知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024115482
(43)【公開日】2024-08-26
(54)【発明の名称】本人認証方法
(51)【国際特許分類】
G06F 21/31 20130101AFI20240819BHJP
【FI】
G06F21/31
【審査請求】未請求
【請求項の数】3
【出願形態】OL
(21)【出願番号】P 2023021211
(22)【出願日】2023-02-14
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.WINDOWS
(71)【出願人】
【識別番号】522482120
【氏名又は名称】株式会社Asuka
(71)【出願人】
【識別番号】322012929
【氏名又は名称】藤井忠生
(72)【発明者】
【氏名】上林 昭平
(72)【発明者】
【氏名】佐々木 清幸
(72)【発明者】
【氏名】藤井 忠生
(57)【要約】
【課題】より安全に、かつより低コストで本人確認が行える方法を提供する。
【解決手段】通信端末の利用者のIDおよびパスワードと、通信端末の端末IDとを予めサーバーに登録し、通信端末によるサーバーへのログイン要求およびサーバーでの第1段階の認証成功から、通信端末によるサーバーへの認証要求までの経過時間を、サーバーおよび通信端末のそれぞれにおいて別々に計測し、サーバーおよび通信端末のそれぞれにおいてID、パスワード、端末IDおよび経過時間に基づいてワンタイムパスワードを生成して、ワンタイムパスワードのハッシュ値を算出し、通信端末側で算出したハッシュ値をサーバーに送信し、サーバーにおいて、2つのハッシュ値を照合し、両者が一致すれば、利用者が真の利用者であると判定して、通信端末に第2段階の認証成功の信号を送信する。
【選択図】図1
【解決手段】通信端末の利用者のIDおよびパスワードと、通信端末の端末IDとを予めサーバーに登録し、通信端末によるサーバーへのログイン要求およびサーバーでの第1段階の認証成功から、通信端末によるサーバーへの認証要求までの経過時間を、サーバーおよび通信端末のそれぞれにおいて別々に計測し、サーバーおよび通信端末のそれぞれにおいてID、パスワード、端末IDおよび経過時間に基づいてワンタイムパスワードを生成して、ワンタイムパスワードのハッシュ値を算出し、通信端末側で算出したハッシュ値をサーバーに送信し、サーバーにおいて、2つのハッシュ値を照合し、両者が一致すれば、利用者が真の利用者であると判定して、通信端末に第2段階の認証成功の信号を送信する。
【選択図】図1
【特許請求の範囲】
【請求項1】
通信端末とサーバーを通信ネットワークを介して接続し、前記通信端末および前記サーバー間で通信を行うとき、前記サーバー側で前記通信端末の利用者の本人認証を行う方法であって、
(1)前記利用者のIDおよびパスワードと、前記通信端末を識別するための端末IDとの組み合わせを、予め前記サーバーに登録するステップと、
(2)前記通信端末側において、前記サーバーに対しIDおよびパスワードを含むログイン要求を送信するステップと、
(3)前記サーバー側において、前記ログイン要求を受信したとき、前記ログイン要求に含まれたIDおよびパスワードが前記登録したIDおよびパスワードの組と一致すれば、前記通信端末に第1の認証信号を送信するとともに、前記サーバーの内蔵時計による計時を開始するが、一致しなければ、前記ログイン要求を破棄するステップと、
(4)前記通信端末側において、前記第1の認証信号を受信したとき、前記通信端末の内蔵時計による計時を開始するとともに、前記前記利用者に前記通信端末を通じてアクションを行わせるステップと、
(5)前記通信端末側において、前記アクションが予め決定した制限回数内に完了したとき、前記通信端末の内蔵時計によって、ステップ(4)の計時の開始からの経過時間を計測して当該計時を終了するが、前記アクションの完了までに前記制限回数を超えた場合には、前記アクションの回数が前記制限回数に達した時点で、前記通信端末の内蔵時計によって、ステップ(4)の計時の開始からの経過時間を計測して当該計時を終了するステップと、
