JPH11316740A - One time password authentication system - Google Patents
One time password authentication systemInfo
- Publication number
- JPH11316740A JPH11316740A JP10122598A JP12259898A JPH11316740A JP H11316740 A JPH11316740 A JP H11316740A JP 10122598 A JP10122598 A JP 10122598A JP 12259898 A JP12259898 A JP 12259898A JP H11316740 A JPH11316740 A JP H11316740A
- Authority
- JP
- Japan
- Prior art keywords
- time
- password
- user
- authentication
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、リモートにあるコ
ンピュータにユーザがログインするにおいて、ユーザが
認証を得るためのワンタイムパスワード認証システムに
関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a one-time password authentication system for allowing a user to authenticate when a user logs in to a remote computer.
【0002】[0002]
【従来の技術】電話回線やインターネットを通してリモ
ートにあるコンピュータにアクセスする場合、ユーザ認
証のセキュリティを高めるシステムとしてワンタイムパ
スワード認証システムがある。2. Description of the Related Art When accessing a remote computer through a telephone line or the Internet, there is a one-time password authentication system as a system for improving the security of user authentication.
【0003】このシステムでは、ユーザは携帯に不自由
を感じさせないほど十分小型なワンタイムパスワード発
生器を保持し、これにより発生させたパスワードとユー
ザIDを手元のコンピュータに打ち込み、手元のコンピ
ュータからリモートにあるコンピュータにログインす
る。[0003] In this system, a user holds a one-time password generator that is small enough not to cause any inconvenience in carrying, inputs the generated password and user ID into a computer at hand, and remotely transmits the password from the computer at hand. Log in to the computer at
【0004】現在の代表的なワンタイムパスワード認証
システムには、時間同期方式とチャレンジ&レスポンス
方式がある。[0004] Present typical one-time password authentication systems include a time synchronization system and a challenge and response system.
【0005】時間同期方式は、認証サーバとワンタイム
パスワード発生器が共通の暗号鍵を保持し、ワンタイム
パスワード発生器はパスワードを発生させるときの時刻
を共通の暗号鍵により暗号化し、これをパスワードとす
るものである。認証サーバ側でもログイン要求があった
ときの時刻を共通の暗号鍵により暗号化し、送られてき
たパスワードと比較して認証を行う。パスワード発生器
と認証サーバ側の時計のずれを考慮して、時刻は分まで
を暗号化する。また、認征サーバでは認証サーバの時
刻、1分前後の時刻或は数分前後内の時刻をすべて分間
隔で暗号化し、この内のどれかと一致すれば有効なパス
ワードとする。In the time synchronization method, the authentication server and the one-time password generator hold a common encryption key, and the one-time password generator encrypts the time when the password is generated with the common encryption key, It is assumed that. The authentication server also encrypts the time when there is a login request with a common encryption key and compares it with the sent password for authentication. The time is encrypted up to the minute in consideration of the difference between the clocks of the password generator and the authentication server. In addition, the expiration server encrypts the time of the authentication server, the time of about one minute, or the time within several minutes at every minute interval, and if it matches any of them, the password is valid.
【0006】チャレンジ&レスポンス方式も同様に、認
証サーバとワンタイムパスワード発生器が共通の暗号鍵
を保持する。認証要求があると認証サーバはチャレンジ
コードと呼ばれる乱数を発生させ、これをユーザの手元
にあるコンピュータに送る。ユーザはこのチャレンジコ
ードをパスワード発生器に打ち込み、パスワード発生器
はチャレンジコードを共通の暗号鍵で暗号化し、これを
パスワードとする。認証サーバでもチャレンジコードを
共通の暗号鍵で暗号化し、送られてきたパスワードと比
較することで認証を行う。[0006] Similarly, in the challenge and response system, the authentication server and the one-time password generator hold a common encryption key. Upon receiving an authentication request, the authentication server generates a random number called a challenge code and sends it to a computer at hand of the user. The user inputs the challenge code into the password generator, and the password generator encrypts the challenge code with a common encryption key and uses the challenge code as a password. The authentication server also performs authentication by encrypting the challenge code with a common encryption key and comparing it with the sent password.
【0007】[0007]
【発明が解決しようとする課題】従来の時間同期方式で
は、パスワードが数分間有効なため厳密な意味ではワン
タイムパスワードではない。このため、不正者が回線上
を盗聴することにより、或は傍らで指の動きを見てパス
ワードを盗み、ただちにこのパスワードを用いてログイ
ンすることが可能となる。In the conventional time synchronization method, the password is valid for several minutes and is not strictly a one-time password. For this reason, it becomes possible for an unauthorized person to eavesdrop on the line, or to observe the movement of a finger nearby to steal a password, and immediately log in using this password.
