+

JP4663676B2 - One-time password device and system - Google Patents

One-time password device and system Download PDF

Info

Publication number
JP4663676B2
JP4663676B2 JP2007112166A JP2007112166A JP4663676B2 JP 4663676 B2 JP4663676 B2 JP 4663676B2 JP 2007112166 A JP2007112166 A JP 2007112166A JP 2007112166 A JP2007112166 A JP 2007112166A JP 4663676 B2 JP4663676 B2 JP 4663676B2
Authority
JP
Japan
Prior art keywords
seed
time password
generating
time
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007112166A
Other languages
Japanese (ja)
Other versions
JP2008269342A (en
Inventor
裕之 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sakura Information Systems Co Ltd
Original Assignee
Sakura Information Systems Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sakura Information Systems Co Ltd filed Critical Sakura Information Systems Co Ltd
Priority to JP2007112166A priority Critical patent/JP4663676B2/en
Publication of JP2008269342A publication Critical patent/JP2008269342A/en
Application granted granted Critical
Publication of JP4663676B2 publication Critical patent/JP4663676B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ワンタイムパスワードを生成するワンタイムパスワード装置およびシステムに関する。   The present invention relates to a one-time password device and system for generating a one-time password.

ネットワークではユーザを認証する技術が重要である。ユーザ認証は、例えば、PDA、携帯電話、ノートPC等の端末からネットワークを介して、コンピュータシステムに接続する際に、接続しようとする端末のユーザが適切かどうかを判断するための技術である。安全かつ確実に重要な情報にアクセスするためには、ユーザ認証技術が重要になる。ユーザ認証の際に、よく利用されるのがIDとパスワードである。近年、パスワードの漏洩による不正アクセスの増加が問題となっている。   Technology for authenticating users is important in networks. User authentication is a technique for determining whether or not a user of a terminal to be connected is appropriate when connecting to a computer system from a terminal such as a PDA, a mobile phone, or a notebook PC via a network. In order to access important information safely and reliably, user authentication technology is important. In user authentication, ID and password are often used. In recent years, an increase in unauthorized access due to password leakage has become a problem.

不正アクセスの防止策として、パスワードを利用する認証よりも強力なワンタイムパスワードを利用する技術がある(例えば、特許文献1参照)。   As a measure for preventing unauthorized access, there is a technique that uses a stronger one-time password than authentication using a password (see, for example, Patent Document 1).

ワンタイムパスワードは、例えば、OTP(one time password:ワンタイムパスワード)生成装置(トークンとも呼ばれる)によって、プロバイダが発行したOTPシードと、時刻情報とに対応させて生成される。さらに、このプロバイダを提供しているサーバ装置は、このユーザの識別情報に対応するOTPシードを格納し、OTPシードと時刻情報とに対応したワンタイムパスワードを生成する。OTP生成装置とサーバ装置では、同一のOTPシード情報を所有し、ワンタイムパスワードを生成するアルゴリズムも同一に設定してある。さらに、時刻情報も同期させておくので、OTP生成装置が生成するワンタイムパスワードとサーバ装置が生成するワンタイムパスワードは同一になり、ユーザ認証を行うことができる。   The one-time password is generated, for example, by an OTP (one time password) generation device (also called a token) in association with the OTP seed issued by the provider and the time information. Further, the server device providing this provider stores an OTP seed corresponding to the user identification information, and generates a one-time password corresponding to the OTP seed and time information. The OTP generation device and the server device have the same OTP seed information and the same algorithm for generating a one-time password. Furthermore, since the time information is also synchronized, the one-time password generated by the OTP generation device and the one-time password generated by the server device are the same, and user authentication can be performed.

このワンタイムパスワードは、時刻情報が変化するため、認証のために1回しか使用することができないので、ワンタイムパスワード認証は高い安全性を確保することができる。
特開2004−171056公報 Since the one-time password can be used only once for authentication because time information changes, the one-time password authentication can ensure high security.
JP 2004-171056 A

しかし、ユーザが複数のプロバイダとの間でワンタイムパスワードを利用する場合には、各プロバイダに対応しているOTP生成装置を使用する必要があるので、ユーザは複数のプロバイダ用のOTP生成装置を携帯する必要があり、ユーザには不便である。   However, when a user uses a one-time password with a plurality of providers, it is necessary to use an OTP generation device corresponding to each provider. Therefore, the user can use an OTP generation device for a plurality of providers. It is necessary to carry it, which is inconvenient for the user.

また、複数のプロバイダ間でワンタイムパスワードを共有しようとすると、ワンタイムパスワードを生成するために必要な秘密のOTPシードもプロバイダ間で共有する必要がある。この秘密のOTPシードをプロバイダ間で共有すると、秘密のOTPシードの漏洩につながる可能性があり、安全性に問題がある。   In addition, when one-time passwords are shared among a plurality of providers, a secret OTP seed necessary for generating a one-time password needs to be shared between providers. If this secret OTP seed is shared between providers, it may lead to leakage of the secret OTP seed, which is problematic in terms of security.

この発明は、上述した事情を考慮してなされたものであり、複数のプロバイダとの間で安全にワンタイムパスワードを利用することができるワンタイムパスワード装置およびシステムを提供することを目的とする。   The present invention has been made in consideration of the above-described circumstances, and an object of the present invention is to provide a one-time password device and system that can safely use a one-time password with a plurality of providers.

上述の課題を解決するため、本発明のワンタイムパスワード装置は、サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置であって、サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる格納手段と、時刻情報を発生する時刻発生手段と、プロバイダの第1プロバイダ識別情報を取得する第1取得手段と、前記第1プロバイダ識別情報に対応する第1対応シードを前記格納手段から取得する第2取得手段と、前記時刻情報を取得する第3取得手段と、前記取得された時刻情報と、前記第1対応シードとに対応する数値である第1ワンタイムパスワードを発生するOTP発生手段と、前記第1ワンタイムパスワードを表示する表示手段と、前記第1対応シードの第1部分と前記時刻情報の第1部分とを演算した演算情報を生成する第1生成手段と、
前記演算情報を、前記第1対応シードの第2部分で暗号化した第1暗号情報を生成する第2生成手段と、前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、を具備し、前記サーバ装置は、ユーザ識別情報と、該ユーザ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納し、前記時刻情報と、前記ワンタイムパスワード装置のユーザ識別情報に対応する第2対応シードと、に対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可し、前記OTP発生手段は、前記第1対応シードの代わりの前記第1暗号シードと、前記時刻情報とに対応する第1ワンタイムパスワードを発生し、前記サーバ装置は、前記シードの代わりの前記第1暗号シードに対応する第2暗号シードを複数格納し、前記第2対応シードの代わりの前記第2暗号シードと前記時刻情報とに対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とする。 In order to solve the above-described problems, a one-time password device according to the present invention is a one-time password device that generates a one-time password to be used when communicating with a server device, and is a provider identification of a provider that provides a service. Information and a seed that is a sequence for generating a one-time password corresponding to the provider identification information are associated with one set, and this set is stored for a plurality of providers. wherein all different storage means for each set, a time generating means for generating time information, a first obtaining means for obtaining a first provider identification information provider, the first corresponding seed that corresponds to the first provider identification information Second acquisition means for acquiring from the storage means, third acquisition means for acquiring the time information, and the acquired time information The OTP generation means for generating a first one-time password is a numeric value corresponding to a first corresponding seed, and a display means for displaying the first one-time password, and the first first portion of the corresponding seed the First generation means for generating calculation information obtained by calculating the first portion of the time information;
Second generation means for generating first cryptographic information obtained by encrypting the calculation information with the second portion of the first corresponding seed, and a first cryptographic seed that is a numerical value corresponding to the first cryptographic information. 1 cipher seed generation means, and the server device associates user identification information with a seed that is a sequence for generating a one-time password corresponding to the user identification information, and makes one set. A plurality of sets are stored, and the second one-time password corresponding to the time information and the second corresponding seed corresponding to the user identification information of the one-time password device matches the first one-time password. The server device permits the user to provide the service of the provider having the first provider identification information, and the OTP generation means includes the first corresponding seed. A first one-time password corresponding to the first cipher seed instead and the time information is generated, and the server device stores a plurality of second cipher seeds corresponding to the first cipher seed instead of the seed. When the second one-time password corresponding to the second cipher seed instead of the second corresponding seed and the time information matches the first one-time password, the server device The user is allowed to provide a service of a provider having the first provider identification information .