(6)前記通信端末側において、前記アクションが完了した時点で、前記ID、前記パスワード、前記端末ID、およびステップ(5)で計測した経過時間に基づき、予め決定した規則に従ってワンタイムパスワードを生成するステップと、
(7)前記通信端末側において、ハッシュ関数を用いて前記ワンタイムパスワードのハッシュ値を算出し、前記ハッシュ値を含む認証要求を前記サーバーに送信するステップと、
(8)前記サーバー側において、前記認証要求を受信したとき、ステップ(3)の計時の開始からの経過時間を計測して当該計時を終了し、前記経過時間と、ステップ(3)で受信したIDおよびパスワードと、前記予め登録した対応する端末IDとに基づき、前記規則に従って文字列を生成し、前記ハッシュ関数を用いて前記文字列の参照ハッシュ値を算出するステップと、
(9)前記サーバー側において、前記認証要求に含まれた前記ハッシュ値を前記参照ハッシュ値と照合し、両者が一致すれば、前記利用者が真の利用者であると判定して前記通信端末に第2の認証信号を送信するが、前記両者が一致しなければ、前記利用者は偽の利用者であると判定して前記通信端末に非認証信号を送信するステップと、を含んでいることを特徴とする方法。
(1)前記利用者のIDおよびパスワードと、前記通信端末を識別するための端末IDとの組み合わせを、予め前記サーバーに登録するステップと、
(2)前記通信端末側において、前記サーバーに対しIDおよびパスワードを含むログイン要求を送信するステップと、
(3)前記サーバー側において、前記ログイン要求を受信したとき、前記ログイン要求に含まれたIDおよびパスワードが前記登録したIDおよびパスワードの組と一致すれば、前記通信端末に第1の認証信号を送信するとともに、前記サーバーの内蔵時計による計時を開始するが、一致しなければ、前記ログイン要求を破棄するステップと、
(4)前記通信端末側において、前記第1の認証信号を受信したとき、前記通信端末の内蔵時計による計時を開始するとともに、前記前記利用者に前記通信端末を通じてアクションを行わせるステップと、
(5)前記通信端末側において、前記アクションが予め決定した制限回数内に完了したとき、前記通信端末の内蔵時計によって、ステップ(4)の計時の開始からの経過時間を計測して当該計時を終了するが、前記アクションの完了までに前記制限回数を超えた場合には、前記アクションの回数が前記制限回数に達した時点で、前記通信端末の内蔵時計によって、ステップ(4)の計時の開始からの経過時間を計測して当該計時を終了するステップと、
(6)前記通信端末側において、前記アクションが完了した時点で、前記ID、前記パスワード、前記端末ID、およびステップ(5)で計測した経過時間に基づき、予め決定した規則に従ってワンタイムパスワードを生成するステップと、
(7)前記通信端末側において、ハッシュ関数を用いて前記ワンタイムパスワードのハッシュ値を算出し、前記ハッシュ値を含む認証要求を前記サーバーに送信するステップと、
(8)前記サーバー側において、前記認証要求を受信したとき、ステップ(3)の計時の開始からの経過時間を計測して当該計時を終了し、前記経過時間と、ステップ(3)で受信したIDおよびパスワードと、前記予め登録した対応する端末IDとに基づき、前記規則に従って文字列を生成し、前記ハッシュ関数を用いて前記文字列の参照ハッシュ値を算出するステップと、
(9)前記サーバー側において、前記認証要求に含まれた前記ハッシュ値を前記参照ハッシュ値と照合し、両者が一致すれば、前記利用者が真の利用者であると判定して前記通信端末に第2の認証信号を送信するが、前記両者が一致しなければ、前記利用者は偽の利用者であると判定して前記通信端末に非認証信号を送信するステップと、を含んでいることを特徴とする方法。
【請求項2】