【0008】パスワードの有効時間を短くすればセキュ
リティは高くなるが、パスワード発生器と認証サーバ側
の時計のずれの発生によって正規ユーザがログインでき
なくなる可能性が高まる。If the validity period of the password is shortened, the security is increased. However, there is a high possibility that an authorized user cannot log in due to the occurrence of a clock difference between the password generator and the authentication server.
【0009】この点、チャレンジ&レスポンス方式は、
上記の問題は起きないが、時間同期方式に比較して、認
証サーバから送られてきたチャレンジコードをパスワー
ド発生器に打ち込むというユーザの手間が1つ増える。
パスワード発生器は携帯の利便性を考慮して小型に作ら
れているため、チャレンジコードを打ち込むのは面倒で
ある。さらに、認証サーバとクライアントマシン間のや
りとりが1回増えるため時間同期方式に比べてログイン
に時間がかかる。In this regard, the challenge and response method is
Although the above problem does not occur, the user's trouble of inputting the challenge code sent from the authentication server into the password generator is increased by one as compared with the time synchronization method.
Entering a challenge code is cumbersome because the password generator is made compact for convenience in carrying. Further, since the number of exchanges between the authentication server and the client machine is increased by one, it takes longer to log in than in the time synchronization method.
【0010】本発明の目的は、時間同期方式において、
ログインのためのユーザの手間数、認証サーバ、クライ
アントマシン間のやりとりを増すことなく、真に1回の
み有効なパスワードを発生させることができるワンタイ
ムパスワード認証システムを提供することにある。An object of the present invention is to provide a time synchronization system,
It is an object of the present invention to provide a one-time password authentication system that can generate a valid password only once, without increasing the number of user operations for login and the number of exchanges between an authentication server and a client machine.
【0011】[0011]
【課題を解決するための手段】本発明は、前記課題を解
決するため、ユーザ側はパスワードにログイン時刻の”
秒”データ又はパスワード発生回数データになるカウン
タ値を付加して暗号化して送信し、認証サーバ側は”
秒”データ又はカウンタ値を除いた時刻データの前後関
係、さらにはカウンタ値の大小関係から正規のユーザを
認証するようにしたもので、以下の構成を特徴とする。According to the present invention, in order to solve the above-mentioned problems, the user side has to enter the password at the login time.
Seconds, add a counter value that becomes data or password occurrence count data, encrypt it, and send it.
The authenticated user is authenticated based on the context of time data excluding the “second” data or the counter value, and the magnitude relationship of the counter value, and has the following configuration.
【0012】(第1の発明)認証サーバとユーザ側のパ
スワード発生器が共通の暗号鍵を保持し、ユーザ側はパ
スワードを発生するときの時刻を前記暗号鍵により暗号
化して認証サーバにログインを要求し、認証サーバ側は
ログイン要求があったときの時刻を前記暗号鍵により暗
号化し、送られてきたパスワードとの一致で認証を行う
時間同期方式のワンタイムパスワード認証システムにお
いて、前記ユーザ側は、時刻の暗号化に”秒”単位デー
タを付加したパスワードとする手段を設け、前記認証サ
ーバ側は、前記ユーザ側から受信した暗号化された時刻
の”分”単位以上の暗号化時刻とその前後数分の暗号化
時刻とが一致し、かつ前回のログイン時の時刻よりも今
回受信した暗号化時刻が後になる場合に正規のユーザと
して認証する手段を設けたことを特徴とする。(First Invention) An authentication server and a password generator on the user side hold a common encryption key, and the user encrypts the time when a password is generated with the encryption key and logs in to the authentication server. Request, the authentication server side encrypts the time at the time of the login request with the encryption key, and performs authentication by matching with the sent password. Means for providing a password obtained by adding "second" unit data to the time encryption, wherein the authentication server side determines the encryption time of "minute" unit or more of the encrypted time received from the user side, and Means for authenticating as a legitimate user when the encryption time of several minutes before and after matches and the encryption time received this time is later than the time of previous login Characterized by providing.
