図面 (/)

技術 認証情報生成プログラム、認証情報生成装置、及び認証情報生成方法

出願人 大日本印刷株式会社
発明者 飯田達朗矢野義博
出願日 2015年3月26日 (5年10ヶ月経過) 出願番号 2015-065105
公開日 2016年10月20日 (4年4ヶ月経過) 公開番号 2016-184350
状態 特許登録済
技術分野 オンライン・システムの機密保護 暗号化・復号化装置及び秘密通信
主要キーワード パスワード生成プログラム オートコンプリート 許容誤差範囲 Webサイト間 演算用データ サイト選択 パスワード生成装置 入力負荷
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2016年10月20日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (7)

課題

ユーザへの負荷を低減しつつ、リスト攻撃に対するパスワード等の認証情報セキュリティを高めることが可能な認証情報生成プログラム認証情報生成装置、及び認証情報生成方法を提供する。

解決手段

CPUは、生成プログラムに従って、携帯端末Tにおける表示画面に表示されたパスワード入力欄に当該携帯端末Tのユーザの操作により入力されたパスワードを取得し、当該ユーザに関連するユーザ情報を取得し、携帯端末Tがアクセスする例えばWebサイトAに関連するサイト情報を取得し、当該取得されたパスワードと、ユーザ情報と、サイト情報とを用いて、ユーザ認証に使用される新たなパスワードを生成する。

概要

背景

Webサイトにおけるユーザ認証では、一般に、ユーザのID及びパスワードが用いられる。ユーザのID及びパスワードは、クッキーオートコンプリートで記憶しておくことができるが、セキュリティに問題がある。特許文献1には、IDとパスワードとをキーボードで入力する煩わしさやセキュリティの問題のないログイン支援ステムが開示されている。このログイン支援システムでは、一度ログインすると、携帯端末がURL、ID、及びパスワードを、セキュリティをかけて保存し、ユーザが再度ログインするときにURLからID及びパスワードを検索し、情報表示装置に表示させてユーザの認証を得た後ID及びパスワードを自動入力するようになっている。

概要

ユーザへの負荷を低減しつつ、リスト攻撃に対するパスワード等の認証情報のセキュリティを高めることが可能な認証情報生成プログラム認証情報生成装置、及び認証情報生成方法を提供する。CPUは、生成プログラムに従って、携帯端末Tにおける表示画面に表示されたパスワード入力欄に当該携帯端末Tのユーザの操作により入力されたパスワードを取得し、当該ユーザに関連するユーザ情報を取得し、携帯端末Tがアクセスする例えばWebサイトAに関連するサイト情報を取得し、当該取得されたパスワードと、ユーザ情報と、サイト情報とを用いて、ユーザ認証に使用される新たなパスワードを生成する。

目的

本発明は、上記点に鑑みてなされたものであり、ユーザへの負荷を低減しつつ、リスト攻撃に対するパスワード等の認証情報のセキュリティを高めることが可能な認証情報生成プログラム、認証情報生成装置、及び認証情報生成方法を提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

ユーザ認証に使用される認証情報を生成するコンピュータを、端末装置における表示画面に表示された認証情報入力欄に、当該端末装置のユーザの操作により入力された認証情報を取得する第1取得手段、前記ユーザに関連するユーザ情報と、前記端末装置のアクセス先に関連するアクセス情報との少なくとも何れか一方の情報を取得する第2取得手段、及び前記第1取得手段により取得された認証情報と、前記第2取得手段により取得された情報とを用いて、前記ユーザ認証に使用される認証情報を生成する生成手段として機能させることを特徴とする認証情報生成プログラム

請求項2

前記コンピュータを、前記生成手段は、前記第1取得手段により取得された認証情報と、前記第2取得手段により取得されたユーザ情報と、前記第2取得手段により取得されたアクセス情報とを用いて、前記認証情報を生成することを特徴とする請求項1に記載の認証情報生成プログラム。

請求項3

前記認証情報入力欄に入力可能な認証情報の入力桁数所定桁数の範囲に制限されており、前記生成手段は、前記所定桁数の範囲より大きい桁数の前記認証情報を生成することを特徴とする請求項1に記載の認証情報生成プログラム。

請求項4

前記コンピュータを、前記ユーザの操作により入力され前記認証情報入力欄に表示された前記認証情報に代えて、前記生成手段により生成された前記認証情報を前記認証情報入力欄に表示させる表示制御手段として更に機能させることを特徴とする請求項1または2に記載の認証情報生成プログラム。

請求項5

前記コンピュータを、前記ユーザの操作により前記認証情報が入力される前記認証情報入力欄とは別に前記表示画面に表示された認証情報入力欄に、前記生成手段により生成された前記認証情報を表示させる表示制御手段として更に機能させることを特徴とする請求項1乃至3の何れか一項に記載の認証情報生成プログラム。

請求項6

前記第2取得手段は、前記ユーザを識別可能識別情報を記憶する可搬型記録媒体から、当該識別情報を前記ユーザ情報として取得することを特徴とする請求項1乃至5の何れか一項に記載の認証情報生成プログラム。

請求項7

前記第2取得手段は、前記ユーザの身体から生体情報を取得する生体情報取得装置から、当該生体情報を前記ユーザ情報として取得することを特徴とする請求項1乃至5の何れか一項に記載の認証情報生成プログラム。

請求項8

前記第2取得手段は、前記端末装置の現在位置を検出する位置検出装置から、当該現在位置を示す位置情報を前記ユーザ情報として取得することを特徴とする請求項1乃至5の何れか一項に記載の認証情報生成プログラム。