また、本発明のワンタイムパスワード装置は、サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置であって、サービスを提供しているプロバイダの複数のプロバイダ識別情報と、ワンタイムパスワードを生成するための数列である1つの単一シードとを格納している格納手段と、時刻情報を発生する時刻発生手段と、プロバイダの第1プロバイダ識別情報を取得する第1取得手段と、前記単一シードの第1部分と前記第1プロバイダ識別情報とを演算した第1演算情報を生成する第1生成手段と、前記第1演算情報を、前記単一シードの第2部分で暗号化した第1暗号情報を生成する第2生成手段と、前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、前記第1暗号シードの第1部分と前記時刻情報の第1部分とを演算した第2演算情報を生成する第3生成手段と、前記第2演算情報を、前記第1暗号シードの第2部分で暗号化した第2暗号情報を生成する第4生成手段と、前記第2暗号情報に対応する数値である第2暗号シードを発生する第2暗号シード発生手段と、前記時刻情報を取得する第取得手段と、前記第2暗号シードと、前記取得された時刻情報とに対応する第1ワンタイムパスワードを発生するOTP発生手段と、前記第1ワンタイムパスワードを表示する表示手段と、を具備し、前記サーバ装置は、前記第2暗号シードに対応する第3暗号シードを複数格納し、前記第3暗号シードと前記時刻情報とに対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とする。 The one-time password device of the present invention is a one-time password device that generates a one-time password to be used when communicating with a server device, and includes a plurality of provider identification information of providers providing services , storage means for one and a single seed which is sequence for generating a down-time password are store, a time generating means for generating time information, the first obtaining of acquiring first provider identification information provider Means, first generation means for generating first calculation information obtained by calculating the first part of the single seed and the first provider identification information, and the first calculation information as the second part of the single seed. Second generation means for generating the first encryption information encrypted in step 1; first encryption seed generation means for generating a first encryption seed that is a numerical value corresponding to the first encryption information; The third generation means for generating second calculation information obtained by calculating the first portion of the first cryptographic seed and the first portion of the time information, and the second calculation information as the second portion of the first cryptographic seed. Fourth generation means for generating second encryption information encrypted in step (2), second encryption seed generation means for generating a second encryption seed that is a numerical value corresponding to the second encryption information, and second time for acquiring the time information. a second acquiring unit, the second encryption seed, the OTP generation means for generating a first one-time password that corresponds to said obtained time information, and display means for displaying the first one-time password, the The server device stores a plurality of third cryptographic seeds corresponding to the second cryptographic seed, and a second one-time password corresponding to the third cryptographic seed and the time information is the first one-time password. password The server device when the match is, and permits the provision of a service provider having a first provider identification information to the user.

本発明のワンタイムパスワードシステムは、サーバ装置と、該サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置とを具備するワンタイムパスワードシステムであって、
前記ワンタイムパスワード装置は、サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる第1格納手段と、ユーザが接続を望むプロバイダの第1プロバイダ識別情報を取得する第1取得手段と、前記第1プロバイダ識別情報に対応する第1対応シードを前記第1格納手段から取得する第2取得手段と、第1時刻情報を発生する第1時刻発生手段と、前記第1時刻情報と、前記第1対応シードとに対応する数値である第1ワンタイムパスワードを発生する第1OTP発生手段と、前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、ユーザ識別情報と、該ユーザ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納して、ユーザ識別情報とシードは組ごとに全て異なる第2格納手段と、前記第1時刻情報と同期した第2時刻情報を発生する第2時刻発生手段と、前記ユーザ識別情報と、該ユーザ識別情報に対応する第2対応シードとを前記第2格納手段から取得する第3取得手段と、前記第2時刻情報と、前記第2対応シードとに対応する第2ワンタイムパスワードを発生する第2OTP発生手段と、前記第1ワンタイムパスワードを取得する第4取得手段と、前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致しているかどうかを判定する判定手段と、前記判定手段が一致していると判定した場合には、前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可する許可手段と、を具し、
前記ワンタイムパスワード装置は、前記第1対応シードの第1部分と前記第1時刻情報の第1部分とを演算した演算情報を生成する第1生成手段と、前記演算情報を、前記第1対応シードの第2部分で暗号化した第1暗号情報を生成する第2生成手段と、前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、をさらに具備し、
前記第1OTP発生手段は、前記第1対応シードの代わりの前記第1暗号シードと、前記第1時刻情報とに対応する第1ワンタイムパスワードを発生し、前記第2格納手段は、前記シードの代わりに、前記第1暗号シードに対応する第2暗号化シードを格納し、前記第2OTP発生手段は、前記第2対応シードの代わりの前記第2暗号シードと、前記第2時刻情報とに対応する第2ワンタイムパスワードを発生することを特徴とする。 The one-time password system of the present invention is a one-time password system comprising a server device and a one-time password device that generates a one-time password used when communicating with the server device,
The one-time password device associates provider identification information of a provider providing a service with a seed that is a sequence for generating a one-time password corresponding to the provider identification information into a set, A set is stored for a plurality of providers, provider identification information and seed are all different for each set, first storage means for acquiring first provider identification information of a provider that a user desires to connect to, and Second acquisition means for acquiring a first corresponding seed corresponding to first provider identification information from the first storage means, first time generation means for generating first time information, the first time information, and the first A first OTP generating means for generating a first one-time password which is a numerical value corresponding to one corresponding seed; and the first one-time password is displayed. Comprising a display unit, the,
The server device associates user identification information with a seed that is a sequence for generating a one-time password corresponding to the user identification information into one set, stores a plurality of sets, and stores the user identification information. And second seeds that are different for each set, second time generating means for generating second time information synchronized with the first time information, user identification information, and second information corresponding to the user identification information. A second acquisition unit for generating a second one-time password corresponding to the second time information and the second corresponding seed; Fourth acquisition means for acquiring a first one-time password, determination means for determining whether or not the first one-time password and the second one-time password match; If it is determined that the constant means are coincident, and ingredients Bei and permitting means, the permitting provision of a service provider having a first provider identification information,
The one-time password device includes: first generation means for generating calculation information obtained by calculating a first part of the first corresponding seed and a first part of the first time information; Second generation means for generating first encryption information encrypted with the second part of the seed, and first encryption seed generation means for generating a first encryption seed that is a numerical value corresponding to the first encryption information, Equipped,
The first OTP generation means generates a first one-time password corresponding to the first cipher seed instead of the first corresponding seed and the first time information, and the second storage means Instead, a second encryption seed corresponding to the first encryption seed is stored, and the second OTP generation means corresponds to the second encryption seed instead of the second correspondence seed and the second time information. The second one-time password is generated .