【0013】(第2の発明)認証サーバとユーザ側のパ
スワード発生器が共通の暗号鍵を保持し、ユーザ側はパ
スワードを発生するときの時刻を前記暗号鍵により暗号
化して認証サーバにログインを要求し、認証サーバ側は
ログイン要求があったときの時刻を前記暗号鍵により暗
号化し、送られてきたパスワードとの一致で認証を行う
時間同期方式のワンタイムパスワード認証システムにお
いて、前記ユーザ側は、時刻の暗号化にパスワード発生
回数になるカウンタ値を付加したパスワードとする手段
を設け、認証サーバ側は、前記ユーザ側から受信したパ
スワードのカウンタ値も含めた前後数分の時刻データを
暗号化し、この暗号化データと受信パスワードが一致
し、かつ登録されている時刻よりも後であるとき、又は
登録されている時刻と同じで認証サーバに更新登録して
おくカウンタ値よりもパスワードのカウンタ値の方が大
きい場合に正規のユーザとして認証する手段を設けたこ
とを特徴とする。(Second Invention) The authentication server and the password generator on the user side hold a common encryption key, and the user encrypts the time when the password is generated with the encryption key and logs in to the authentication server. Request, the authentication server side encrypts the time at the time of the login request with the encryption key, and performs authentication by matching with the sent password. A means is provided for adding a counter value which becomes the number of times of password generation to the time encryption, and the authentication server side encrypts a number of times of time data including the counter value of the password received from the user side. When the encrypted data and the received password match and are later than the registered time, or the registered time Characterized in that a means for authenticating a legitimate user if the larger counter value password than the counter value to be updated registered to the same authentication server.
【0014】[0014]
【発明の実施の形態】(第1の実施形態)本実施形態の
ハードウェア構成は、従来と時間同期方式と同様に、認
証サーバ及びユーザのパスワード発生器に共通の暗号鍵
を設ける。認証サーバにはユーザ毎に、ユーザID、暗
号鍵、最後にアクセスした秒単位までの時刻が登録され
ている。パスワード発生器には認証サーバに登録されて
いるものと同じ暗号鍵が登録されている。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS (First Embodiment) In a hardware configuration of the present embodiment, a common encryption key is provided for an authentication server and a password generator of a user, similarly to the conventional and time synchronization system. In the authentication server, for each user, a user ID, an encryption key, and a time up to the second of the last access are registered. The same encryption key as that registered in the authentication server is registered in the password generator.
【0015】本実施形態による認証手順を以下に詳細に
説明する。なお、図1に認証サーバ側の処理手順を示
す。The authentication procedure according to the present embodiment will be described in detail below. FIG. 1 shows a processing procedure on the authentication server side.
【0016】(ユーザ側処理) (a)パスワード発生器は、ログイン時の時刻(秒単位
まで含む)を暗号鍵により暗号化する。(Processing on User Side) (a) The password generator encrypts the login time (including seconds) using an encryption key.
【0017】例 ログイン時刻:1997年9月24
日15時32分7秒 時刻データ:19970924153207 暗号化したデータ:****** (b)上記の(a)の結果にログイン時刻の秒単位の数
値を付けたものをパスワードとして表示する。Example Login time: September 24, 1997
Date 15: 32: 7 Time data: 19970924153207 Encrypted data: ******** (b) The result of (a) above with the numerical value of the login time in seconds displayed as a password.
【0018】例 ログイン時刻:1997年9月24日15時32分7秒 パスワード:07****** (c)ユーザIDをユーザのコンピュータに入力し、上
記の(b)のパスワードと共に認証サーバ側に送信す
る。Example Login time: 15: 32: 7, September 24, 1997 Password: 07 **** (c) Enter the user ID into the user's computer and authenticate with the password in (b) above. Send to server side.
【0019】(認証サーバ側処理、図1参照) (a)認証サーバは、ユーザIDとパスワードの受信が
あったとき(S1)、その時の時刻と受信したパスワー
ドの”秒”の部分から、パスワードが暗号化された時刻
を推定し(S2)、その時刻の前後数分内の時刻をすべ
て(分間隔で)暗号鍵で暗号化し(S3)、受信したパ
スワードから“秒”を除いたものと比較する(S4)。
一致するものがなければ認証失敗として回線を切断し、
一致するものがあれば次の処理へ進む。(Authentication server-side processing, see FIG. 1) (a) When the authentication server receives the user ID and the password (S1), the authentication server determines the password based on the time at that time and the "second" part of the received password. Is estimated (S2), and all times within a few minutes before and after the time are encrypted (at minute intervals) with an encryption key (S3), and "sec" is removed from the received password. Compare (S4).
If there is no match, disconnect the line as an authentication failure,
If there is a match, proceed to the next process.
【0020】例 認証サーバが受信した時刻:1997年9月24日15
時32分23秒 受信したパスワード:07****** 推定時刻:1997年9月24日15時32分7秒 前後数分の時刻データ:1997092415300
7、19970924153107、19970924
153207、19970924153307、199
70924153407 比較:前後数分の時刻データを暗号化し、受信パスワー
ドの「******」部分と比較する。Example Time when received by the authentication server: September 24, 1997, 15
1:32:23 Received password: 07 ******** Estimated time: 15: 32: 7 on September 24, 1997 Time data for several minutes: 1997092415300
7, 19970924153107, 19970924
153207, 19970924153307, 199
70924153407 Comparison: Encrypt time data for several times before and after and compare it with the “****” part of the received password.