請求項9

前記ユーザ情報は、所定のサーバ装置登録されており、前記第2取得手段は、前記サーバ装置から、当該ユーザ情報を取得することを特徴とする請求項1乃至5の何れか一項に記載の認証情報生成プログラム。

請求項10

ユーザ認証に使用される認証情報を生成する認証情報生成装置であって、端末装置における表示画面に表示された認証情報入力欄に、ユーザの操作により入力された認証情報を取得する第1取得手段と、前記ユーザに関連するユーザ情報と、前記端末装置のアクセス先に関連するアクセス情報との少なくとも何れか一方の情報を取得する第2取得手段と、前記第1取得手段により取得された認証情報と、前記第2取得手段により取得された情報とを用いて、前記ユーザ認証に使用される認証情報を生成する生成手段と、を備えることを特徴とする認証情報生成装置。

請求項11

ユーザ認証に使用される認証情報を生成するコンピュータにより行われる認証情報生成方法であって、端末装置における表示画面に表示された認証情報入力欄に、ユーザの操作により入力された認証情報を取得する第1取得ステップと、前記ユーザに関連するユーザ情報と、前記端末装置のアクセス先に関連するアクセス情報との少なくとも何れか一方の情報を取得する第2取得ステップと、前記第1取得ステップにより取得された認証情報と、前記第2取得ステップにより取得された情報とを用いて、前記ユーザ認証に使用される認証情報を生成する生成ステップと、を含むことを特徴とする認証情報生成方法。

技術分野

0001

本発明は、ユーザ認証に使用されるパスワード等の認証情報を生成する方法等の技術分野に関する。

背景技術

0002

Webサイトにおけるユーザ認証では、一般に、ユーザのID及びパスワードが用いられる。ユーザのID及びパスワードは、クッキーオートコンプリートで記憶しておくことができるが、セキュリティに問題がある。特許文献1には、IDとパスワードとをキーボードで入力する煩わしさやセキュリティの問題のないログイン支援ステムが開示されている。このログイン支援システムでは、一度ログインすると、携帯端末がURL、ID、及びパスワードを、セキュリティをかけて保存し、ユーザが再度ログインするときにURLからID及びパスワードを検索し、情報表示装置に表示させてユーザの認証を得た後ID及びパスワードを自動入力するようになっている。

先行技術

0003

特許第5298418号

発明が解決しようとする課題

0004

ところで、ユーザ認証を行うWebサイトへの不正ログインの手法の一つとしてリスト攻撃がある。リスト攻撃とは、多くのWebサイトからIDとパスワードが搾取され、その情報を利用して他のWebサイトにログインを試みる攻撃手法である。その背景として、ユーザ認証を行うWebサイトのユーザ(利用者)は、同じIDとパスワードとの組み合わせを複数のWebサイトで使用するか、或いはIDは異なるが同じパスワードを複数のWebサイトで使用する傾向が強いという問題がある。リスト攻撃への有効な対策として、Webサイトごとにパスワードを変えることが望ましいが、ユーザへの負荷が高くなってしまう。また、リスト攻撃は、特許文献1等の技術であっても防止することは困難である。

0005

そこで、本発明は、上記点に鑑みてなされたものであり、ユーザへの負荷を低減しつつ、リスト攻撃に対するパスワード等の認証情報のセキュリティを高めることが可能な認証情報生成プログラム認証情報生成装置、及び認証情報生成方法を提供することを目的とする。

課題を解決するための手段

0006

上記課題を解決するために、請求項1に記載の発明は、ユーザ認証に使用される認証情報を生成するコンピュータを、端末装置における表示画面に表示された認証情報入力欄に、当該端末装置のユーザの操作により入力された認証情報を取得する第1取得手段、前記ユーザに関連するユーザ情報と、前記端末装置のアクセス先に関連するアクセス情報との少なくとも何れか一方の情報を取得する第2取得手段、及び前記第1取得手段により取得された認証情報と、前記第2取得手段により取得された情報とを用いて、前記ユーザ認証に使用される認証情報を生成する生成手段として機能させることを特徴とする。

0007

請求項2に記載の発明は、請求項1に記載の認証情報生成プログラムにおいて、前記コンピュータを、前記生成手段は、前記第1取得手段により取得された認証情報と、前記第2取得手段により取得されたユーザ情報と、前記第2取得手段により取得されたアクセス情報とを用いて、前記認証情報を生成することを特徴とする。

0008

請求項3に記載の発明は、請求項1に記載の認証情報生成プログラムにおいて、前記認証情報入力欄に入力可能な認証情報の入力桁数所定桁数の範囲に制限されており、前記生成手段は、前記所定桁数の範囲より大きい桁数の前記認証情報を生成することを特徴とする。

0009

請求項4に記載の発明は、請求項1または2に記載の認証情報生成プログラムにおいて、前記コンピュータを、前記ユーザの操作により入力され前記認証情報入力欄に表示された前記認証情報に代えて、前記生成手段により生成された前記認証情報を前記認証情報入力欄に表示させる表示制御手段として更に機能させることを特徴とする。

0010

請求項5に記載の発明は、請求項1乃至3の何れか一項に記載の認証情報生成プログラムにおいて、前記コンピュータを、前記ユーザの操作により前記認証情報が入力される前記認証情報入力欄とは別に前記表示画面に表示された認証情報入力欄に、前記生成手段により生成された前記認証情報を表示させる表示制御手段として更に機能させることを特徴とする。

0011

請求項6に記載の発明は、請求項1乃至5の何れか一項に記載の認証情報生成プログラムにおいて、前記第2取得手段は、前記ユーザを識別可能識別情報を記憶する可搬型記録媒体から、当該識別情報を前記ユーザ情報として取得することを特徴とする。