本発明のワンタイムパスワード装置およびシステムによれば、複数のプロバイダとの間で安全にワンタイムパスワードを利用することができる。   According to the one-time password device and system of the present invention, a one-time password can be safely used with a plurality of providers.

以下、図面を参照しながら本発明の実施形態に係るワンタイムパスワード装置およびプログラムについて詳細に説明する。なお、以下の実施形態中では、同一の番号を付した部分については同様の動作を行うものとして、重ねての説明を省略する。
(第1の実施形態)
本実施形態のワンタイムパスワード装置について図1を参照して説明する。
本実施形態のワンタイムパスワード装置は、図1に示すように、時刻発生部101、鍵管理部102、OTP(one time password:ワンタイムパスワード)発生部103、OTP/CID表示部104、入力部105、制御部106を含んでいる。なお、このワンタイムパスワード装置は、例えば、携帯電話である。 Hereinafter, a one-time password device and a program according to an embodiment of the present invention will be described in detail with reference to the drawings. Note that, in the following embodiments, the same numbered portions are assumed to perform the same operation, and repeated description is omitted.
(First embodiment)
The one-time password device of this embodiment will be described with reference to FIG.
As shown in FIG. 1, the one-time password device of this embodiment includes a time generation unit 101, a key management unit 102, an OTP (one time password) generation unit 103, an OTP / CID display unit 104, and an input unit. 105 and a control unit 106 are included. This one-time password device is, for example, a mobile phone.

時刻発生部101は時刻を発生する。この時刻は、後述するサーバ装置に含まれる時刻発生部301が生成する時刻に同期している。   The time generation unit 101 generates time. This time is synchronized with the time generated by the time generation unit 301 included in the server device described later.

鍵管理部102は鍵データを格納している。この鍵データは、サービスを提供しているプロバイダの識別情報と、該識別情報に対応するワンタイムパスワードを生成するための数列であるOTPシードと、を対応付けて1組とし、この組をこのワンタイムパスワード装置のユーザが接続しようとするプロバイダ分だけ格納している。なお、識別情報とシードは組ごとに全て異なる。鍵管理部102は、図2に示すように、プロバイダの識別情報として、例えば、プロバイダのIDと、このプロバイダ向けのCID(communication identifier:通信識別子)とを格納している。CIDは、プロバイダとユーザとの組ごとに割り当てられるIDである。各プロバイダはユーザごとに異なるCIDを有し、各ユーザはプロバイダごとに異なるCIDを有している。ある1つのCIDは、対応するある1つのプロバイダと、対応するあるひとりのユーザとで同一である。鍵管理部102が格納しているデータの詳細については後に図2を参照して説明する。
OTP発生部103は、時刻発生部101が発生した時刻と、鍵管理部102に格納されているOTPシードのうちのユーザが入力したプロバイダに対応するOTPシードと、を入力して、この時刻とOTPシードから数値を生成する。この数値は、例えば、ハッシュ関数を使用して生成される。OTP発生部103のハッシュ関数(例えば、SHA−256)は、例えば、時刻として32ビットのデータと、OTPシードとして256ビットのデータを入力とし、256ビットの数値を出力する。OTP発生部103は、ハッシュ関数で得られた数値の一部(例えば、20ビット)をワンタイムパスワードとして出力する。 The key management unit 102 stores key data. This key data associates the identification information of the provider providing the service with the OTP seed, which is a sequence for generating a one-time password corresponding to the identification information, into one set, and this set is this Only the number of providers to which the user of the one-time password device tries to connect is stored. The identification information and the seed are all different for each set. As shown in FIG. 2, the key management unit 102 stores, for example, a provider ID and a CID (communication identifier) for the provider as provider identification information. The CID is an ID assigned to each set of provider and user. Each provider has a different CID for each user, and each user has a different CID for each provider. A certain CID is the same for a corresponding one provider and a corresponding one user. Details of the data stored in the key management unit 102 will be described later with reference to FIG.
The OTP generation unit 103 inputs the time when the time generation unit 101 is generated and the OTP seed corresponding to the provider input by the user among the OTP seeds stored in the key management unit 102, and this time and Generate a number from the OTP seed. This numerical value is generated using, for example, a hash function. The hash function (for example, SHA-256) of the OTP generation unit 103 receives, for example, 32-bit data as a time and 256-bit data as an OTP seed, and outputs a 256-bit numerical value. The OTP generation unit 103 outputs a part of the numerical value obtained by the hash function (for example, 20 bits) as a one-time password.

OTP/CID表示部104は、OTP発生部103が発生したワンタイムパスワードと、制御部106が鍵管理部102から取得したワンタイムパスワードに対応するCIDを表示する。OTP/CID表示部104は、例えば、この他にも、暗証番号の入力画面、プロバイダの選択画面を表示する。   The OTP / CID display unit 104 displays the one-time password generated by the OTP generation unit 103 and the CID corresponding to the one-time password acquired from the key management unit 102 by the control unit 106. For example, the OTP / CID display unit 104 displays a password input screen and a provider selection screen.

入力部105は、例えば、ユーザがサービスを選択する際に利用される。
制御部106は、鍵管理部102から、ユーザが入力したプロバイダに対応するOTPシードに対応するCIDを取得し、OTP/CID表示部104に渡す。また、制御部106はワンタイムパスワード装置に含まれる各部を制御する。 The input unit 105 is used, for example, when the user selects a service.
The control unit 106 acquires the CID corresponding to the OTP seed corresponding to the provider input by the user from the key management unit 102 and passes it to the OTP / CID display unit 104. The control unit 106 controls each unit included in the one-time password device.

次に、図1の鍵管理部102に格納されている鍵データについて図2を参照して説明する。
鍵管理部102は、ワンタイムパスワード装置ごとに、プロバイダID、CID、OTPシードを1組としたデータを、ユーザが提携しているプロバイダの数だけ格納している。これらのCIDとOTPシードは、ユーザごと(すなわち、ワンタイムパスワード装置ごと)に定まっている。すなわち、一般的には、同一のプロバイダでも、ユーザに依存して、CIDとOTPシードは異なっている。したがって、CIDとOTPシードから生成されるワンタイムパスワードは安全性に優れ、ネットワーク上の正しい相手と通信が可能になる。 Next, key data stored in the key management unit 102 of FIG. 1 will be described with reference to FIG.
The key management unit 102 stores, for each one-time password device, data that includes a provider ID, a CID, and an OTP seed as many as the number of providers with which the user is affiliated. These CID and OTP seed are determined for each user (that is, for each one-time password device). That is, generally, even in the same provider, the CID and the OTP seed are different depending on the user. Therefore, the one-time password generated from the CID and the OTP seed is excellent in safety and can communicate with a correct partner on the network.

鍵管理部102が格納する鍵データは、提携しているプロバイダの数だけあるが、通常は100件程度であると見込まれる。プロバイダID、CIDは、例えば、それぞれ8桁で示され、OTPシードは、例えば、256ビットを有している。この場合、鍵管理部102は、4000バイト程度のデータを格納することになる。   The key data stored in the key management unit 102 is the same as the number of affiliated providers, but is normally expected to be about 100. The provider ID and CID are each indicated by, for example, 8 digits, and the OTP seed has 256 bits, for example. In this case, the key management unit 102 stores about 4000 bytes of data.