【0021】(b)認証サーバは、上記の(a)により
判明した暗号化された時刻と認証サーバに登録されてあ
る最後にアクセした時刻を比較し(S5)、暗号化され
た時刻が、最後にアクセスした時刻よりも後であれば最
後にアクセスした時刻を更新する(暗号化された時刻に
置き換える)と共に認証成功として接続する(S6)。
暗号化された時刻が、最後にアクセスした時刻と同じ
か、それより前であれば認証失敗として切断する。(B) The authentication server compares the encrypted time found in (a) above with the last access time registered in the authentication server (S5), and determines that the encrypted time is If the time is later than the last access time, the last access time is updated (replaced by the encrypted time) and the connection is established as successful authentication (S6).
If the encrypted time is the same as or earlier than the time of the last access, it is disconnected as an authentication failure.
【0022】したがって、本実施形態では、時間同期方
式のワンタイムパスワード認証方式において、ユーザ側
は、ログイン時刻の”秒”単位まで含めてその暗号化を
行い、時刻の”秒”単位部分を付加したパスワードとユ
ーザIDを送信する。Therefore, in the present embodiment, in the one-time password authentication method of the time synchronization method, the user performs the encryption including the unit of “second” of the login time and adds the unit of “second” of the time. The password and the user ID are transmitted.
【0023】認証サーバ側は、最後にアクセスされた時
刻を更新記憶しておき、受信したパスワードの”秒”部
分を一致させて生成する前後数分の時刻データを暗号化
し、この暗号化データと受信パスワードの暗号化データ
が一致し、かつ最後にアクセスされた時刻よりも後であ
るときに認証成功とする。The authentication server updates and stores the last access time, encrypts the time data for several minutes before and after the received password by matching the "second" part of the received password, and Authentication is determined to be successful when the encrypted data of the received password matches and is later than the last access time.
【0024】これにより、従来の時間同期方式における
パスワードが不正者に盗まれた場合にも”秒”データが
異なるため、不正なログインを防止できる。しかも、正
規のユーザは、パスワード発生器と認証サーバ側の時計
のずれによるログイン失敗を起こすことはない。また、
ユーザ側と認証サーバ側のデータのやり取りは1回で済
み、チャレンジ&レスポンス方式に比べてユーザのキー
入力操作回数が減るし、ログイン時間の短縮を図ること
ができる。Thus, even if the password in the conventional time synchronization method is stolen by an unauthorized person, since the "second" data is different, unauthorized login can be prevented. In addition, a legitimate user does not fail to log in due to a clock difference between the password generator and the authentication server. Also,
Only one data exchange between the user and the authentication server is required, so that the number of key input operations by the user can be reduced as compared with the challenge and response method, and the login time can be reduced.
【0025】(第2の実施形態)本実施形態のハードウ
ェア構成は、従来と時間同期方式と同様に、認証サーバ
及びユーザのパスワード発生器に共通の暗号鍵を設け
る。認証サーバにはユーザ毎に、ユーザID、暗号鍵、
カウンタ値(その日にパスワード発生器がパスワードを
発生した回数)が年月日と共に登録されている。もし、
その日にまだ1回もアクセスされていない場合は、最後
にアクセスされた年月日と、その年月日にパスワードを
発生した回数が登録されている。(Second Embodiment) In the hardware configuration of the present embodiment, a common encryption key is provided for the authentication server and the password generator of the user, as in the conventional and time synchronization systems. The authentication server stores a user ID, an encryption key,
The counter value (the number of times the password generator has generated a password on that day) is registered with the date. if,
If the user has not been accessed even once on that day, the date of last access and the number of times the password was generated on that date are registered.
【0026】パスワード発生器には認証サーバに登録さ
れているものと同じ暗号鍵、及びカウンタ値(その日に
パスワードを発生した回数)が年月日と共に登録されて
いる。もし、その日にまだ1回もパスワードを発生して
いない場合は、最後にパスワードを発生した年月日と、
その年月日にパスワードを発生した回数が登録されてい
る。In the password generator, the same encryption key as that registered in the authentication server and the counter value (the number of times the password was generated on that day) are registered along with the date. If no password has been generated yet on that day, the date when the password was last generated,
The number of times the password was generated on that date is registered.
【0027】本実施形態による認証手順を以下に詳細に
説明する。なお、図2に認証サーバ側の処理手順を示
す。The authentication procedure according to the present embodiment will be described in detail below. FIG. 2 shows a processing procedure on the authentication server side.
【0028】(ユーザ側処理) (a)パスワード発生器は、ログイン時の年月日と登録
されている年月日を比較し、同じ日ならばカウンタ(パ
スワードを発生した回数)を1増やす。異なるなら、登
録されている年月日を更新し、カウンタを1にする。(User-side processing) (a) The password generator compares the date at the time of login with the registered date, and if the date is the same, increments the counter (the number of times a password has been generated) by one. If not, the registered date is updated and the counter is set to 1.