0012

請求項7に記載の発明は、請求項1乃至5の何れか一項に記載の認証情報生成プログラムにおいて、前記第2取得手段は、前記ユーザの身体から生体情報を取得する生体情報取得装置から、当該生体情報を前記ユーザ情報として取得することを特徴とする。

0013

請求項8に記載の発明は、請求項1乃至5の何れか一項に記載の認証情報生成プログラムにおいて、前記第2取得手段は、前記端末装置の現在位置を検出する位置検出装置から、当該現在位置を示す位置情報を前記ユーザ情報として取得することを特徴とする。

0014

請求項9に記載の発明は、請求項1乃至5の何れか一項に記載の認証情報生成プログラムにおいて、前記ユーザ情報は、所定のサーバ装置登録されており、前記第2取得手段は、前記サーバ装置から、当該ユーザ情報を取得することを特徴とする。

0015

請求項10に記載の発明は、ユーザ認証に使用される認証情報を生成する認証情報生成装置であって、端末装置における表示画面に表示された認証情報入力欄に、ユーザの操作により入力された認証情報を取得する第1取得手段と、前記ユーザに関連するユーザ情報と、前記端末装置のアクセス先に関連するアクセス情報との少なくとも何れか一方の情報を取得する第2取得手段と、前記第1取得手段により取得された認証情報と、前記第2取得手段により取得された情報とを用いて、前記ユーザ認証に使用される認証情報を生成する生成手段と、を備えることを特徴とする。

0016

請求項11に記載の発明は、ユーザ認証に使用される認証情報を生成するコンピュータにより行われる認証情報生成方法であって、端末装置における表示画面に表示された認証情報入力欄に、ユーザの操作により入力された認証情報を取得する第1取得ステップと、前記ユーザに関連するユーザ情報と、前記端末装置のアクセス先に関連するアクセス情報との少なくとも何れか一方の情報を取得する第2取得ステップと、前記第1取得ステップにより取得された認証情報と、前記第2取得ステップにより取得された情報とを用いて、前記ユーザ認証に使用される認証情報を生成する生成ステップと、を含むことを特徴とする。

発明の効果

0017

本発明によれば、ユーザへの負荷を低減しつつ、リスト攻撃に対するパスワード等の認証情報のセキュリティを高めることができる。

図面の簡単な説明

0018

通信システムSの概要構成例を示す図である。
(A)は、携帯端末Tの概要構成例を示すブロック図であり、(B)は、ICカードDの概要構成例を示すブロック図である。
実施例1及び2におけるログイン画面表示遷移例を示す図である。
実施例1におけるログイン時の動作例を示すシーケンス図である。
実施例2において、通信システムSの動作例を示すシーケンス図である。
実施例3におけるログイン画面の表示遷移例を示す図である。

実施例

0019

以下、図面を参照して本発明の実施形態について詳細に説明する。なお、以下に説明する実施形態は、通信システムに対して本発明を適用した場合の実施形態である。

0020

先ず、図1及び図2を参照して、通信システムSの概要構成及び機能について説明する。図1は、通信システムSの概要構成例を示す図である。図2(A)は、携帯端末Tの概要構成例を示すブロック図であり、図2(B)は、ICカードDの概要構成例を示すブロック図である。

0021

通信システムSは、図1に示すように、WebサイトA〜C、携帯端末T、ICカードD、及び情報提供サーバSA等を備えて構成され、これらの構成要素は、通信ネットワークNWに接続されている。通信ネットワークNWは、例えば、インターネット専用通信回線(例えば、CATV(Community Antenna Television)回線)、移動体通信網基地局等を含む)、及びゲートウェイ等により構築されている。なお、WebサイトA〜C以外にも多数存在するが、図示を省略している。携帯端末T及びICカードDは、例えば、ユーザごとに所持される。情報提供サーバSAは、例えば、ASP(Application Service Provider)サービスを行うためのサーバ装置であり、本実施形態では、携帯端末Tに関連するユーザ情報を登録し、携帯端末Tからの要求に応じて登録されたユーザ情報を提供する。

0022

WebサイトA〜Cは、それぞれ、例えば、Webサーバ、所定のサービスに係る処理を行うアプリサーバ、及び携帯端末Tのユーザの認証情報(例えば、ID及びパスワード)を登録するデータベースサーバ等から構成されている。Webサイトとして、ショッピングサイト宿泊予約サイト、SNS(Social Networking Service)サイト等が一例として挙げられる。それぞれのWebサイトA〜Cには、通信ネットワークNW上で固有グローバルIPアドレス割り当てられている。また、それぞれのWebサイトA〜Cのサイト名、アカウント名、URL(Uniform Resource Locator)、及びアプリ名(例えば、アプリサーバにより提供されるサービス名)は互いに異なる。なお、WebサイトA〜CのグローバルIPアドレス、サイト名、URL、及びアプリ名は、Webサイトに関連するサイト情報の一例である。サイト情報は、端末装置Tのアクセス先に関連するアクセス情報の一例である。

0023

Webサーバは、通信ネットワークNWを介してアクセスしてきた携帯端末Tからのログイン要求に応じてログイン処理(ユーザ認証)を行う。ログイン処理では、ログイン要求に含まれるID(ユーザID)及びパスワードと、例えばデータベースサーバに事前に登録(携帯端末Tからの登録要求による)されたID(ユーザID)及びパスワードとが一致するか否かが判定され、一致すると判定された場合にはログイン成功となり、一致しないと判定された場合にはログイン失敗となる。アプリサーバは、ログイン成功となった携帯端末Tから要求されたサービスに係る処理を実行し、この処理結果に基づく情報を、Webサーバを通じて携帯端末Tへ送信(例えばWebページとして送信)する。