前記サーバー側において、ステップ(3)の計時の開始からの経過時間が予め決定した認証実施時間を超えたとき、前記通信端末に非認証信号を送信し、前記通信端末との接続は行わないステップを、さらに含んでいることを特徴とする請求項1に記載の方法。
【請求項3】
前記アクションが、前記通信端末のディスプレイに乱数に基づいて毎回異なる英数字列を画像表示し、前記利用者に前記英数字列を前記通信端末に入力させることからなり、前記アクションは、前記利用者が入力した文字列が前記画像表示した文字列と一致したときに完了することを特徴とする請求項1に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信端末とサーバーをインターネット等の通信ネットワークを介して接続し、通信端末およびサーバー間で通信を行うとき、サーバー側で通信端末の利用者の本人認証を行う方法に関するものである。
【背景技術】
【0002】
今日、インターネットは社会基盤となり、もはやインターネットなしでの日常生活は想像し難い状況となっている。
例えば、インターネットには、ネット銀行、ネット証券およびネットショップ等のサーバーが接続され、その利用者は、日常的に、自己の通信端末(パソコン、スマートフォン、タブレット等)をインターネットを介してそれらのサーバーに接続し、オンライン取引、オンラインショッピングおよびオンライン決済等を行っている。
例えば、インターネットには、ネット銀行、ネット証券およびネットショップ等のサーバーが接続され、その利用者は、日常的に、自己の通信端末(パソコン、スマートフォン、タブレット等)をインターネットを介してそれらのサーバーに接続し、オンライン取引、オンラインショッピングおよびオンライン決済等を行っている。
【0003】
また、IоT(Internet of Things)の進展に伴って、例えば、IоT技術を住宅に適用したスマートホームが普及しつつある。
スマートホームにおいては、住宅内にホームコントローラが設置され、ホームコントローラに住宅内の家電製品および各種設備(監視カメラ、センサー等)が接続されるとともに、ホームコントローラがインターネットを介してセキュリティ会社のサーバーに接続される。
スマートホームにおいては、住宅内にホームコントローラが設置され、ホームコントローラに住宅内の家電製品および各種設備(監視カメラ、センサー等)が接続されるとともに、ホームコントローラがインターネットを介してセキュリティ会社のサーバーに接続される。
【0004】
そして、例えば、利用者が屋外から自己の通信端末を用いてサーバーにアクセスし、自宅のドアの施錠/開錠、窓の開閉、空調機の操作、風呂の湯はり、および監視カメラによる自宅内の監視等を遠隔で行うことができる。
【0005】
こうして、インターネットは人々の日常生活をより便利かつ快適にするが、その一方で、利用者になりすました者によってこれらのサーバーに不正にアクセスがなされてしまうと、顧客情報の漏洩、不正な出金、商品の詐取、家財の窃盗および住宅内の家電製品の乗っ取り等の甚大な被害が生じる。
【0006】
これを防止するため、従来技術において、利用者の通信端末およびサーバー間で通信を行うとき、サーバー側において利用者の本人認証を行う方法がいくつか知られており、それらの中でも、特に、IDおよびパスワードに加えてワンタイムパスワードを利用し、二段階で本人認証を行う方法が広く普及している。
【0007】
ワンタイムパスワードを利用した本人認証方法にはいくつかの方式があるが、最もよく利用されているのが、タイムスタンプ方式(時刻同期方式)とチャレンジレスポンス方式である(例えば、特許文献1~3参照)。
【0008】
タイムスタンプ方式においては、例えば、利用者が、トークンを作動させてワンタイムパスワードを表示させ、そのワンタイムパスワードをパスワードとともにサーバーに送信する。一方、サーバー側では、利用者のトークンが、いつ、どのようなワンタイムパスワードを生成させるかがわかっており、そのワンタイムパスワードと受信したワンタイムパスワードとが一致し、受信したパスワードが登録されたパスワードと一致すれば、認証成功となる。