【0029】(b)パスワード発生器は、ログイン時の
時刻(分まで)にカウンタの値を付けたものを暗号鍵に
より暗号化する。(B) The password generator encrypts, with an encryption key, a value obtained by adding a counter value to the time (up to the minute) at the time of login.
【0030】例 ログイン時刻:1997年9月24
日15時32分、 カウンタ値:7 時刻データ:7199709241532 暗号化したデータ:****** (c)上記の(b)の結果にカウンタ値及び識別子(パ
スワードからカウンタ値のみを抽出するためのもの、例
えばアルファベットの”A”)を付けたものをパスワー
ドとし表示する。なお、第1の実施形態の場合は“秒”
は2桁と決まっているので識別子は必要としない。Example Login time: September 24, 1997
15:32 on the day, Counter value: 7 Time data: 7197709241532 Encrypted data: **** (c) The counter value and identifier (to extract only the counter value from the password) in the result of (b) above , For example, the one with the letter “A”) is displayed as a password. In the first embodiment, “second”
Does not need an identifier because it is determined to be two digits.
【0031】例 ログイン時刻:1997年9月24日15時32分、 カウンタ値:7 パスワード:7A****** (d)ユーザIDとユーザのコンピュータに入力し、上
記(c)のパスワードと共に認証サーバ側に送信する。Example Login time: 15:32 on September 24, 1997 Counter value: 7 Password: 7A **** (d) Enter the user ID and the user's computer, and enter the password in (c) above. Together with the authentication server.
【0032】(認証サーバ側処理、図2参照) (a)認証サーバは、ユーザIDとパスワードの受信が
あったとき(S11)、受信したパスワードからカウン
タ値を取り出し、その時の時刻(分まで)の前後数分内
の時刻をすべて(分間隔で)にカウンタ値を付けたもの
を暗号鍵で暗号化し(S12)、受信したパスワードか
らカウンタ値、識別子を除いたものと比較する(S1
3)。一致するものがなければ認証失敗として回線を切
断し、一致するものがあれば次の処理へ進む。(Authentication server-side processing, see FIG. 2) (a) When a user ID and a password are received (S11), the authentication server extracts a counter value from the received password, and the time (up to the minute) at that time. All the times within a few minutes before and after (with an interval of minutes) with a counter value are encrypted with an encryption key (S12), and compared with the received password excluding the counter value and the identifier (S1).
3). If there is no match, the line is disconnected as an authentication failure, and if there is a match, the process proceeds to the next process.
【0033】例 認証サーバが受信した時刻:1997年9月24日15
時32分 受信したパスワード:7A****** カウンタ値を付けた前後数分の時刻データ:71997
09241530、7199709241531、71
99709241532、719970924153
3、7199709241534 比較:カウンタ値を付けた前後数分の時刻データを暗号
化し、受信パスワードの「******」部分と比較す
る。Example Time received by the authentication server: September 24, 1997, 15
1 hour 32 minutes Received password: 7A ******** Time data for several times before and after adding the counter value: 71997
09241530, 7199709241531, 71
99709241532, 7197709214153
3, 7197709241534 Comparison: Encrypt the time data before and after adding the counter value and compare it with the “****” portion of the received password.
【0034】(b)認証サーバは、上記の(a)により
判明した暗号化された時刻の年月日と認証サーバに登録
されてある年月日の比較結果で一致するものがある場
合、登録されている年月日の方が前であるとき(S1
4)、登録されてある年月日を更新し、認証サーバのカ
ウンタ値を1にし(S15)、認証成功として接続す
る。(B) If there is a match between the date and time of the encrypted time found in (a) above and the date and time registered in the authentication server, the authentication server registers If the date is earlier (S1
4), the registered date is updated, the counter value of the authentication server is set to 1 (S15), and connection is established as authentication success.
【0035】また、暗号化された時刻の年月日と認証サ
ーバに登録されてある年月日が同じであるとき(S1
6)、カウンタ値を比較し、認証サーバのカウンタ値よ
りもパスワードから抽出したカウンタ値の方が大きいと
き(S17)、認証サーバのカウンタ値をパスワードか
ら抽出したカウンタ値に置き換える更新をし(S1
8)、認証成功として接続する。上記のいずれでもない
場合は、認証失敗として回線を切断する。When the date and time of the encrypted time and the date registered in the authentication server are the same (S1
6) Compare the counter values, and when the counter value extracted from the password is larger than the counter value of the authentication server (S17), update is performed to replace the counter value of the authentication server with the counter value extracted from the password (S1).
8) Connect as successful authentication. If none of the above, authentication is failed and the line is disconnected.