0024

携帯端末Tは、図2(B)に示すように、制御部11、記憶部12、無線通信部13、GPS(Global Positioning System)受信部14、操作・表示部15、ICカードプロトコル処理部16、ICカードコネクタ17、SIM(Subscriber Identity Module)カード18、及びCLF(Contactless Front End)19を備えて構成される。携帯端末Tは、本発明における端末装置の一例である。携帯端末Tの例としては、携帯電話機スマートフォン等の携帯端末等が挙げられる。携帯端末Tの代わりにパーソナルコンピュータを適用してもよい。

0025

制御部11は、CPU(Central Processing Unit)等により構成される。記憶部12は、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)、及びNVM(Nonvolatile Memory)等により構成される。NVMには、フラッシュメモリ、または「Electrically Erasable Programmable Read-Only Memory」が適用される。記憶部12におけるROMまたはNVMには、OS(オペレーティングシステム)、及びアプリケーションソフトウェアアプリケーションプログラム言語から構成されるソフトウェア)等が記憶される。アプリケーションソフトウェアは、例えば所定のサーバからダウンロード可能なプログラムである。アプリケーションソフトウェアには、ユーザからの指示入力機能表示機能を担うアプリケーションプログラム、無線通信部13を介した通信機能を担うアプリケーションプログラム、Webブラウザプログラム、及びICカードDとの間でCLF19を介してデータ(コマンドを含む)を送受信する機能を担うアプリケーションプログラム等が含まれる。また、アプリケーションソフトウェアには、パスワード生成プログラム(本発明の認証情報生成プログラムの一例)が含まれる場合がある。

0026

無線通信部13は、アンテナを有し、移動体通信網の基地局、または無線LANアクセスポイント等との間で行われる無線通信を制御する。これにより、制御部11は、無線通信部13及び通信ネットワークNWを介して情報提供サーバSAにアクセス可能になっている。GPS受信部14は、GPS衛星から出力される電波をアンテナを介して受信し、携帯端末Tの現在位置(経度及び緯度)を検出する。GPS受信部14は、本発明における位置検出装置の一例である。

0027

操作・表示部15は、例えば、ユーザの操作(例えば、ユーザの指やペン等による)を受け付け入力機能と、各種表示画面を表示する表示機能とを有するタッチパネルを備える。表示画面の例として、ID及びパスワード登録画面、パスワード変更画面、ログイン画面、検索画面、各種情報提供画面等がある。パスワード登録画面は、ID及びパスワードを、それぞれのWebサイトA〜Cに登録するための画面である。パスワード変更画面は、登録されたパスワードを変更するための画面である。ログイン画面は、それぞれのWebサイトA〜Cにログインするための画面である。ID及びパスワード登録画面、パスワード変更画面、及びログイン画面には、IDを入力及び表示するためのID入力欄、及びパスワードを入力及び表示するためのパスワード入力欄が表示される。パスワード入力欄は、認証情報入力欄の一例である。

0028

ICカードプロトコル処理部16は、SIMカード18との間の通信を制御する。ICカードプロトコル処理部16とSIMカード18との間では、例えば、ISO/IEC7816規格で規定されるT=0プロトコル通信が行われる。ICカードコネクタ17には、CLF19、及びSIMカード18が接続される。CLF19とSIMカード18との間では、例えば、SWP(Single Wire Protocol)通信が行われる。SWP通信は、同時に双方向に送信可能な全二重通信方式である。SIMカード18は、CPU、ROM、RAM、NVM、及びI/O回路(例えば、C1〜C8の8個の端子を有する)等を備える接触型ICチップである。CLF19は、CPU、RAM、ROM、不揮発性メモリ、及びI/O回路等を備える非接触型ICチップである。I/O回路には、非接触通信フィールド内で当該通信を行うためのアンテナ、及び変復調回路等が備えられる。これにより、CLF19は、ICカードDとの間で電波により無線通信(例えばNFCの規格で規定される非接触通信)を行うことが可能になっている。

0029

ICカードDは、図2(B)に示すように、CPU21、ROM22、RAM23、NVM24、及びI/O回路25等を備える非接触型ICチップを搭載する。ICカードDは、本発明における可搬型記録媒体の一例である。I/O回路25には、非接触通信のフィールド内で当該通信を行うためのアンテナ、及び変復調回路等が備えられる。ROM22またはNVM24には、OS、及びアプリケーションソフトウェア等が記憶される。アプリケーションソフトウェアには、携帯端末Tからのコマンドを受信し、受信したコマンドに応じた処理を実行し、その結果を応答する機能を担うアプリケーションプログラム等が含まれる。また、アプリケーションソフトウェアには、パスワード生成プログラムが含まれる場合がある。NVM24には、セキュアな記憶領域が設けられており、この記憶領域には、暗号化処理等で用いられる演算用データ(例えば、秘密鍵等)が記憶される。この演算用データは、携帯端末Tのユーザに関連するユーザ情報の一例であり、悪意者(例えば、リスト攻撃の攻撃者)が知り得ない情報である。このようなユーザ情報は、ユーザの操作により上記パスワード入力欄に入力されたパスワードと共に、ユーザ認証に使用されるパスワードの生成に用いられる。ユーザ情報の他の例として、例えばユーザの身体から生体情報取得装置により取得される生体情報(例えば、ユーザの指紋虹彩、顔等)が挙げられる。また、ユーザ情報の他の例として、上記GPS受信部14により検出される現在位置(携帯端末Tを所持するユーザの現在位置(言い換えれば、携帯端末Tの現在位置))を示す位置情報が挙げられる。なお、ユーザの現在位置は、例えば、携帯端末Tと、移動体通信網の基地局との位置関係から検出することもできる。また、ユーザ情報の他の例として、ユーザが所有する会員カード社員カード図書カード等のカード番号(ユーザを識別可能な識別情報の一例)等が挙げられる。会員カード、社員カード、または図書カードがICカードDにより構成される場合、カード番号は、ユーザ情報としてICカードD内に記憶される。また、カード番号は、ユーザ情報として、例えばユーザのIDに対応付けて情報提供サーバSAに予め登録されてもよい。

