差がOTPに置換えられアカウントとOTPがWebサーバ1に応答されることとなる。
【0028】
また、NFCペアリング手段20の替りに、USBコネクタ接続手段、IrDA通信手段、ブルートゥース(登録商標)通信手段などを利用してもよい。
【0029】
また、時差を利用者の暗証情報として活用することができ、時差を4桁の時間や日数などとし、OTP装置3をスマートカード(集積回路を含むキャッシュカード、クレジットカード、電子マネーカードなど)とすると、銀行ATM(Automated Teller Machine)などのWebクライアント2の操作方法と親和性が保てる。
【0030】
また、Webクライアント2が入力された文字列をハッシュ関数に通し、時差に変換する構成としてもよい。
【0031】
また、利用者登録情報に記憶させたペアの登録秘密鍵として利用者ごとに異なるOTPシードとシークレット鍵を利用する構成としたが、シークレット鍵の替りにOTPシードを用いてセッション鍵を生成する構成としてもよく、その場合、Webサーバ1の利用者登録情報に記憶され、OTP生成時に利用者がWebクライアント2から入力する利用者ごとに異なる個別時差を設け、OTPおよびセッション鍵の生成に用いられる同期時刻の一方に個別時差を反映させる構成としてもよい。また、Webサーバ1およびWebクライアント2をWeb認証以外のエンティティとしてもよい。また、OTPが非可逆性を有してもよい。
【0032】
また、複数のWebクライアント2を、IP電話機の通話を提供するVoIP手段を備え、セッション鍵により暗号化した通話(ビデオ通話を含む)を伝送するWebサーバ1とWebクライアント2間の通話路を利用する電話加入者(利用者)のIP電話機とし、Webサーバ1を、IP電話機の電話交換を行うIP電話交換手段と、IP電話課金手段を備え、該通話路を提供するIP電話交換機としてもよい。
【0033】
以上の説明においては、通信制御プログラムを含む各種制御プログラムが、予めROMに格納されている場合について説明したが、制御プログラムを、コンピュータ部で読取可能な記憶媒体に記録するようにしてもよい。このような構成であれば、コンピュータ部によってプログラムが記憶媒体から読み取られ、読み取られたプログラムに従ってコンピュータ部が処理を実行すると、上記実施形態の各装置と同等の作用および効果が得られる。
【0034】
ここで、記憶媒体とは、RAM、ROM等の半導体記憶媒体、FD、HDD等の磁気記憶型記憶媒体、CD、DVD、BD等の光学的読取方式記憶媒体、MO等の磁気記憶型/光学的読取方式記憶媒体であって、電子的、磁気的、光学的等の読み取り方法のいかんにかかわらず、コンピュータ部で読み取り可能な記憶媒体であれば、どのような記憶媒体であってもよい。
【0035】
また、インターネット、LAN等のネットワークシステムを介して制御プログラムをダウンロードし、インストールして実行するように構成することも可能である。
【符号の説明】
【0036】
1…Webサーバ,1a…認証サーバ,1b…Webサーバ,2…Webクライアント,3…利用者トークン,10…インターネット,20…NFCペアリング手段
【図1】
【手続補正書】
【提出日】2021-12-18
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
ペアの暗号鍵の一方を生成する生成機構が、時刻同期式のペアのOTPの一方を生成する第1手段を備え、
前記OTPの一致を検出し利用者を認証する認証装置が、前記OTPの他方を生成する第2手段と、前記暗号鍵の他方を生成する第3手段と、を備えるシステムに用いることを特徴とする生成機構。
前記OTPの一致を検出し利用者を認証する認証装置が、前記OTPの他方を生成する第2手段と、前記暗号鍵の他方を生成する第3手段と、を備えるシステムに用いることを特徴とする生成機構。
【請求項2】
プロセッサを、
請求項1に記載のシステムに用いる第1ないし第3手段の何れかとして機能させるための制御プログラム。
請求項1に記載のシステムに用いる第1ないし第3手段の何れかとして機能させるための制御プログラム。
【請求項3】
請求項1に記載の利用者認証システムに用いる第1手段を備えることを特徴とする集積回路。
【請求項4】
ペアの暗号鍵の一方を生成する生成機構が、時刻同期式のペアのOTPの一方を生成する第1手段を備え、
前記OTPの一致を検出し利用者を認証する認証装置が、前記OTPの他方を生成する第2手段と、前記暗号鍵の他方を生成する第3手段と、を備えるシステムに用いる認証装置を使用することを特徴とする方法。
前記OTPの一致を検出し利用者を認証する認証装置が、前記OTPの他方を生成する第2手段と、前記暗号鍵の他方を生成する第3手段と、を備えるシステムに用いる認証装置を使用することを特徴とする方法。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0004
【補正方法】変更
【補正の内容】
【0004】
ところで、従来の技術は、ペアの暗号鍵を生成することができないと言った問題があった。
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】0005
【補正方法】変更
【補正の内容】
【0005】
そこで、本発明の目的は、ペアの暗号鍵を生成することができるシステムおよび方法を提供することにある。
【手続補正4】
【補正対象書類名】明細書
【補正対象項目名】0006
【補正方法】変更
【補正の内容】
【0006】
上記課題を解決するために本発明のシステムは、ペアの暗号鍵の一方を生成する生成機構が、時刻同期式のペアのOTPの一方を生成する第1手段を備え、
前記OTPの一致を検出し利用者を認証する認証装置が、前記OTPの他方を生成する第2手段と、前記暗号鍵の他方を生成する第3手段と、を備えることを特徴とする。
前記OTPの一致を検出し利用者を認証する認証装置が、前記OTPの他方を生成する第2手段と、前記暗号鍵の他方を生成する第3手段と、を備えることを特徴とする。
【手続補正5】
【補正対象書類名】明細書
【補正対象項目名】0007
【補正方法】変更
【補正の内容】
【0007】
本発明によれば、システムおよび方法は、ペアの暗号鍵を生成することができる。
【手続補正書】
【提出日】2021-12-20
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】請求項4
【補正方法】変更
【補正の内容】
【請求項4】
ペアの暗号鍵の一方を生成する生成機構は、時刻同期式のペアのOTPの一方を生成する第1過程を含み、
前記OTPの一致を検出し利用者を認証する認証装置は、前記OTPの他方を生成する第2過程と、前記暗号鍵の他方を生成する第3過程と、を含む利用者認証方法において、認証装置を使用することを特徴とする方法。
前記OTPの一致を検出し利用者を認証する認証装置は、前記OTPの他方を生成する第2過程と、前記暗号鍵の他方を生成する第3過程と、を含む利用者認証方法において、認証装置を使用することを特徴とする方法。