【0009】
あるいは、利用者からサーバーにワンタイムパスワードの発行が要求されると、サーバー側でその時刻のワンタイムパスワードが生成され、電子メール、SMS(ショートメッセージサービス)、スマートフォンアプリおよび電話等を通じて利用者に送信される。そして、利用者は、通信端末からパスワードとワンタイムパスワードの組み合わせをサーバーに送信し、サーバー側において、受信したパスワードが登録されたパスワードと一致し、受信したワンタイムパスワードが生成していたワンタイムパスワードと一致すれば、認証成功となる。
【0010】
しかし、トークンを用いた方式によれば、利用者にトークンを提供し、サーバーには、それぞれの利用者のトークンの動作を同時的にモニタリングするシステムが必要となり、コストがかかるという問題があった。
また、ワンタイムパスワードをサーバーから電子メール等によって利用者に送信する方式によれば、ワンタイムパスワードの伝送途中で、攻撃者にワンタイムパスワードを盗み出す機会を与えてしまい、セキュリティ面で問題があった。
また、ワンタイムパスワードをサーバーから電子メール等によって利用者に送信する方式によれば、ワンタイムパスワードの伝送途中で、攻撃者にワンタイムパスワードを盗み出す機会を与えてしまい、セキュリティ面で問題があった。
【0011】
チャレンジレスポンス方式は、利用者がサーバーにログイン要求をすると、サーバー側でチャレンジと呼ばれる乱数に基づいた毎回異なる文字列を生成し、利用者側に送信する。利用者側では、チャレンジとパスワードに基づいてレスポンスを生成してサーバーに送信する。サーバー側では、チャレンジと登録されたパスワードに基づいてレスポンスを生成し、生成したレスポンスと受信したレスポンスが一致すれば、認証成功となる。
【0012】
しかし、この方式においては、サーバー側から利用者側へチャレンジを送信する間に、攻撃者によってチャレンジが盗み出される危険性があった。
【先行技術文献】
【特許文献】
【0013】
【特許文献1】特表2009-540458号公報
【特許文献2】特許第6898536号公報
【特許文献3】特開2008-262549号公報
【発明の概要】
【発明が解決しようとする課題】
【0014】
したがって、本発明の課題は、より安全に、かつより低コストで本人確認が行える方法を提供することにある。
【課題を解決するための手段】
【0015】
上記課題を解決するため、本発明によれば、通信端末とサーバーを通信ネットワークを介して接続し、前記通信端末および前記サーバー間で通信を行うとき、前記サーバー側で前記通信端末の利用者の本人認証を行う方法であって、
(1)前記利用者のIDおよびパスワードと、前記通信端末を識別するための端末IDとの組み合わせを、予め前記サーバーに登録するステップと、
(2)前記通信端末側において、前記サーバーに対しIDおよびパスワードを含むログイン要求を送信するステップと、
(3)前記サーバー側において、前記ログイン要求を受信したとき、前記ログイン要求に含まれたIDおよびパスワードが前記登録したIDおよびパスワードの組と一致すれば、前記通信端末に第1の認証信号を送信するとともに、前記サーバーの内蔵時計による計時を開始するが、一致しなければ、前記ログイン要求を破棄するステップと、
(4)前記通信端末側において、前記第1の認証信号を受信したとき、前記通信端末の内蔵時計による計時を開始するとともに、前記前記利用者に前記通信端末を通じてアクションを行わせるステップと、
(5)前記通信端末側において、前記アクションが予め決定した制限回数内に完了したとき、前記通信端末の内蔵時計によって、ステップ(4)の計時の開始からの経過時間を計測して当該計時を終了するが、前記アクションの完了までに前記制限回数を超えた場合には、前記アクションの回数が前記制限回数に達した時点で、前記通信端末の内蔵時計によって、ステップ(4)の計時の開始からの経過時間を計測して当該計時を終了するステップと、