0030

以上の構成において、例えば、ICカードDまたは制御部11は、本発明の認証情報生成装置として動作し、ICカードDまたは制御部11に備えられるCPUは、ユーザ認証に使用されるパスワードを生成するコンピュータとして動作する。パスワード生成プログラムは、例えば、CPUを、本発明における第1取得手段、第2取得手段、第3取得手段、生成手段、及び表示制御手段として機能させるアプリケーションソフトウェアである。また、パスワード生成プログラムは、情報提供サーバSA等の所定のサーバからダウンロードされ、例えばNVM24または記憶部12に記憶される。

0031

なお、パスワード生成プログラムは、WebサイトAから携帯端末Tへ送信されるWebページ(例えば、ログイン画面ページ)を構成する構造化文書(例えばHTML等の文書)データ内にスクリプト(例えば、Java(登録商標)スクリプト)として記述されてもよい。或いは、パスワード生成プログラムは、情報提供サーバSA等の所定のサーバに記憶、実行されるように構成されてもよい。この場合、当該サーバが本発明の認証情報生成装置として動作し、当該サーバのCPUは、ユーザ認証に使用されるパスワードを生成するコンピュータとして動作する。

0032

CPUは、パスワード生成プログラムに従って、携帯端末Tにおける表示画面に表示されたパスワード入力欄に当該携帯端末Tのユーザの操作により入力されたパスワードを取得し、当該ユーザに関連するユーザ情報と携帯端末Tがアクセスする例えばWebサイトA(ユーザ認証が行われるWebサイト)に関連するサイト情報との少なくとも何れか一方の情報とを取得し、当該取得されたパスワードと、ユーザ情報とサイト情報との少なくとも何れか一方とを用いて、ユーザ認証に使用される新たなパスワードを生成する。そして、CPUは、ユーザの操作により入力され、上記パスワード入力欄に表示されたパスワードに代えて、生成された新たなパスワードを当該パスワード入力欄に表示させる。或いは、CPUは、ユーザの操作により上記パスワードが入力されたパスワード入力欄とは別に表示画面に表示されたパスワード入力欄に、生成された新たなパスワードを表示させる。このようにパスワード入力欄に入力された新たなパスワードは、通常の登録要求、またはログイン要求に含まれて携帯端末Tから例えばWebサイトAへ送信されることになる。

0033

次に、通信システムSの動作について、実施例1〜実施例4に分けて説明する。

0034

(実施例1)
先ず、図3及び図4を参照して、実施例1について説明する。実施例1は、ICカードDがパスワード生成装置として動作する例である。図3は、実施例1及び2におけるログイン画面の表示遷移例を示す図である。図4は、実施例1におけるログイン時の動作例を示すシーケンス図である。なお、以下の説明では、携帯端末TのユーザのID及びパスワードは、既にWebサイトAに登録されているものとする。パスワードの登録時のパスワード生成処理は、ログイン時のパスワード生成処理(ステップS8及びS9)と同様である。

0035

携帯端末Tがユーザにより指定されたWebサイトAのURLに従ってWebサイトAにアクセスすると(ステップS1)、WebサイトAのWebサーバは、ログイン画面ページを携帯端末Tへ送信する(ステップS2)。携帯端末Tの制御部11は、WebサイトAから送信されたログイン画面ページを受信すると、例えばWebブラウザにより、ログイン画面を操作・表示部15に表示する(ステップS3)。

0036

図3に示す表示例1(上側)におけるログイン画面50には、ID入力欄51、パスワード入力欄52、及び送信ボタン55等が表示されている。一方、図3に示す表示例2(下側)におけるログイン画面50には、ID入力欄51、パスワード入力欄52,53、及び送信ボタン55等が表示されている。表示例1では、既存のログイン画面をWebサイトA側で修正することなく利用することができる。なお、パスワード入力欄52に入力可能なパスワードの入力桁数は所定桁数の範囲(例えば、4桁〜8桁)に制限されている場合がある。制限された当該範囲内で最大桁数を最大制限桁数という。

0037

携帯端末Tの制御部11は、携帯端末Tのユーザの操作にしたがって、ID入力欄51にIDを入力及び表示(図3(A),(D)参照)し、パスワード入力欄52にパスワードを入力及び表示(図3(B),(E)参照)する(ステップS4)。ユーザの操作によりパスワードが入力されると、例えば図3(B),(E)に示すように、ユーザへパスワードの生成指示を促す吹き出し表示54がなされる。なお、この吹き出し表示54は、入力されたパスワードがユーザのドラッグ操作により選択された際に行われてもよい(このとき、選択されたパスワードはクリップボードに保持される)。