次に、図1のワンタイムパスワード装置を利用してユーザがデータのやり取りを行う相手であるサーバ装置について図3を参照して説明する。サーバ装置は、プロバイダごとに設置される。すなわち、1つのサーバ装置には1つのプロバイダ情報のみ格納している。
サーバ装置は、図3に示すように、時刻発生部301、鍵管理部302、シード処理部303、OTP発生部304、ネットワークI/F(interface:インターフェース)部305、制御部306を含んでいる。 Next, a server apparatus with which the user exchanges data using the one-time password apparatus of FIG. 1 will be described with reference to FIG. A server device is installed for each provider. That is, only one provider information is stored in one server device.
As shown in FIG. 3, the server device includes a time generation unit 301, a key management unit 302, a seed processing unit 303, an OTP generation unit 304, a network I / F (interface) unit 305, and a control unit 306. .

時刻発生部301は時刻を発生する。この時刻は、ワンタイムパスワード装置に含まれる時刻発生部101が生成する時刻に同期している。   The time generation unit 301 generates time. This time is synchronized with the time generated by the time generation unit 101 included in the one-time password device.

鍵管理部302は、鍵データをプロバイダごとに格納している。このプロバイダごとの鍵データは、登録しているユーザのCIDと、該CIDに対応するワンタイムパスワードを生成するための数列であるOTPシードと、を対応付けて1組とし、この組を複数組格納している。鍵管理部302が格納しているCIDとOTPシードは、組ごとに全て異なる内容になっている。また、ワンタイムパスワード装置の鍵管理部102が格納している鍵データのうちの対応するプロバイダに関するOTPシードは、鍵管理部302が格納しているOTPシードのうちの対応ユーザのOTPシードに一致している。鍵管理部302が格納しているデータの詳細については後に図4を参照して説明する。   The key management unit 302 stores key data for each provider. The key data for each provider is a set of CIDs of registered users and OTP seeds, which are a sequence for generating a one-time password corresponding to the CID, as one set, and a plurality of sets of these sets. Storing. The CID and OTP seed stored in the key management unit 302 are all different for each set. The OTP seed related to the corresponding provider in the key data stored in the key management unit 102 of the one-time password device is equal to the OTP seed of the corresponding user in the OTP seed stored in the key management unit 302. I'm doing it. Details of the data stored in the key management unit 302 will be described later with reference to FIG.

なお、ワンタイムパスワード装置の鍵管理部102に格納されている鍵データのうちのあるプロバイダに関するOTPシードは、このプロバイダに対応するサーバ装置の鍵管理部302が格納しているOTPシードのうちのこのユーザに対応するOTPシードと一致するように設定しておく。例えば、後に図5を参照して説明するように、ユーザが、対応するプロバイダごとに利用登録を行う際にユーザのCIDとワンタイムパスワードをサーバ装置に送信する。また、鍵管理会社が、事前にユーザとプロバイダに鍵データを郵送して、ユーザがワンタイムパスワード装置の鍵管理部102に鍵データをコピーする。他に、秘匿性に優れる通信回線、または、秘匿性に優れる通信技術を使用して、ワンタイムパスワード装置はサーバ装置から鍵データをダウンロードしてもよい。   The OTP seed related to a provider among the key data stored in the key management unit 102 of the one-time password device is the OTP seed stored in the key management unit 302 of the server device corresponding to the provider. It is set so as to match the OTP seed corresponding to this user. For example, as will be described later with reference to FIG. 5, when the user performs usage registration for each corresponding provider, the user's CID and one-time password are transmitted to the server device. Also, the key management company mails key data to the user and the provider in advance, and the user copies the key data to the key management unit 102 of the one-time password device. In addition, the one-time password device may download the key data from the server device using a communication line excellent in confidentiality or a communication technology excellent in confidentiality.

シード処理部303は、鍵管理部302に格納されているデータからOTPシードを生成するための処理を行う。シード処理部303は、鍵管理部302からユーザに対応するOTPシードを取得し、OTP発生部304に渡す。   The seed processing unit 303 performs processing for generating an OTP seed from data stored in the key management unit 302. The seed processing unit 303 acquires an OTP seed corresponding to the user from the key management unit 302 and passes it to the OTP generation unit 304.

OTP発生部304は、時刻発生部301が発生した時刻と、シード処理部303から取得したOTPシードとを入力して、この時刻とOTPシードから数値を生成する。この数値を発生するためのアルゴリズムは、本実施形態のワンタイムパスワード装置でのOTP発生部103と同様である。すなわち、入力するOTPシードと時刻とが同一なので、サーバ装置が発生するワンタイムパスワードとワンタイムパスワード装置が発生するワンタイムパスワードは同一のものになる。   The OTP generation unit 304 inputs the time generated by the time generation unit 301 and the OTP seed acquired from the seed processing unit 303, and generates a numerical value from this time and the OTP seed. The algorithm for generating this numerical value is the same as that of the OTP generation unit 103 in the one-time password device of this embodiment. That is, since the input OTP seed and the time are the same, the one-time password generated by the server device and the one-time password generated by the one-time password device are the same.

ネットワークI/F部305は、ワンタイムパスワード装置が生成したワンタイムパスワードを利用してサーバ装置にログインするコンピュータとの間でデータのやり取りをする。ネットワークI/F部305は、例えば、コンピュータからユーザのログインを受け付けたり、後に図5を参照して説明するように、コンピュータからCIDとワンタイムパスワードを受信したりする。   The network I / F unit 305 exchanges data with a computer that logs in to the server device using the one-time password generated by the one-time password device. For example, the network I / F unit 305 receives a user login from a computer, or receives a CID and a one-time password from the computer, as will be described later with reference to FIG.

制御部306は、サーバ装置の各部を制御する。また、制御部306は、OTP発生部304が発生したワンタイムパスワードと、ネットワークI/F部305がコンピュータから受信したワンタイムパスワードとが一致するかどうかを判定する。一致すると判定した場合にはコンピュータへのサービスの提供を許可しサービスの提供を開始し、一致しない場合にはコンピュータへのサービスの提供を拒否する。   The control unit 306 controls each unit of the server device. The control unit 306 determines whether the one-time password generated by the OTP generation unit 304 matches the one-time password received from the computer by the network I / F unit 305. If it is determined that they match, service provision to the computer is permitted and service provision is started, and if they do not match, service provision to the computer is rejected.

次に、鍵管理部302に格納されている鍵データについて図4を参照して説明する。
鍵管理部302は、プロバイダごとに、CID、OTPシードを1組としたデータをユーザの数以上格納している。これらのCIDとOTPシードは、ユーザごとに定まっている。すなわち、一般的には、同一のプロバイダでも、ユーザによって、CIDとOTPシードは異なっている。したがって、CIDとOTPシードから生成されるワンタイムパスワードは安全性に優れ、ネットワーク上の正しい相手と通信が可能になる。 Next, key data stored in the key management unit 302 will be described with reference to FIG.
The key management unit 302 stores, for each provider, data that includes a set of CIDs and OTP seeds for at least the number of users. These CID and OTP seed are determined for each user. That is, generally, even in the same provider, the CID and the OTP seed are different depending on the user. Therefore, the one-time password generated from the CID and the OTP seed is excellent in safety and can communicate with a correct partner on the network.

鍵管理部302が格納する鍵データは、登録しているユーザの数だけあるが、通常は1000万件程度である。CIDは例えば8桁で示され、OTPシードは例えば256ビットを有している。この場合、鍵管理部302は、1プロバイダにつき3.6億バイト程度のデータを格納することになる。   The key data stored in the key management unit 302 is the same as the number of registered users, but is usually about 10 million. The CID is indicated by 8 digits, for example, and the OTP seed has 256 bits, for example. In this case, the key management unit 302 stores about 360 million bytes of data per provider.