(6)前記通信端末側において、前記アクションが完了した時点で、前記ID、前記パスワード、前記端末ID、およびステップ(5)で計測した経過時間に基づき、予め決定した規則に従ってワンタイムパスワードを生成するステップと、
(7)前記通信端末側において、ハッシュ関数を用いて前記ワンタイムパスワードのハッシュ値を算出し、前記ハッシュ値を含む認証要求を前記サーバーに送信するステップと、
(8)前記サーバー側において、前記認証要求を受信したとき、ステップ(3)の計時の開始からの経過時間を計測して当該計時を終了し、前記経過時間と、ステップ(3)で受信したIDおよびパスワードと、前記予め登録した対応する端末IDとに基づき、前記規則に従って文字列を生成し、前記ハッシュ関数を用いて前記文字列の参照ハッシュ値を算出するステップと、
(9)前記サーバー側において、前記認証要求に含まれた前記ハッシュ値を前記参照ハッシュ値と照合し、両者が一致すれば、前記利用者が真の利用者であると判定して前記通信端末に第2の認証信号を送信するが、前記両者が一致しなければ、前記利用者は偽の利用者であると判定して前記通信端末に非認証信号を送信するステップと、を含んでいることを特徴とする方法が提供される。
(1)前記利用者のIDおよびパスワードと、前記通信端末を識別するための端末IDとの組み合わせを、予め前記サーバーに登録するステップと、
(2)前記通信端末側において、前記サーバーに対しIDおよびパスワードを含むログイン要求を送信するステップと、
(3)前記サーバー側において、前記ログイン要求を受信したとき、前記ログイン要求に含まれたIDおよびパスワードが前記登録したIDおよびパスワードの組と一致すれば、前記通信端末に第1の認証信号を送信するとともに、前記サーバーの内蔵時計による計時を開始するが、一致しなければ、前記ログイン要求を破棄するステップと、
(4)前記通信端末側において、前記第1の認証信号を受信したとき、前記通信端末の内蔵時計による計時を開始するとともに、前記前記利用者に前記通信端末を通じてアクションを行わせるステップと、
(5)前記通信端末側において、前記アクションが予め決定した制限回数内に完了したとき、前記通信端末の内蔵時計によって、ステップ(4)の計時の開始からの経過時間を計測して当該計時を終了するが、前記アクションの完了までに前記制限回数を超えた場合には、前記アクションの回数が前記制限回数に達した時点で、前記通信端末の内蔵時計によって、ステップ(4)の計時の開始からの経過時間を計測して当該計時を終了するステップと、
(6)前記通信端末側において、前記アクションが完了した時点で、前記ID、前記パスワード、前記端末ID、およびステップ(5)で計測した経過時間に基づき、予め決定した規則に従ってワンタイムパスワードを生成するステップと、
(7)前記通信端末側において、ハッシュ関数を用いて前記ワンタイムパスワードのハッシュ値を算出し、前記ハッシュ値を含む認証要求を前記サーバーに送信するステップと、
(8)前記サーバー側において、前記認証要求を受信したとき、ステップ(3)の計時の開始からの経過時間を計測して当該計時を終了し、前記経過時間と、ステップ(3)で受信したIDおよびパスワードと、前記予め登録した対応する端末IDとに基づき、前記規則に従って文字列を生成し、前記ハッシュ関数を用いて前記文字列の参照ハッシュ値を算出するステップと、
(9)前記サーバー側において、前記認証要求に含まれた前記ハッシュ値を前記参照ハッシュ値と照合し、両者が一致すれば、前記利用者が真の利用者であると判定して前記通信端末に第2の認証信号を送信するが、前記両者が一致しなければ、前記利用者は偽の利用者であると判定して前記通信端末に非認証信号を送信するステップと、を含んでいることを特徴とする方法が提供される。
【0016】
本発明の好ましい実施例によれば、前記サーバー側において、ステップ(3)の計時の開始からの経過時間が予め決定した認証実施時間を超えたとき、前記通信端末に非認証信号を送信し、前記通信端末との接続は行わない。