0038

そして、ユーザが吹き出し表示54中の“生成”にタッチすると、携帯端末Tの制御部11は、生成指示があったと判定し(ステップS5:YES)、アクセスしたWebサイトAに関連するサイト情報を取得する(ステップS6)。例えば、WebサイトAのURL,グローバルIPアドレス、サイト名、またはアプリ名がサイト情報として取得される。ここで、WebサイトAのサイト名及びアプリ名は、例えばWebサイトAから受信されたログイン画面ページに含まれる。なお、ユーザ認証に用いられるIDが、少なくとも2つのWebサイトで異なる場合、ID入力欄51に入力されたIDがサイト情報として取得されてもよい。

0039

次いで、携帯端末Tの制御部11は、パスワード要求コマンドをCLF19を介してICカードDへ送信する(ステップS7)。このパスワード要求コマンドには、ステップS4でパスワード入力欄52に入力されたパスワード、及びステップS6で取得されたサイト情報等が含まれる。

0040

携帯端末Tから送信されたパスワード要求コマンドがICカードDにより受信されると、ICカードDのCPU21は、パスワード生成プログラムを起動し、受信されたパスワード要求コマンドからパスワード及びサイト情報を取得し、且つ、NVM24からユーザ情報(例えば、秘密鍵)を取得する(ステップS8)。

0041

次いで、ICカードDのCPU21は、ステップS8で取得されたパスワード、サイト情報、及びユーザ情報を用いて、ユーザ認証に使用される新たなパスワードを生成する。例えば、CPU21は、パスワード生成プログラムで規定されるハッシュ関数に、パスワード、サイト情報、及びユーザ情報を代入して演算することにより例えば固定長(固定桁数)の新たなパスワード(以下、「新パスワード」という)を生成する(ステップS9)。ここで、生成される新パスワードの桁数は、パスワード入力欄52に入力可能なパスワードの最大制限桁数より大きくなるように構成することが望ましい。この場合、パスワードの登録時のパスワード生成処理において、パスワード入力欄52に入力可能なパスワードの最大制限桁数より大きい桁数の新パスワードがWebサイトAに事前に登録される。これにより、パスワードのセキュリティを高めることができる。例えば、IDとパスワードをデータベース保管している「あるサイト」が攻撃されて、大量のIDとパスワードが流出した場合、「別のサイト」へのログインに、流出したIDとパスワードが利用される。悪意あるアタッカーは、入手したIDとパスワードを利用してログインを試みることになるが、例えばパスワード入力欄52にパスワードの全ての桁の値を入力することができないため、ログインを試みることができない(つまり、悪意あるアタッカーからの攻撃頻度が低下することになる)。その結果、正しいパスワードが否かをチェックするサーバ側の負荷を大幅に低減させることができる。

0042

次いで、ICカードDのCPU21は、ステップS9で生成された新パスワードを、コマンドに対するレスポンスとしてI/O回路25を介して携帯端末Tへ送信する(ステップS10)ことで当該新パスワードをパスワード入力欄に表示させる(ステップS11)。これにより、例えば、図3(C)に示すように、パスワード入力欄52に入力及び表示されたパスワードに代えて、生成された新パスワードがパスワード入力欄52に入力及び表示(つまり、上書き表示)される。或いは、図3(F)に示すように、生成された新パスワードがパスワード入力欄53に入力及び表示される。

0043

そして、ログイン画面50においてユーザが例えば送信ボタン55にタッチすると、携帯端末Tの制御部11は、送信指示(この場合、ログイン指示)があったと判定し(ステップS12:YES)、ログイン要求を無線通信部13を介してWebサイトAへ送信する(ステップS13)。このログイン要求には、入力されたID、及び生成された新パスワードが含まれる。WebサイトAは、携帯端末Tからのログイン要求に応じてログイン処理を実行する(ステップS14)。このログイン処理では、ログイン要求に含まれるID及び新パスワードと、事前に登録されたID及び新パスワードとが一致するか否かが判定され、一致すると判定された場合にはログイン成功となり、一致しないと判定された場合にはログイン失敗となる。

0044

以上説明したように、上記実施例1によれば、ICカードDは、パスワード入力欄に入力されたパスワードを取得し、ユーザに関連するユーザ情報を取得し、ユーザ認証が行われるWebサイトに関連するサイト情報を取得し、当該取得されたパスワードと、ユーザ情報と、サイト情報とを用いて、ユーザ認証に使用される新パスワードを生成するように構成した。これにより、ユーザは複数のWebサイトで利用する簡易なパスワード(覚えやすいパスワード)を入力するだけでよい(複数のWebサイトごとにパスワードを覚える必要がない)ので、ユーザへのパスワードの入力負荷を低減でき、なおかつ、新パスワードを複数のWebサイト間で異ならせることができるので、リスト攻撃に対するパスワードのセキュリティを高めることができる。さらに、実施例1によれば、ICカードDから出力不能な秘密鍵(悪意者により知りえない情報)を用いて新パスワードを生成するので、パスワードのセキュリティをより一層高めることができる。

0045

なお、ユーザ情報として、ユーザが所有する会員カード、社員カード、図書カード等のカード番号としても構わない。この場合、ステップS8で、ICカードDのCPU21は、例えばNVM24からカード番号を取得し、取得されたパスワードと、カード番号と、サイト情報とを用いて、ユーザ認証に使用される新パスワードを生成する。或いは、カード番号がIDに対応付けられて情報提供サーバSAに登録されている場合がある。この場合、制御部11は、ステップS6で、情報提供サーバSAからIDをキーとしてカード番号を取得すると共に、WebサイトAに関連するサイト情報を取得し、当該取得したカード番号及びサイト情報、並びに入力されたパスワードを、ステップS7でパスワード生成要求に含めてICカードDへ送信する。これにより、ICカードDのCPU21は、受信されたパスワード要求コマンドからパスワード、カード番号及びサイト情報を取得して、これらを用いて新パスワードを生成する。