【0036】したがって、本実施形態では、時間同期方
式のワンタイムパスワード認証方式において、ユーザ側
は、ログイン時の時刻にパスワードを発生した回数にな
るカウンタ値を含めてその暗号化を行い、カウンタ値を
付加したパスワードとユーザIDを送信する。Therefore, in the present embodiment, in the one-time password authentication system of the time synchronization system, the user performs encryption including a counter value which is the number of times a password has been generated at the time of login, and performs the counter value. The password and the user ID to which the password is added are transmitted.
【0037】認証サーバ側は、受信したパスワードのカ
ウンタ値も含めた前後数分の時刻データを暗号化し、こ
の暗号化データと受信パスワードが一致し、かつ登録し
ておく時刻よりも後であるときに認証成功とする。ま
た、登録しておく時刻と同じで認証サーバに更新登録し
ておくカウンタ値よりもパスワードのカウンタ値の方が
大きい場合に認証成功とする。The authentication server side encrypts several times of time data including the counter value of the received password, including the counter value. When the encrypted data matches the received password and is later than the registered time. The authentication is successful. If the counter value of the password is larger than the counter value updated and registered in the authentication server at the same time as the registration time, the authentication is determined to be successful.
【0038】これにより、従来の時間同期方式における
パスワードが不正者に盗まれた場合にもそれにカウンタ
値が存在しないため、又はカウンタ値の前後に違いがあ
るため、不正なログインを防止できる。しかも、正規の
ユーザは、パスワード発生器と認証サーバ側の時計のず
れによるログイン失敗を起こすことはない。また、ユー
ザ側と認証サーバ側のデータのやり取りは1回で済み、
チャレンジ&レスポンス方式に比べてユーザのキー入力
操作回数が減るし、ログイン時間の短縮を図ることがで
きる。Thus, even if the password in the conventional time synchronization method is stolen by an unauthorized person, since there is no counter value or there is a difference between before and after the counter value, unauthorized login can be prevented. In addition, a legitimate user does not fail to log in due to a clock difference between the password generator and the authentication server. Also, the data exchange between the user and the authentication server only needs to be done once,
Compared to the challenge and response method, the number of key input operations by the user is reduced, and the login time can be reduced.
【0039】[0039]
【発明の効果】以上のとおり、本発明によれば、ユーザ
側はパスワードにログイン時刻の”秒”データ又はパス
ワード発生回数データになるカウンタ値を付加して暗号
化して送信し、認証サーバ側は”秒”データ又はカウン
タ値を除いた時刻データの前後関係、さらにはカウンタ
値の大小関係から正規のユーザを認証するようにしたた
め、従来の時間同期方式とユーザの同じ手間数、認証サ
ーバ、クライアントマシン間の同じやりとり数で、真に
1回のみ有効なパスワードを発生させることが可能とな
り、高いセキュリティを実現できる。As described above, according to the present invention, the user side encrypts the password with the "second" data of the login time or the counter value which becomes the data of the number of times of password generation and transmits the password. Since the authenticated user is authenticated based on the context of time data excluding "seconds" data or counter value, and furthermore, the magnitude of the counter value, the same number of users as the conventional time synchronization method, authentication server, client With the same number of exchanges between machines, it is possible to generate a password that is valid only once, and high security can be realized.
【図1】本発明の第1の実施形態を示す認証サーバの認
証アルゴリズム。FIG. 1 shows an authentication algorithm of an authentication server according to a first embodiment of the present invention.
【図2】本発明の第2の実施形態を示す認証サーバの認
証アルゴリズム。FIG. 2 shows an authentication algorithm of an authentication server according to a second embodiment of the present invention.
Claims (2)
器が共通の暗号鍵を保持し、ユーザ側はパスワードを発
生するときの時刻を前記暗号鍵により暗号化して認証サ
ーバにログインを要求し、認証サーバ側はログイン要求
があったときの時刻を前記暗号鍵により暗号化し、送ら
れてきたパスワードとの一致で認証を行う時間同期方式
のワンタイムパスワード認証システムにおいて、 前記ユーザ側は、時刻の暗号化に”秒”単位データを付
加したパスワードとする手段を設け、 前記認証サーバ側は、前記ユーザ側から受信した暗号化
された時刻の”分”単位以上の暗号化時刻とその前後数
分の暗号化時刻とが一致し、かつ前回のログイン時の時
刻よりも今回受信した暗号化時刻が後になる場合に正規
のユーザとして認証する手段を設けたことを特徴とする
ワンタイムパスワード認証システム。An authentication server and a password generator on the user side hold a common encryption key. The user encrypts the time when a password is generated using the encryption key, requests a login to the authentication server, and performs authentication. In a time-synchronous one-time password authentication system in which the server side encrypts the time when there is a login request with the encryption key and performs authentication by matching with the sent password, the user side encrypts the time. The authentication server side provides an encryption time that is equal to or more than the "minute" unit of the encrypted time received from the user side, and a number of minutes before and after the encryption time received from the user side. A means is provided for authenticating the user as an authorized user when the encryption time matches and the encryption time received this time is later than the time of previous login. One-time password authentication system and features.