【0017】
本発明の別の好ましい実施例によれば、前記アクションが、前記通信端末のディスプレイに乱数に基づいて毎回異なる英数字列を画像表示し、前記利用者に前記英数字列を前記通信端末に入力させることからなり、前記アクションは、前記利用者が入力した文字列が前記画像表示した文字列と一致したときに完了する。
【発明の効果】
【0018】
本発明によれば、通信端末の利用者のIDおよびパスワードと、通信端末の端末IDとを予めサーバーに登録し、通信端末によるサーバーへのログイン要求およびサーバーでの第1段階の認証成功(第1の認証信号の送信)から、通信端末によるサーバーへの認証要求までの経過時間を、サーバーおよび通信端末のそれぞれにおいて別々に計測し、サーバーおよび通信端末のそれぞれにおいてID、パスワード、端末IDおよび経過時間に基づいてワンタイムパスワードを生成して、ワンタイムパスワードのハッシュ値を算出し、通信端末で算出したハッシュ値をサーバーに送信し、サーバー側において2つのハッシュ値を照合し、両者が一致すれば、利用者が真の利用者であると判定して、通信端末に第2段階の認証成功の信号(第2の認証信号)を送信する。
【0019】
この場合、ワンタイムパスワードの一要素である経過時間は、認証の実施毎にランダムに変動するので、ワンタイムパスワードがランダムであること、および1回限りで使い捨てされることを担保する。
【0020】
なお、サーバーおよび通信端末間において、計時の開始および経過時間の計測が、サーバーおよび通信端末間のデータ伝送、およびサーバーおよび通信端末それぞれのデータの内部処理に要する時間に起因して同時刻に行われないが、データ伝送および内部処理に要する時間は数十ミリ秒のオーダーであり、計測される経過時間の長さ(約30秒程度)に比べると、微小量にすぎない。
よって、計時の時間の単位を数十ミリ秒よりも十分長い時間に設定する、例えば1秒単位に設定することで、サーバーで計測した経過時間と通信端末で計測した経過時間の同一性が担保される。
よって、計時の時間の単位を数十ミリ秒よりも十分長い時間に設定する、例えば1秒単位に設定することで、サーバーで計測した経過時間と通信端末で計測した経過時間の同一性が担保される。
【0021】
こうして、本発明によれば、ワンタイムパスワードを生成するためのトークンを備える必要がないし、サーバーで生成したワンタイムパスワードを電子メールやSMS等によって利用者に送信する必要もないので、低コストに、かつより安全に本人認証が行える。
さらには、ワンタイムパスワードだけでなく、利用者による通信端末の人的操作(アクション)も用いているので、本人認証の安全性が向上する。
さらには、ワンタイムパスワードだけでなく、利用者による通信端末の人的操作(アクション)も用いているので、本人認証の安全性が向上する。
【図面の簡単な説明】
【0022】
【図1】本発明の1実施例による本人認証方法の処理の流れを示すシーケンス図である
【発明を実施するための形態】
【0023】
以下、添付図面を参照しつつ、本発明の構成を好ましい実施例に基づいて説明する。
図1は、本発明の1実施例による本人認証方法の処理の流れを示すシーケンス図である。
図1は、本発明の1実施例による本人認証方法の処理の流れを示すシーケンス図である。
【0024】
本発明による本人認証方法は、通信端末とサーバーを通信ネットワークを介して接続し、通信端末およびサーバー間で通信を行うとき、サーバー側で通信端末の利用者の本人認証を行うものであり、図1を参照して、本発明によれば、まず、利用者のIDおよびパスワードと、利用者が所有する通信端末を識別するための端末IDとの組み合わせを予めサーバーに登録する(図1のステップS1)。
【0025】
通信端末は、例えば、パソコン、スマートフォンおよびタブレットからなっている。