0046

或いは、ユーザ情報として、例えばユーザの身体から生体情報取得装置により取得される生体情報(例えば、ユーザの指紋、虹彩、顔等)としてもよい。この場合、制御部11は、ステップS6で、生体情報取得装置から例えばCLF19等を介して生体情報を取得すると共に、WebサイトAに関連するサイト情報を取得し、当該取得した生体情報及びサイト情報、並びに入力されたパスワードを、ステップS7でパスワード生成要求に含めてICカードDへ送信する。これにより、ICカードDのCPU21は、受信されたパスワード要求コマンドからパスワード、生体情報及びサイト情報を取得して、これらを用いて新パスワードを生成する。この場合のユーザ認証における新パスワードの一致判定にはある程度の許容誤差範囲が設定される。このような生体情報も、悪意者により知りえない情報であるので、新パスワードのセキュリティをより一層高めることができる。

0047

或いは、ユーザ情報として、GPS受信部14等により検出される現在位置を示す位置情報としてもよい。ここで、ユーザは特定の位置(例えば、会社内で経理等の作業を行う端末が設置された位置)で、パスワードの登録を行うことになる(つまり、当該特定の位置に特化した新パスワードが登録される)。この場合、制御部11は、ステップS6で、GPS受信部14等から位置情報を取得すると共に、WebサイトAに関連するサイト情報を取得し、当該取得した位置情報及びサイト情報、並びに入力されたパスワードを、ステップS7でパスワード生成要求に含めてICカードDへ送信する。これにより、ICカードDのCPU21は、受信されたパスワード要求コマンドからパスワード、位置情報及びサイト情報を取得して、これらを用いて新パスワードを生成する。特定の位置に特化した新パスワードにより、パスワードの登録時のユーザの位置以外でログイン用の新パスワードが生成された場合、ログイン失敗にさせることができる。この場合のユーザ認証における新パスワードの一致判定にはある程度の許容誤差範囲が設定される。

0048

なお、実施例1においては、ICカードDがパスワード生成処理を実行するように構成したが、ICカードDに代えて、情報提供サーバSA等の所定のサーバがパスワード生成処理を実行してもよい。

0049

(実施例2)
次に、図3及び図5を参照して、実施例2について説明する。実施例2は、携帯端末Tの制御部11がパスワード生成装置として動作する例である。図5は、実施例2において、通信システムSの動作例を示すシーケンス図である。なお、図5に示すステップS21〜S26の処理は、図4に示すステップS1〜S6の処理と同様である。

0050

図5に示すステップS26では、携帯端末Tの制御部11は、パスワード生成プログラムを起動し、WebサイトAに関連するサイト情報を取得する。次いで、携帯端末Tの制御部11は、ユーザ情報送信要求コマンドをCLF19を介してICカードDへ送信する(ステップS27)。この場合、ICカードDのCPU21は、例えばNVM24からカード番号を取得し(ステップS28)、取得されたカード番号を、ユーザ情報としてI/O回路25を介して携帯端末Tへ送信する(ステップS29)。

0051

或いは、ステップS27で、携帯端末Tの制御部11は、ユーザ情報送信要求コマンド(ユーザのIDを含む)を無線通信部13及び通信ネットワークNWを介して情報提供サーバSAへ送信してもよい。この場合、情報提供サーバSAは、当該コマンドに含まれるIDをキーとしてカード番号を取得し(ステップS28)、取得されたカード番号を、ユーザ情報としてI/O回路25を介して携帯端末Tへ送信する(ステップS29)。

0052

或いは、ステップS27で、携帯端末Tの制御部11は、ユーザ情報送信要求コマンドを例えばCLF19を介して生体情報取得装置へ送信してもよい。この場合、生体情報取得装置は、ユーザの身体から生体情報を取得し(ステップS28)、取得された生体情報を、ユーザ情報として携帯端末Tへ送信する(ステップS29)。

0053

そして、携帯端末Tの制御部11は、ICカードD、情報提供サーバSA、または生体情報取得装置から送信されたユーザ情報を取得する(ステップS30)。なお、制御部11は、GPS受信部14等からの位置情報を、ユーザ情報として取得してもよい。

0054

次いで、携帯端末Tの制御部11は、ステップS24で入力されたパスワードを取得し、当該取得されたパスワード、ステップS26で取得されたサイト情報、及びステップS30で取得されたユーザ情報を用いて、実施例1と同様、ユーザ認証に使用される新パスワードを生成する(ステップS31)。

0055

次いで、携帯端末Tの制御部11は、ステップS31で生成された新パスワードをパスワード入力欄に表示させる(ステップS32)。これにより、例えば、図3(C)に示すように、パスワード入力欄52に入力及び表示されたパスワードに代えて、生成された新パスワードがパスワード入力欄52に入力及び表示される。或いは、図3(F)に示すように、生成された新パスワードがパスワード入力欄53に入力及び表示される。なお、図5に示すステップS33〜S35の処理は、図4に示すステップS12〜S14の処理と同様である。

0056

以上説明したように、上記実施例2によれば、携帯端末Tの制御部11は、パスワード入力欄に入力されたパスワードを取得し、ユーザに関連するユーザ情報を取得し、ユーザ認証が行われるWebサイトに関連するサイト情報を取得し、当該取得されたパスワードと、ユーザ情報と、サイト情報とを用いて、ユーザ認証に使用される新パスワードを生成するように構成した。実施例1と同様、ユーザへのパスワードの入力負荷を低減しつつ、リスト攻撃に対するパスワードのセキュリティを高めることができる。さらに、実施例2によれば、ICカードDを利用しなくとも、パスワードのセキュリティを高めることができる。