次に、図1のワンタイムパスワード装置を利用して、図3のサーバ装置のプロバイダに、このサーバ装置に接続するコンピュータを介して、利用登録をするための動作の一例について図5を参照して説明する。
ユーザは、コンピュータを使用して、所望のプロバイダサイトを運営しているサーバ装置にログインする(ステップS501)。このとき、ユーザは、例えば、ユーザの識別情報である、IDとパスワード(図5ではPW)を入力してログインする。通常このIDとパスワードは登録のための仮のものであり1度だけ使用される。 Next, referring to FIG. 5 for an example of an operation for registering the use of the one-time password device of FIG. 1 to the provider of the server device of FIG. 3 via a computer connected to the server device. I will explain.
The user logs in to the server apparatus operating the desired provider site using the computer (step S501). At this time, the user logs in, for example, by inputting an ID and a password (PW in FIG. 5), which are user identification information. Normally, this ID and password are temporary for registration and are used only once.

ユーザは、コンピュータを使用して、ワンタイムパスワードを使用する旨をサーバ装置に指示する指示信号を送信する(ステップS502)。   The user transmits an instruction signal for instructing the server device to use the one-time password using the computer (step S502).

サーバ装置は、コンピュータに、CIDとワンタイムパスワードを入力する旨の要求信号を送信する(ステップS503)。   The server device transmits a request signal for inputting the CID and the one-time password to the computer (step S503).

ユーザは、携帯電話を使用し、サービスの提供を受けたいプロバイダを選択する(ステップS504)。このプロバイダは、ステップS501でログインしたサイトのプロバイダである。   The user selects a provider who wants to receive the service using the mobile phone (step S504). This provider is the provider of the site logged in at step S501.

携帯電話では、OTP発生部103がステップS504で選択されたプロバイダのOTPシードからワンタイムパスワードを発生し、発生したワンタイムパスワードとCIDとをOTP/CID表示部104に表示する(ステップS505)。   In the mobile phone, the OTP generation unit 103 generates a one-time password from the OTP seed of the provider selected in step S504, and displays the generated one-time password and CID on the OTP / CID display unit 104 (step S505).

ユーザは、ステップS505で表示されたワンタイムパスワードとCIDとをコンピュータに入力し、入力されたワンタイムパスワードとCIDとがサーバ装置に送信される(ステップS506)。
サーバ装置は、ステップS506で入力されたワンタイムパスワードとCIDとを受信し、これらが、この登録ユーザの鍵データであると認識し、このワンタイムパスワードとCIDと、時刻発生部301が発生する時刻により、この登録ユーザのOTPシードを生成し、このOTPシードとCIDとをこのユーザの鍵データとして鍵管理部302に格納する。 The user inputs the one-time password and CID displayed in step S505 to the computer, and the input one-time password and CID are transmitted to the server device (step S506).
The server apparatus receives the one-time password and CID input in step S506, recognizes that these are the key data of the registered user, and generates the one-time password and CID and the time generation unit 301. Based on the time, an OTP seed for the registered user is generated, and the OTP seed and CID are stored in the key management unit 302 as key data for the user.

次に、図1のワンタイムパスワード装置と、図3のサーバ装置と、このサーバ装置に接続するコンピュータとを含むワンタイムパスワードシステムの動作の一例について図6、図7を参照して説明する。
ユーザは、コンピュータに、所望のプロバイダサイトを表示させる(ステップS601)。 Next, an example of the operation of the one-time password system including the one-time password device shown in FIG. 1, the server device shown in FIG. 3, and a computer connected to the server device will be described with reference to FIGS.
The user displays a desired provider site on the computer (step S601).

ユーザは、携帯電話を使用し、サービスの提供を受けたいプロバイダを選択する(ステップS602)。ユーザは、例えば、図7の(1)のように、入力部105を使用し、携帯電話の画面上で、パスワードとして暗証番号を入力し、図7の(2)のようにサービスの提供をするプロバイダの一覧を表示させ、複数のプロバイダの中からステップS601で表示させたプロバイダを選択する。   The user uses a mobile phone and selects a provider who wants to receive the service (step S602). For example, the user uses the input unit 105 as shown in (1) of FIG. 7 and inputs a password as a password on the screen of the mobile phone, and provides a service as shown in (2) of FIG. A list of providers to be displayed is displayed, and the provider displayed in step S601 is selected from a plurality of providers.

携帯電話では、OTP発生部103がステップS602で選択されたプロバイダのOTPシードからワンタイムパスワードを発生し、発生したワンタイムパスワードをOTP/CID表示部104に表示する(ステップS603)。携帯電話は、例えば、図7の(3)のようにワンタイムパスワードを表示する。   In the mobile phone, the OTP generation unit 103 generates a one-time password from the OTP seed of the provider selected in step S602, and displays the generated one-time password on the OTP / CID display unit 104 (step S603). For example, the cellular phone displays a one-time password as shown in (3) of FIG.

ユーザは、ユーザのIDとステップS603で表示されたワンタイムパスワードとをコンピュータに入力し、入力されたワンタイムパスワードがサーバ装置に送信される(ステップS604)。
サーバ装置は、ステップS604で入力されたユーザIDとワンタイムパスワードとを受信し、受信したワンタイムパスワードと、サーバ装置が発生したワンタイムパスワードとが一致するかどうか確認する(認証処理)(ステップS605)。一致している場合には、サーバ装置がコンピュータにサービスの提供を開始する。なお、サーバ装置は、ワンタイムパスワード装置の時刻発生部101が発生する時刻情報の誤差を測定し、誤差を補正するための情報を格納してもよい。 The user inputs the user ID and the one-time password displayed in step S603 to the computer, and the input one-time password is transmitted to the server device (step S604).
The server device receives the user ID and the one-time password input in step S604, and checks whether the received one-time password matches the one-time password generated by the server device (authentication process) (step S605). If they match, the server device starts providing services to the computer. The server device may measure the error of the time information generated by the time generator 101 of the one-time password device and store information for correcting the error.

以上の第1の実施形態によれば、ワンタイムパスワード装置でプロバイダごとにCIDとOTPシードを予め格納して、同様な情報をサーバ装置にユーザごとに、CIDとOTPシードを予め格納しておくことにより、プロバイダ間でのOTPシードの漏洩がなく、1つのワンタイムパスワード装置で複数のプロバイダからサービスの提供を安全に受けることができる。   According to the first embodiment described above, the CID and OTP seed are stored in advance for each provider in the one-time password device, and the same information is stored in advance in the server device for each user. As a result, there is no leakage of OTP seeds between providers, and a single one-time password device can securely receive services from a plurality of providers.

(第2の実施形態)
本実施形態のワンタイムパスワード装置について図8を参照して説明する。
本実施形態のワンタイムパスワード装置は、図8に示すように、第1の実施形態での鍵管理部102、制御部106の代わりにそれぞれ鍵管理部801、制御部803を含み、さらに第1の実施形態のワンタイムパスワード装置からの新たな装置部分として、時変シード処理部802を含んでいる。 (Second Embodiment)
The one-time password device of this embodiment will be described with reference to FIG.
As shown in FIG. 8, the one-time password device of the present embodiment includes a key management unit 801 and a control unit 803 instead of the key management unit 102 and the control unit 106 in the first embodiment, respectively, As a new device portion from the one-time password device of the embodiment, a time-varying seed processing unit 802 is included.