端末IDは、通信端末を識別するために当該通信端末に付与された識別番号であり、例えば、Windowsパソコンにおいては、OS(Operating System)のシリアルナンバーであり、スマートフォンやタブレットにおいては、IMEI(International Mobile Equipment Identity)である。
端末IDは、通信端末を識別するために当該通信端末に付与された識別番号であり、例えば、Windowsパソコンにおいては、OS(Operating System)のシリアルナンバーであり、スマートフォンやタブレットにおいては、IMEI(International Mobile Equipment Identity)である。
【0026】
本発明によれば、次に、通信端末側において、サーバーに対し、IDおよびパスワードを含むログイン要求を送信する(図1のステップS2)。
【0027】
一方、サーバー側において、ログイン要求を受信したとき、ログイン要求に含まれたIDおよびパスワードが予め登録したIDおよびパスワードの組と一致すれば、通信端末に第1の認証信号を送信するとともに(第1段階の認証の成功)、サーバーの内蔵時計(システムクロック)による計時を開始するが、一致しなければ、通信端末に非認証信号を送信し、ログオン要求を破棄する(図1のステップS3)。
【0028】
そして、通信端末側において、サーバーから第1の認証信号を受信したとき、通信端末の内蔵時計(システムクロック)による計時を開始するとともに、利用者に通信端末を通じてアクションを行わせる(図1のステップS4)。
【0029】
アクションは、利用者が人間であることを確認し、「ボット」と呼ばれるコンピュータプログラムを排除することを目的として実施され、例えば、通信端末のディスプレイに乱数に基づいて毎回異なる英数字列を画像表示し、利用者に当該英数字列を通信端末に入力させることからなる。この場合、アクションは、利用者が入力した文字列が画像表示した文字列と一致したときに完了する。
あるいは、アクションは、例えば、通信端末のディスプレイに乱数に基づいて毎回異なる一部が欠けた写真(絵)と対応するピースの組を画像表示し、利用者にピースを写真(絵)に正確に嵌め込ませることからなり、この場合、アクションは、写真(絵)が完成したときに完了する。
あるいは、アクションは、例えば、通信端末のディスプレイに乱数に基づいて毎回異なる一部が欠けた写真(絵)と対応するピースの組を画像表示し、利用者にピースを写真(絵)に正確に嵌め込ませることからなり、この場合、アクションは、写真(絵)が完成したときに完了する。
【0030】
本発明によれば、さらに、通信端末側において、アクションが予め決定した制限回数内に完了したとき、通信端末の内蔵時計によって、ステップS4の計時の開始からの経過時間を計測して当該計時を終了するが、アクションの完了までに制限回数を超えた場合には、アクションの回数が制限回数に達した時点で、通信端末の内蔵時計によって、ステップS4の計時の開始からの経過時間を計測して当該計時を終了する(図1のステップS5)。
【0031】
制限回数はできるだけ少ないこと、例えば1回に設定することが好ましい。それによって、ボットによって短時間に繰り返してアクションが試みられるのを排除することができる。
【0032】
そして、本発明によれば、通信端末側において、アクションが完了した時点で、ID、パスワード、端末ID、およびステップS5で計測した経過時間に基づき、予め決定した規則に従ってワンタイムパスワードを生成し(図1のステップS6)、ハッシュ関数を用いてワンタイムパスワードからハッシュ値を算出し、ハッシュ値を含む認証要求をサーバーに送信する(図1のステップS7)。
【0033】
ワンタイムパスワードを生成する規則は、例えば、ID、パスワード、端末IDおよび経過時間の数値を特定の順序で組み合わせることでもよいし、これらの要素にさらに特定の文字列(英数字および記号の1つまたは2以上の組み合わせ)を組み合わせることでもよい。
ハッシュ関数としては、SHA256またはSHA512を使用することが好ましい。この実施例では、SHA256を採用している。