0057

なお、実施例2においては、携帯端末Tの制御部11がパスワード生成処理を実行するように構成したが、制御部11に代えて、SIMカード18がパスワード生成処理を実行してもよい。この場合、SIMカード18がパスワード生成装置として動作する。

0058

(実施例3)
実施例1及び2においては、携帯端末Tがユーザにより指定されたWebサイトAのURLに従ってWebサイトAにアクセスすることで、ログイン画面が表示される場合を例にとって説明した。別の例として、携帯端末Tにインストールされたアプリケーションプログラムが起動することにより、例えば商品販売を行う複数のWebサイトを選択可能に表示するサイト選択画面が操作・表示部15に表示される場合もある。例えば、サイト選択画面には、アプリケーションプログラムにより所定のサーバから取得されたサイト情報が表示される。この場合、サイト選択画面上でユーザによりWebサイトが指定されると、携帯端末Tに汎用的にインストールされたパスワード生成プログラムが起動することによりログイン画面が表示される。

0059

図6は、実施例3におけるログイン画面の表示遷移例を示す図である。図6に示すログイン画面60には、ID入力欄61、パスワード入力欄62、及びサイト情報表示欄63等が表示されている。サイト情報表示欄63には、ユーザにより指定されたWebサイトに関連するサイト情報(例えば、アプリ名やURL等)が表示されている。

0060

携帯端末Tの制御部11は、携帯端末Tのユーザの操作にしたがって、図6(A)に示すように、ID入力欄61にIDが入力され、パスワード入力欄62にパスワードが入力されると、入力されたパスワード、及びユーザにより指定されたWebサイトに関連するサイト情報を含むパスワード要求コマンドをICカードDへ送信する。そして、ICカードDのCPU21は、実施例1で説明したように、上記パスワード、上記サイト情報、及び上記ユーザ情報を用いて、ユーザ認証に使用される新たなパスワードを生成して携帯端末Tへ送信する。これにより、図6(B)に示すように、パスワード入力欄62に入力及び表示されたパスワードに代えて、生成された新パスワードがパスワード入力欄62に入力及び表示される。

0061

或いは、携帯端末Tの制御部11は、携帯端末Tのユーザの操作にしたがって、図6(A)に示すように、ID入力欄61にIDが入力され、パスワード入力欄62にパスワードが入力されると、実施例2で説明したように、ICカードD、情報提供サーバSA、または生体情報取得装置から送信されたユーザ情報を取得し、入力されたパスワード、上記サイト情報、及び上記ユーザ情報を用いて、ユーザ認証に使用される新たなパスワードを生成する。これにより、図6(B)に示すように、パスワード入力欄62に入力及び表示されたパスワードに代えて、生成された新パスワードがパスワード入力欄62に入力及び表示される。

0062

(実施例4)
実施例1〜3においては、入力されたパスワードと、ユーザ情報と、サイト情報とを用いて、ユーザ認証に使用される新パスワードを生成するように構成したが、上記CPUは、入力されたパスワードと、ユーザ情報とを用いて、ユーザ認証に使用される新パスワードを生成するように構成してもよい。例えば、WebサイトAでは生体情報A(親指の指紋)、WebサイトBでは生体情報B(小指の指紋)というように、ユーザがサイトごとに使用する生体情報を使い分けている場合がある。この場合、上記CPUは、入力されたパスワードと、ユーザ情報としての生体情報A(親指の指紋)とを用いて、WebサイトA用のユーザ認証に使用される新パスワードを生成する。一方、上記CPUは、入力されたパスワードと、ユーザ情報としての生体情報B(小指の指紋)とを用いて、WebサイトB用のユーザ認証に使用される新パスワードを生成する。この他にも、例えば、WebサイトAでは位置情報A(ユーザの自宅)、WebサイトBでは位置情報B(ユーザが勤務する会社)というように、ユーザがサイトごとに使用する位置情報を使い分けている場合がある。この場合、上記CPUは、入力されたパスワードと、ユーザ情報としての位置情報A(ユーザの自宅)とを用いて、WebサイトA用のユーザ認証に使用される新パスワードを生成する。一方、上記CPUは、入力されたパスワードと、ユーザ情報としての位置情報B(ユーザが勤務する会社)とを用いて、WebサイトB用のユーザ認証に使用される新パスワードを生成する。これらの場合、上述したサイト情報は、新パスワードの生成には不要となる。

0063

また、上記CPUは、入力されたパスワードと、WebサイトAに関連するサイト情報(サービス名、アカウント名、URL、及びIPアドレスの少なくとも何れか一つ)とを用いて、WebサイトA用のユーザ認証に使用される新パスワードを生成するように構成してもよい。この場合、上述したユーザ情報は、新パスワードの生成には不要となる。以上の他にも、新パスワードは、入力されたパスワードと、様々な情報の組合せで生成することができる。

0064

なお、上記実施形態においては、認証情報としてパスワードを例にとって説明したが、本発明はパスワード以外の認証情報に対しても適用可能である。

0065

11 制御部
12 記憶部
13無線通信部
14GPS受信部
15 操作・表示部
16ICカードプロトコル処理部
17ICカードコネクタ
18SIMカード
19 CLF
21 CPU
22 ROM
23 RAM
24 NVM
25 I/O回路
A〜CWebサイト
D ICカード
T携帯端末
SA情報提供サーバ
NW 通信ネットワーク

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