器が共通の暗号鍵を保持し、ユーザ側はパスワードを発
生するときの時刻を前記暗号鍵により暗号化して認証サ
ーバにログインを要求し、認証サーバ側はログイン要求
があったときの時刻を前記暗号鍵により暗号化し、送ら
れてきたパスワードとの一致で認証を行う時間同期方式
のワンタイムパスワード認証システムにおいて、 前記ユーザ側は、時刻の暗号化にパスワード発生回数に
なるカウンタ値を付加したパスワードとする手段を設
け、 認証サーバ側は、前記ユーザ側から受信したパスワード
のカウンタ値も含めた前後数分の時刻データを暗号化
し、この暗号化データと受信パスワードが一致し、かつ
登録されている時刻よりも後であるとき、又は登録され
ている時刻と同じで認証サーバに更新登録しておくカウ
ンタ値よりもパスワードのカウンタ値の方が大きい場合
に正規のユーザとして認証する手段を設けたことを特徴
とするワンタイムパスワード認証システム。2. An authentication server and a password generator on the user side hold a common encryption key, and the user encrypts the time when a password is generated using the encryption key, requests a login to the authentication server, and performs authentication. In a time-synchronous one-time password authentication system in which the server side encrypts the time when there is a login request with the encryption key and performs authentication by matching with the sent password, the user side encrypts the time. The authentication server side encrypts the time data including the counter value of the password received from the user side, and encrypts the data for several times before and after the password, by adding a counter value that is the number of times of password generation to the encryption. Authentication when data and received password match and after registered time or same as registered time One-time password authentication system characterized in that a means for authenticating a legitimate user if the larger counter value password than the counter value to be updated registered in over server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP10122598A JPH11316740A (en) | 1998-05-06 | 1998-05-06 | One time password authentication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP10122598A JPH11316740A (en) | 1998-05-06 | 1998-05-06 | One time password authentication system |
Publications (1)
Publication Number | Publication Date |
---|---|
JPH11316740A true JPH11316740A (en) | 1999-11-16 |
Family
ID=14839904
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP10122598A Pending JPH11316740A (en) | 1998-05-06 | 1998-05-06 | One time password authentication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JPH11316740A (en) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002259344A (en) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | One-time password authentication system, portable telephone and user identification server |
JP2005010826A (en) * | 2003-06-16 | 2005-01-13 | Fujitsu Ltd | Authentication terminal device, biometrics information authentication system and biometrics information acquisition system |
JP2006186484A (en) * | 2004-12-27 | 2006-07-13 | Akira Taguchi | Verification system |
WO2008004312A1 (en) * | 2006-07-07 | 2008-01-10 | Jcb Co., Ltd. | Net settlement assisting device |
JP2008102840A (en) * | 2006-10-20 | 2008-05-01 | Ricoh Co Ltd | Software execution control program and software execution control method |
JP2008517384A (en) * | 2004-10-15 | 2008-05-22 | ベリサイン・インコーポレイテッド | one-time password |
JP2008198147A (en) * | 2007-02-16 | 2008-08-28 | Dainippon Printing Co Ltd | Method for adjusting time of token for generating one-time password of time synchronous system, token provided with function for securely correcting clock time, and server for generating message for correcting token time |
JP2009157772A (en) * | 2007-12-27 | 2009-07-16 | Toppan Printing Co Ltd | Password generation device and password generation method |
JP2009290319A (en) * | 2008-05-27 | 2009-12-10 | Toshiba Corp | Content reproducing device and content distributing device |
JP2011008801A (en) * | 2001-12-21 | 2011-01-13 | Qualcomm Inc | Method and apparatus for simplified audio authentication |
US8391480B2 (en) | 2002-02-15 | 2013-03-05 | Qualcomm Incorporated | Digital authentication over acoustic channel |
JP2013142994A (en) * | 2012-01-10 | 2013-07-22 | Clarion Co Ltd | Method and system for delivering information and vehicle-mounted terminal |
JP2013191962A (en) * | 2012-03-13 | 2013-09-26 | Toshiba Corp | Data transmitter, data receiver, and program |
US8943583B2 (en) | 2002-05-15 | 2015-01-27 | Qualcomm Incorporated | System and method for managing sonic token verifiers |
US9258124B2 (en) | 2006-04-21 | 2016-02-09 | Symantec Corporation | Time and event based one time password |
WO2018020830A1 (en) * | 2016-07-29 | 2018-02-01 | 株式会社デンソー | Security system, in-vehicle device, and security program |
-
1998
- 1998-05-06 JP JP10122598A patent/JPH11316740A/en active Pending
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002259344A (en) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | One-time password authentication system, portable telephone and user identification server |