ハッシュ関数としては、SHA256またはSHA512を使用することが好ましい。この実施例では、SHA256を採用している。
【0034】
本発明によれば、次いで、サーバー側において、認証要求を受信したとき、ステップS3の計時の開始からの経過時間を計測し、経過時間と、ステップS3で受信したIDおよびパスワードと、登録した対応する端末IDとに基づき、ステップS6で用いたのと同じ規則に従ってワンタイムパスワードを生成し、ステップS7で用いたのと同じハッシュ関数を用いて当該ワンタイムパスワードの参照ハッシュ値を算出する(図1のステップS8)。
【0035】
さらに、サーバー側において、認証要求に含まれたハッシュ値を参照ハッシュ値と照合し、両者が一致すれば、利用者が真の利用者であると判定して通信端末に第2の認証信号を送信するが(第2段階の認証の成功)、両者が一致しなければ、利用者は偽の利用者であると判定して通信端末に非認証信号を送信する(図1のステップS9)。
【0036】
ステップS9において、ステップS3でアクションが制限回数内に完了しなかった場合には、通信端末において計測された経過時間とサーバーにおいて計測された経過時間は明らかに異なるので(通信端末で計測された経過時間の方が常に短い)、ハッシュ値と参照ハッシュ値が一致することはなく、利用者は偽の利用者であると判定される(第2段階の認証は失敗に終わる)。
【0037】
さらに、この実施例では、サーバー側において、ステップS3の計時の開始からの経過時間が予め決定した認証実施時間を超えたとき、通信端末に非認証信号を送信するステップを、さらに含んでいる。
【0038】
本発明によれば、通信端末の利用者のIDおよびパスワードと、通信端末の端末IDとを予めサーバーに登録し、通信端末によるサーバーへのログイン要求およびサーバーでの第1段階の認証成功(第1の認証信号の送信)から、通信端末によるサーバーへの認証要求までの経過時間を、サーバーおよび通信端末のそれぞれにおいて別々に計測し、サーバーおよび通信端末のそれぞれにおいてID、パスワード、端末IDおよび経過時間に基づいてワンタイムパスワードを生成して、ワンタイムパスワードのハッシュ値を算出し、通信端末で算出したハッシュ値をサーバーに送信し、サーバー側において2つのハッシュ値を照合し、両者が一致すれば、利用者が真の利用者であると判定して、通信端末に第2段階の認証成功の信号(第2の認証信号)を送信する。
【0039】
この場合、経過時間は、認証の実施毎にランダムに変動するので、ワンタイムパスワードがランダムであること、および1回限りで使い捨てされることを担保する。
【0040】
なお、サーバーおよび通信端末間において、計時の開始および経過時間の計測が、サーバーおよび通信端末間のデータ伝送、およびサーバーおよび通信端末それぞれのデータの内部処理に要する時間に起因して同時刻に行われないが、データ伝送および内部処理に要する時間は数十ミリ秒のオーダーであり、計測される経過時間の長さ(約30秒程度)に比べると、微小な時間にすぎない。
よって、計時の時間の単位を数十ミリ秒よりも十分長い時間に設定する、例えば1秒単位に設定することで、サーバーで計測した経過時間と通信端末で計測した経過時間の同一性が担保される。
よって、計時の時間の単位を数十ミリ秒よりも十分長い時間に設定する、例えば1秒単位に設定することで、サーバーで計測した経過時間と通信端末で計測した経過時間の同一性が担保される。
【0041】
こうして、本発明によれば、ワンタイムパスワードを生成するためのトークンを備える必要がないし、サーバーで生成したワンタイムパスワードを電子メールやSMS等によって利用者に送信する必要もないので、低コストで、かつより安全に本人認証が行える。
さらには、ワンタイムパスワードだけでなく、利用者による通信端末の人的操作(アクション)も用いているので、本人認証の安全性が向上する。
さらには、ワンタイムパスワードだけでなく、利用者による通信端末の人的操作(アクション)も用いているので、本人認証の安全性が向上する。
【図1】
