特許ウォッチ

公開番号2024115482
公報種別公開特許公報(A)
公開日2024-08-26
出願番号2023021211
出願日2023-02-14
発明の名称本人認証方法
出願人株式会社Asuka,個人
代理人
主分類G06F 21/31 20130101AFI20240819BHJP(計算;計数)
要約【課題】より安全に、かつより低コストで本人確認が行える方法を提供する。
【解決手段】通信端末の利用者のIDおよびパスワードと、通信端末の端末IDとを予めサーバーに登録し、通信端末によるサーバーへのログイン要求およびサーバーでの第1段階の認証成功から、通信端末によるサーバーへの認証要求までの経過時間を、サーバーおよび通信端末のそれぞれにおいて別々に計測し、サーバーおよび通信端末のそれぞれにおいてID、パスワード、端末IDおよび経過時間に基づいてワンタイムパスワードを生成して、ワンタイムパスワードのハッシュ値を算出し、通信端末側で算出したハッシュ値をサーバーに送信し、サーバーにおいて、2つのハッシュ値を照合し、両者が一致すれば、利用者が真の利用者であると判定して、通信端末に第2段階の認証成功の信号を送信する。
【選択図】図1
特許請求の範囲【請求項１】
通信端末とサーバーを通信ネットワークを介して接続し、前記通信端末および前記サーバー間で通信を行うとき、前記サーバー側で前記通信端末の利用者の本人認証を行う方法であって、
（１）前記利用者のＩＤおよびパスワードと、前記通信端末を識別するための端末ＩＤとの組み合わせを、予め前記サーバーに登録するステップと、
（２）前記通信端末側において、前記サーバーに対しＩＤおよびパスワードを含むログイン要求を送信するステップと、
（３）前記サーバー側において、前記ログイン要求を受信したとき、前記ログイン要求に含まれたＩＤおよびパスワードが前記登録したＩＤおよびパスワードの組と一致すれば、前記通信端末に第１の認証信号を送信するとともに、前記サーバーの内蔵時計による計時を開始するが、一致しなければ、前記ログイン要求を破棄するステップと、
（４）前記通信端末側において、前記第１の認証信号を受信したとき、前記通信端末の内蔵時計による計時を開始するとともに、前記前記利用者に前記通信端末を通じてアクションを行わせるステップと、
（５）前記通信端末側において、前記アクションが予め決定した制限回数内に完了したとき、前記通信端末の内蔵時計によって、ステップ（４）の計時の開始からの経過時間を計測して当該計時を終了するが、前記アクションの完了までに前記制限回数を超えた場合には、前記アクションの回数が前記制限回数に達した時点で、前記通信端末の内蔵時計によって、ステップ（４）の計時の開始からの経過時間を計測して当該計時を終了するステップと、
（６）前記通信端末側において、前記アクションが完了した時点で、前記ＩＤ、前記パスワード、前記端末ＩＤ、およびステップ（５）で計測した経過時間に基づき、予め決定した規則に従ってワンタイムパスワードを生成するステップと、
（７）前記通信端末側において、ハッシュ関数を用いて前記ワンタイムパスワードのハッシュ値を算出し、前記ハッシュ値を含む認証要求を前記サーバーに送信するステップと、
（８）前記サーバー側において、前記認証要求を受信したとき、ステップ（３）の計時の開始からの経過時間を計測して当該計時を終了し、前記経過時間と、ステップ（３）で受信したＩＤおよびパスワードと、前記予め登録した対応する端末ＩＤとに基づき、前記規則に従って文字列を生成し、前記ハッシュ関数を用いて前記文字列の参照ハッシュ値を算出するステップと、
（９）前記サーバー側において、前記認証要求に含まれた前記ハッシュ値を前記参照ハッシュ値と照合し、両者が一致すれば、前記利用者が真の利用者であると判定して前記通信端末に第２の認証信号を送信するが、前記両者が一致しなければ、前記利用者は偽の利用者であると判定して前記通信端末に非認証信号を送信するステップと、を含んでいることを特徴とする方法。
続きを表示（約 290 文字）【請求項２】
前記サーバー側において、ステップ（３）の計時の開始からの経過時間が予め決定した認証実施時間を超えたとき、前記通信端末に非認証信号を送信し、前記通信端末との接続は行わないステップを、さらに含んでいることを特徴とする請求項１に記載の方法。
【請求項３】