鍵管理部801は、格納している鍵データは鍵管理部102と同様である。鍵管理部102と異なる点は、図9に模式的に示すように、鍵管理部801が格納しているOTPシードの一部を時刻情報と重ね合わせることに使用し、OTPシードのその他の部分を暗号化に使用することである。いずれのOTPシードの部分も時変シード処理部802で使用される。   The key management unit 801 stores the same key data as the key management unit 102. The difference from the key management unit 102 is that, as schematically shown in FIG. 9, a part of the OTP seed stored in the key management unit 801 is used to overlap the time information, and the other part of the OTP seed. Is used for encryption. Any OTP seed portion is used in the time-varying seed processing unit 802.

時変シード処理部802は、OTPシードを時刻情報により変動させる。時変シード処理部802は、例えば、時刻発生部101から時刻情報を取得して、OTPシードの後半部分と時刻情報とを取得し、これらの情報をある演算手法で演算し、演算した情報をOTPシードの前半部分で(例えば、AESによって)暗号化し、暗号化したデータをハッシュ関数(例えば、SHA−256)の入力としてハッシュ関数の出力を得る。この出力をOTP発生部103に入力するOTPシードとする。時刻情報として、年月のみを入力すれば、OTPシードを毎月変動させることができる。
演算手法は、xをOTPシードの後半部分、yを時刻情報、zを演算結果とした場合、f(x,y)=zで定義される演算においてxを固定した場合にyとzとが1対1に対応するような演算である。この条件を満たす演算としては、例えば、加算がある(x+y=z)。 The time-varying seed processing unit 802 changes the OTP seed according to time information. For example, the time-varying seed processing unit 802 acquires time information from the time generation unit 101, acquires the second half of the OTP seed and time information, calculates these information using a certain calculation method, and calculates the calculated information. The first half of the OTP seed is encrypted (eg, by AES), and the output of the hash function is obtained using the encrypted data as the input of the hash function (eg, SHA-256). This output is used as an OTP seed input to the OTP generation unit 103. If only the year and month are input as time information, the OTP seed can be changed every month.
In the calculation method, when x is the second half of the OTP seed, y is time information, and z is the calculation result, y and z are obtained when x is fixed in the calculation defined by f (x, y) = z. The calculation corresponds to one to one. An example of an operation that satisfies this condition is addition (x + y = z).

制御部803は、鍵管理部801から、ユーザが入力したプロバイダに対応するOTPシードに対応するCIDを取得し、OTP/CID表示部104に渡す。また、制御部803は、制御部106の制御処理に加え、時変シード処理部802の制御も行う。
第2の実施形態では、鍵管理部302は、時変シード処理部802が出力するOTPシードと同一のシードをユーザの情報に対応付けて格納している。 The control unit 803 acquires a CID corresponding to the OTP seed corresponding to the provider input by the user from the key management unit 801, and passes it to the OTP / CID display unit 104. The control unit 803 also controls the time-varying seed processing unit 802 in addition to the control processing of the control unit 106.
In the second embodiment, the key management unit 302 stores the same seed as the OTP seed output from the time-varying seed processing unit 802 in association with user information.

以上の第2の実施形態によれば、第1の実施形態での効果に加えて、所定の期間が経過するごとに、OTPシードを変動させることができ、ワンタイムパスワードを変動させることができる。したがって、より安全性の高いワンタイムパスワードを使用することができる。   According to the second embodiment described above, in addition to the effects of the first embodiment, the OTP seed can be changed and the one-time password can be changed every time a predetermined period elapses. . Therefore, a more secure one-time password can be used.

(第3の実施形態)
本実施形態のワンタイムパスワード装置について図10を参照して説明する。
本実施形態のワンタイムパスワード装置は、図10に示すように、第2の実施形態での鍵管理部102、制御部106の代わりにそれぞれ鍵管理部1001、制御部1003を含み、さらに第2の実施形態のワンタイムパスワード装置からの新たな装置部分として、圧縮シード処理部1002を含んでいる。 (Third embodiment)
The one-time password device of this embodiment will be described with reference to FIG.
As shown in FIG. 10, the one-time password device of the present embodiment includes a key management unit 1001 and a control unit 1003 instead of the key management unit 102 and the control unit 106 in the second embodiment, respectively. A compression seed processing unit 1002 is included as a new device portion from the one-time password device of the embodiment.

鍵管理部1001は、鍵データを格納している。この鍵データは、プロバイダのIDおよびこのプロバイダのCIDと、1つのOTPシードとを格納している。プロバイダごとのOTPシードを格納するのではなく、1つのOTPシードだけを格納している点が他の実施形態と異なる。
鍵管理部1001が格納しているプロバイダIDとCIDは、ユーザごとに定まっている。すなわち、一般的には、同一のプロバイダでも、ワンタイムパスワード装置によって、CIDは異なっている。 The key management unit 1001 stores key data. The key data stores the provider ID, the provider CID, and one OTP seed. It differs from the other embodiments in that only one OTP seed is stored instead of storing an OTP seed for each provider.
The provider ID and CID stored in the key management unit 1001 are determined for each user. That is, in general, even in the same provider, the CID differs depending on the one-time password device.

鍵管理部1001が格納する鍵データは、図11に示すように、提携プロバイダの数だけあるが、通常は100件程度である。プロバイダID、CIDは、例えば、それぞれ8桁で示され、OTPシードは、例えば、256ビットを有している。この場合、鍵管理部1001は、832バイト程度のデータを格納することになり、他の実施形態での格納量4000バイト程度よりも格段にデータ格納量が少なくなる。   As shown in FIG. 11, the key data stored in the key management unit 1001 is the same as the number of partner providers, but is usually about 100. The provider ID and CID are each indicated by, for example, 8 digits, and the OTP seed has 256 bits, for example. In this case, the key management unit 1001 stores data of about 832 bytes, and the data storage amount is significantly smaller than the storage amount of about 4000 bytes in other embodiments.

圧縮シード処理部1002は、プロバイダIDとCIDと単一のOTPシードから、このプロバイダに対応するOTPシードを発生させる。圧縮シード処理部1002は、例えば、プロバイダIDと、OTPシードの後半部分とを第2の実施形態で説明したように演算し、演算した情報を単一のOTPシードの前半部分で(例えば、AESによって)暗号化し、暗号化した情報をハッシュ関数(例えば、SHA−256)の入力としてハッシュ関数の出力を得る。この出力を時変シード処理部802に入力するOTPシードとする。
制御部1003は、鍵管理部1001から、ユーザが入力したプロバイダに対応するOTPシードに対応するCIDを取得し、OTP/CID表示部104に渡す。また、制御部1003は制御部803の制御処理に加え、圧縮シード処理部1002の制御も行う。 The compression seed processing unit 1002 generates an OTP seed corresponding to this provider from the provider ID, the CID, and a single OTP seed. For example, the compression seed processing unit 1002 calculates the provider ID and the second half of the OTP seed as described in the second embodiment, and calculates the calculated information in the first half of the single OTP seed (for example, AES And obtain the output of the hash function with the encrypted information as input of the hash function (eg, SHA-256). This output is an OTP seed that is input to the time-varying seed processing unit 802.
The control unit 1003 acquires the CID corresponding to the OTP seed corresponding to the provider input by the user from the key management unit 1001 and passes it to the OTP / CID display unit 104. The control unit 1003 also controls the compression seed processing unit 1002 in addition to the control processing of the control unit 803.

第3の実施形態では、鍵管理部302は、時変シード処理部802が出力するOTPシードと同一のシードをユーザの情報に対応付けて格納している。   In the third embodiment, the key management unit 302 stores the same seed as the OTP seed output from the time-varying seed processing unit 802 in association with user information.