JP2011008801A (en) * | 2001-12-21 | 2011-01-13 | Qualcomm Inc | Method and apparatus for simplified audio authentication |
US8391480B2 (en) | 2002-02-15 | 2013-03-05 | Qualcomm Incorporated | Digital authentication over acoustic channel |
US8943583B2 (en) | 2002-05-15 | 2015-01-27 | Qualcomm Incorporated | System and method for managing sonic token verifiers |
JP2005010826A (en) * | 2003-06-16 | 2005-01-13 | Fujitsu Ltd | Authentication terminal device, biometrics information authentication system and biometrics information acquisition system |
US8434138B2 (en) | 2004-10-15 | 2013-04-30 | Symantec Corporation | One time password |
JP2008517384A (en) * | 2004-10-15 | 2008-05-22 | ベリサイン・インコーポレイテッド | one-time password |
JP4672362B2 (en) * | 2004-12-27 | 2011-04-20 | 亮 田口 | Verification system |
JP2006186484A (en) * | 2004-12-27 | 2006-07-13 | Akira Taguchi | Verification system |
US9258124B2 (en) | 2006-04-21 | 2016-02-09 | Symantec Corporation | Time and event based one time password |
KR101248058B1 (en) * | 2006-07-07 | 2013-03-27 | 가부시기가이샤제이씨비 | Internet settlement system |
WO2008004312A1 (en) * | 2006-07-07 | 2008-01-10 | Jcb Co., Ltd. | Net settlement assisting device |
JP2008102840A (en) * | 2006-10-20 | 2008-05-01 | Ricoh Co Ltd | Software execution control program and software execution control method |
JP2008198147A (en) * | 2007-02-16 | 2008-08-28 | Dainippon Printing Co Ltd | Method for adjusting time of token for generating one-time password of time synchronous system, token provided with function for securely correcting clock time, and server for generating message for correcting token time |
JP2009157772A (en) * | 2007-12-27 | 2009-07-16 | Toppan Printing Co Ltd | Password generation device and password generation method |
JP2009290319A (en) * | 2008-05-27 | 2009-12-10 | Toshiba Corp | Content reproducing device and content distributing device |
JP2013142994A (en) * | 2012-01-10 | 2013-07-22 | Clarion Co Ltd | Method and system for delivering information and vehicle-mounted terminal |
JP2013191962A (en) * | 2012-03-13 | 2013-09-26 | Toshiba Corp | Data transmitter, data receiver, and program |
US9088421B2 (en) | 2012-03-13 | 2015-07-21 | Kabushiki Kaisha Toshiba | Data transmitting device, data receiving device, and computer-readable storage medium |
WO2018020830A1 (en) * | 2016-07-29 | 2018-02-01 | 株式会社デンソー | Security system, in-vehicle device, and security program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US5418854A (en) | Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system | |
CN109728909B (en) | Identity authentication method and system based on USBKey | |
US5491752A (en) | System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens | |
CN1323538C (en) | A dynamic identity certification method and system | |
US7409543B1 (en) | Method and apparatus for using a third party authentication server | |
CN104798083B (en) | For the method and system of authentication-access request | |
JPH11316740A (en) | One time password authentication system | |
US8402519B2 (en) | Transparent client authentication | |
US20080034216A1 (en) | Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords | |
JP2002521962A (en) | Method and system for establishing a shared secret using an authentication token | |
JP2003337923A (en) | Method and system for data update | |
KR20040079858A (en) | Network connection system | |
JP3362780B2 (en) | Authentication method in communication system, center device, recording medium storing authentication program | |
EP3556070B1 (en) | Use of personal device for convenient and secure authentication | |
KR20140002932A (en) | System and method for authentication based on one-time password | |
US20080250248A1 (en) | Identity Management System with an Untrusted Identity Provider | |
CN100425018C (en) | Dynamic encrypting device in network and its password identification method | |
JPH11212922A (en) | Password management and recovery system | |
JP2000148689A (en) | Method for authenticating users of network system | |
US20220237595A1 (en) | Cryptocurrency key management | |
US11991287B2 (en) | Username-less and password-less one-time identification and authentication code method and system | |
US7669233B2 (en) | Methods and systems for secure transmission of identification information over public networks | |
EP3757920A1 (en) | Cryptocurrency key management | |
JP3078666B2 (en) | Mutual authentication / encryption key distribution method | |
WO2002025860A1 (en) | The dynamic identification method without identification code |