前記アクションが、前記通信端末のディスプレイに乱数に基づいて毎回異なる英数字列を画像表示し、前記利用者に前記英数字列を前記通信端末に入力させることからなり、前記アクションは、前記利用者が入力した文字列が前記画像表示した文字列と一致したときに完了することを特徴とする請求項１に記載の方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、通信端末とサーバーをインターネット等の通信ネットワークを介して接続し、通信端末およびサーバー間で通信を行うとき、サーバー側で通信端末の利用者の本人認証を行う方法に関するものである。
続きを表示（約 1,700 文字）【背景技術】
【０００２】
今日、インターネットは社会基盤となり、もはやインターネットなしでの日常生活は想像し難い状況となっている。
例えば、インターネットには、ネット銀行、ネット証券およびネットショップ等のサーバーが接続され、その利用者は、日常的に、自己の通信端末（パソコン、スマートフォン、タブレット等）をインターネットを介してそれらのサーバーに接続し、オンライン取引、オンラインショッピングおよびオンライン決済等を行っている。
【０００３】
また、ＩоＴ（Internet of Things）の進展に伴って、例えば、ＩоＴ技術を住宅に適用したスマートホームが普及しつつある。
スマートホームにおいては、住宅内にホームコントローラが設置され、ホームコントローラに住宅内の家電製品および各種設備（監視カメラ、センサー等）が接続されるとともに、ホームコントローラがインターネットを介してセキュリティ会社のサーバーに接続される。
【０００４】
そして、例えば、利用者が屋外から自己の通信端末を用いてサーバーにアクセスし、自宅のドアの施錠／開錠、窓の開閉、空調機の操作、風呂の湯はり、および監視カメラによる自宅内の監視等を遠隔で行うことができる。
【０００５】
こうして、インターネットは人々の日常生活をより便利かつ快適にするが、その一方で、利用者になりすました者によってこれらのサーバーに不正にアクセスがなされてしまうと、顧客情報の漏洩、不正な出金、商品の詐取、家財の窃盗および住宅内の家電製品の乗っ取り等の甚大な被害が生じる。
【０００６】
これを防止するため、従来技術において、利用者の通信端末およびサーバー間で通信を行うとき、サーバー側において利用者の本人認証を行う方法がいくつか知られており、それらの中でも、特に、ＩＤおよびパスワードに加えてワンタイムパスワードを利用し、二段階で本人認証を行う方法が広く普及している。
【０００７】
ワンタイムパスワードを利用した本人認証方法にはいくつかの方式があるが、最もよく利用されているのが、タイムスタンプ方式（時刻同期方式）とチャレンジレスポンス方式である（例えば、特許文献１～３参照）。
【０００８】
タイムスタンプ方式においては、例えば、利用者が、トークンを作動させてワンタイムパスワードを表示させ、そのワンタイムパスワードをパスワードとともにサーバーに送信する。一方、サーバー側では、利用者のトークンが、いつ、どのようなワンタイムパスワードを生成させるかがわかっており、そのワンタイムパスワードと受信したワンタイムパスワードとが一致し、受信したパスワードが登録されたパスワードと一致すれば、認証成功となる。
【０００９】
あるいは、利用者からサーバーにワンタイムパスワードの発行が要求されると、サーバー側でその時刻のワンタイムパスワードが生成され、電子メール、ＳＭＳ（ショートメッセージサービス）、スマートフォンアプリおよび電話等を通じて利用者に送信される。そして、利用者は、通信端末からパスワードとワンタイムパスワードの組み合わせをサーバーに送信し、サーバー側において、受信したパスワードが登録されたパスワードと一致し、受信したワンタイムパスワードが生成していたワンタイムパスワードと一致すれば、認証成功となる。
【００１０】
しかし、トークンを用いた方式によれば、利用者にトークンを提供し、サーバーには、それぞれの利用者のトークンの動作を同時的にモニタリングするシステムが必要となり、コストがかかるという問題があった。
また、ワンタイムパスワードをサーバーから電子メール等によって利用者に送信する方式によれば、ワンタイムパスワードの伝送途中で、攻撃者にワンタイムパスワードを盗み出す機会を与えてしまい、セキュリティ面で問題があった。
（【００１１】以降は省略されています）

関連特許