(変形例)
第3の実施形態のワンタイムパスワード装置の変形例について図12を参照して説明する。
本変形例のワンタイムパスワード装置は、図12に示すように、第3の実施形態での圧縮シード処理部1002、制御部1003の代わりにそれぞれ圧縮シード処理部1201、制御部1202を含み、さらに、第3の実施形態での時変シード処理部802を除いたものである。制御部1202は、制御部106の制御処理に加え、圧縮シード処理部1201の制御も行う。 (Modification)
A modification of the one-time password device of the third embodiment will be described with reference to FIG.
As shown in FIG. 12, the one-time password device of this modification includes a compression seed processing unit 1201 and a control unit 1202, respectively, instead of the compression seed processing unit 1002 and the control unit 1003 in the third embodiment. The time-varying seed processing unit 802 in the third embodiment is excluded. The control unit 1202 also controls the compression seed processing unit 1201 in addition to the control processing of the control unit 106.

圧縮シード処理部1201は、圧縮シード処理部1002とは演算部分が異なるだけである。圧縮シード処理部1201では、圧縮シード処理部1002での場合のように、プロバイダIDと、OTPシードの後半部分とを演算し、さらに、この演算結果と時刻発生部101から取得した時刻情報とを演算する。そして、この最終的な演算結果を単一のOTPシードの前半部分で(例えば、AESによって)暗号化すること以降の圧縮シード処理部1201での動作は、上述した第3の実施形態と同様である。そして、圧縮シード処理部1201のハッシュ関数の出力をOTPシードとして、OTP発生部103に出力する。なお、演算手法は、他の実施形態と同様である。
この変形例によれば、時変シード処理部802を設置する必要がなくなる。 The compression seed processing unit 1201 is different from the compression seed processing unit 1002 only in the calculation part. The compression seed processing unit 1201 calculates the provider ID and the second half of the OTP seed as in the case of the compression seed processing unit 1002, and further calculates the calculation result and the time information acquired from the time generation unit 101. Calculate. The operation in the compression seed processing unit 1201 after encrypting the final calculation result in the first half of a single OTP seed (for example, by AES) is the same as that in the third embodiment described above. is there. The output of the hash function of the compression seed processing unit 1201 is output to the OTP generation unit 103 as an OTP seed. The calculation method is the same as in the other embodiments.
According to this modification, it is not necessary to install the time-varying seed processing unit 802.

以上の第3の実施形態によれば、第2の実施形態での効果に加えて、ワンタイムパスワード装置が格納しておくべき情報量が格段に減少し、メモリの空き容量が増加するので、他の用途にメモリを活用することができる。逆に言えば、ワンタイムパスワード装置は少ないメモリで適切なワンタイムパスワードを生成することができる。   According to the third embodiment described above, in addition to the effects of the second embodiment, the amount of information that the one-time password device should store is significantly reduced, and the free space of the memory is increased. Memory can be used for other purposes. Conversely, a one-time password device can generate an appropriate one-time password with a small amount of memory.

なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。   Note that the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. In addition, various inventions can be formed by appropriately combining a plurality of components disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, constituent elements over different embodiments may be appropriately combined.

第1の実施形態に係るワンタイムパスワード装置のブロック図。1 is a block diagram of a one-time password device according to a first embodiment. 図1の鍵管理部が格納している鍵データを示す図。The figure which shows the key data which the key management part of FIG. 1 has stored. 図1のワンタイムパスワード装置を利用してコンピュータとデータのやり取りを行うサーバ装置のブロック図。The block diagram of the server apparatus which exchanges data with a computer using the one-time password apparatus of FIG. 図3の鍵管理部が格納している鍵データを示す図。The figure which shows the key data which the key management part of FIG. 3 has stored. 図1のワンタイムパスワード装置を利用して、と図3のサーバ装置に利用登録するための動作の一例を示すフローチャート。FIG. 4 is a flowchart illustrating an example of an operation for registering use in the server apparatus of FIG. 3 using the one-time password apparatus of FIG. 1. 図1のワンタイムパスワード装置と、図3のサーバ装置と、このサーバ装置に接続するコンピュータとを含むワンタイムパスワードシステムの動作の一例を示すフローチャート。The flowchart which shows an example of operation | movement of the one-time password system containing the one-time password apparatus of FIG. 1, the server apparatus of FIG. 3, and the computer connected to this server apparatus. 図6のあるステップでの図1のワンタイムパスワード装置の表示画面を示す図。The figure which shows the display screen of the one-time password apparatus of FIG. 1 in a certain step of FIG. 第2の実施形態に係るワンタイムパスワード装置のブロック図。The block diagram of the one-time password apparatus which concerns on 2nd Embodiment. 図8の鍵管理部が格納している鍵データを示す図。The figure which shows the key data which the key management part of FIG. 8 has stored. 第3の実施形態に係るワンタイムパスワード装置のブロック図。The block diagram of the one-time password apparatus which concerns on 3rd Embodiment. 図10の鍵管理部が格納している鍵データを示す図。The figure which shows the key data which the key management part of FIG. 10 has stored. 第3の実施形態の変形例に係るワンタイムパスワード装置のブロック図。The block diagram of the one-time password apparatus which concerns on the modification of 3rd Embodiment.

符号の説明Explanation of symbols

101、301・・・時刻発生部、102、302、801、1001・・・鍵管理部、103、304・・・OTP発生部、104・・・OTP/CID表示部、105・・・入力部、106、306、803、1003、1202・・・制御部、303・・・シード処理部、305・・・ネットワークI/F部、802・・・時変シード処理部、1002、1201・・・圧縮シード処理部。 101, 301: Time generating unit, 102, 302, 801, 1001 ... Key management unit, 103, 304 ... OTP generating unit, 104 ... OTP / CID display unit, 105 ... Input unit 106, 306, 803, 1003, 1202 ... control unit, 303 ... seed processing unit, 305 ... network I / F unit, 802 ... time-varying seed processing unit, 1002, 1201 ... Compression seed processing unit.

Claims (16)

サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置であって、
サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる格納手段と、
時刻情報を発生する時刻発生手段と、
プロバイダの第1プロバイダ識別情報を取得する第1取得手段と、
前記第1プロバイダ識別情報に対応する第1対応シードを前記格納手段から取得する第2取得手段と、
前記時刻情報を取得する第3取得手段と、
前記取得された時刻情報と、前記第1対応シードとに対応する数値である第1ワンタイムパスワードを発生するOTP発生手段と、
前記第1ワンタイムパスワードを表示する表示手段と、
前記第1対応シードの第1部分と前記時刻情報の第部分とを演算した演算情報を生成する第1生成手段と、
前記演算情報を、前記第1対応シードの第部分で暗号化した第1暗号情報を生成する第2生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、を具備し、
前記サーバ装置は、ユーザ識別情報と、該ユーザ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納し、前記時刻情報と、前記ワンタイムパスワード装置のユーザ識別情報に対応する第2対応シードと、に対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可し、
前記OTP発生手段は、前記第1対応シードの代わりの前記第1暗号シードと、前記時刻情報とに対応する第1ワンタイムパスワードを発生し、
前記サーバ装置は、前記シードの代わりの前記第1暗号シードに対応する第2暗号シードを複数格納し、前記第2対応シードの代わりの前記第2暗号シードと前記時刻情報とに対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とするワンタイムパスワード装置。 A one-time password device that generates a one-time password to be used when communicating with a server device,
The provider identification information of the provider that provides the service and the seed that is a sequence for generating a one-time password corresponding to the provider identification information are associated with one set, and this set is for a plurality of providers. Storing, the provider identification information and the seed are all different storage means for each set;
Time generating means for generating time information;
First acquisition means for acquiring first provider identification information of the provider;
Second acquisition means for acquiring a first corresponding seed corresponding to the first provider identification information from the storage means;
Third acquisition means for acquiring the time information;
OTP generating means for generating a first one-time password that is a numerical value corresponding to the acquired time information and the first corresponding seed;
Display means for displaying the first one-time password;
First generation means for generating calculation information obtained by calculating the first portion of the first corresponding seed and the first portion of the time information;
Second generation means for generating first cryptographic information obtained by encrypting the calculation information with the second part of the first corresponding seed;
A first encryption seed generator means for generating a first encryption seed is a value corresponding to the first encryption information, to immediately Bei and
The server device associates user identification information with a seed, which is a sequence for generating a one-time password corresponding to the user identification information, as one set, stores a plurality of sets, and sets the time information If the second one-time password corresponding to the second corresponding seed corresponding to the user identification information of the one-time password device matches the first one-time password, the server device To provide the service of the provider having the first provider identification information,
The OTP generation means generates a first one-time password corresponding to the first encryption seed instead of the first corresponding seed and the time information,
The server device stores a plurality of second encryption seeds corresponding to the first encryption seed instead of the seed, and corresponds to the second encryption seed instead of the second correspondence seed and the time information. one-time password, the when they coincide with the first one-time password the server apparatus, wherein the to Ruwa to permit provision of service providers having the first provider identification information to the user One-time password device. 前記第1生成手段は、2つの入力値のうちの1つを固定した場合に、もう1つの入力値と該第1生成手段の出力値とが1対1に対応する演算を行うことを特徴とする請求項1に記載のワンタイムパスワード装置。   The first generation unit performs a one-to-one operation between another input value and the output value of the first generation unit when one of two input values is fixed. The one-time password device according to claim 1. サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置であって、
サービスを提供しているプロバイダの複数のプロバイダ識別情報と、ワンタイムパスワードを生成するための数列である1つの単一シードとを格納している格納手段と、
時刻情報を発生する時刻発生手段と、
プロバイダの第1プロバイダ識別情報を取得する第1取得手段と、
前記単一シードの第1部分と前記第1プロバイダ識別情報とを演算した第1演算情報を生成する第1生成手段と、
前記第1演算情報を、前記単一シードの第2部分で暗号化した第1暗号情報を生成する第2生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、
前記第1暗号シードの第部分と前記時刻情報の第部分とを演算した第2演算情報を生成する第3生成手段と、
前記第2演算情報を、前記第1暗号シードの第部分で暗号化した第2暗号情報を生成する第4生成手段と、
前記第2暗号情報に対応する数値である第2暗号シードを発生する第2暗号シード発生手段と、
前記時刻情報を取得する第2取得手段と、
前記第2暗号シードと、前記取得された時刻情報とに対応する第1ワンタイムパスワードを発生するOTP発生手段と、
前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、前記第2暗号シードに対応する第3暗号シードを複数格納し、前記第3暗号シードと前記時刻情報とに対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とするワンタイムパスワード装置。 A one-time password device that generates a one-time password to be used when communicating with a server device,
Storage means for storing a plurality of provider identification information of providers providing a service and one single seed that is a sequence for generating a one-time password;
Time generating means for generating time information;
First acquisition means for acquiring first provider identification information of the provider;
First generation means for generating first calculation information obtained by calculating the first portion of the single seed and the first provider identification information;
Second generation means for generating first encryption information obtained by encrypting the first calculation information with the second part of the single seed;
First encryption seed generating means for generating a first encryption seed that is a numerical value corresponding to the first encryption information;
Third generation means for generating second calculation information obtained by calculating the first part of the first cryptographic seed and the first part of the time information;
Fourth generation means for generating second cryptographic information obtained by encrypting the second calculation information with the second part of the first cryptographic seed;
Second encryption seed generating means for generating a second encryption seed that is a numerical value corresponding to the second encryption information;
Second acquisition means for acquiring the time information;
OTP generating means for generating a first one-time password corresponding to the second encryption seed and the acquired time information;
Display means for displaying the first one-time password,
The server device stores a plurality of third cryptographic seeds corresponding to the second cryptographic seed, and a second one-time password corresponding to the third cryptographic seed and the time information is identical to the first one-time password. If it does, the server device permits the user to provide the service of the provider having the first provider identification information. 前記第1生成手段および前記第3生成手段の少なくともいずれか1つは、2つの入力値のうちの1つを固定した場合に、もう1つの入力値と該生成手段の出力値とが1対1に対応する演算を行うことを特徴とする請求項3に記載のワンタイムパスワード装置。   At least one of the first generation unit and the third generation unit has a pair of another input value and an output value of the generation unit when one of the two input values is fixed. The one-time password device according to claim 3, wherein an operation corresponding to 1 is performed. サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置であって、
サービスを提供しているプロバイダの複数のプロバイダ識別情報と、ワンタイムパスワードを生成するための数列である1つの単一シードとを格納している格納手段と、
時刻情報を発生する時刻発生手段と、
プロバイダの第1プロバイダ識別情報を取得する第1取得手段と、
前記単一シードの第1部分と前記第1プロバイダ識別情報とを演算した第1演算情報を生成する第1生成手段と、
前記第1演算情報と前記時刻情報の第部分とを演算した第2演算情報を生成する第2生成手段と、
前記第2演算情報を、前記単一シードの第部分で暗号化した第1暗号情報を生成する第3生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、
前記時刻情報を取得する第2取得手段と、
前記第1暗号シードと、前記取得された時刻情報とに対応する第1ワンタイムパスワードを発生するOTP発生手段と、
前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、前記第1暗号シードに対応する第2暗号シードを複数格納し、前記第2暗号シードと前記時刻情報とに対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とするワンタイムパスワード装置。 A one-time password device that generates a one-time password to be used when communicating with a server device,
Storage means for storing a plurality of provider identification information of providers providing a service and one single seed that is a sequence for generating a one-time password;
Time generating means for generating time information;
First acquisition means for acquiring first provider identification information of the provider;
First generation means for generating first calculation information obtained by calculating the first portion of the single seed and the first provider identification information;
Second generation means for generating second calculation information obtained by calculating the first calculation information and the first portion of the time information;
Third generation means for generating first encryption information obtained by encrypting the second calculation information with the second part of the single seed;
First encryption seed generating means for generating a first encryption seed that is a numerical value corresponding to the first encryption information;
Second acquisition means for acquiring the time information;
OTP generating means for generating a first one-time password corresponding to the first cryptographic seed and the acquired time information;
Display means for displaying the first one-time password,
The server device stores a plurality of second encryption seeds corresponding to the first encryption seed, and a second one-time password corresponding to the second encryption seed and the time information is identical to the first one-time password. If it does, the server device permits the user to provide the service of the provider having the first provider identification information. 前記プロバイダ識別情報は、プロバイダID(identifier)と、プロバイダとユーザとの組ごとに割り当てられるCID(communication identifier)とを含み、前記ユーザ識別情報はCIDを含み、前記格納手段と前記サーバ装置は、前記第1プロバイダ識別情報を有するプロバイダと前記ユーザとに割り当てられる、同一のCIDを格納することを特徴とする請求項から請求項のいずれか1項に記載のワンタイムパスワード装置。 The provider identification information includes a provider ID (identifier) and a CID (communication identifier) assigned to each set of provider and user, the user identification information includes a CID, and the storage means and the server device are: the first assigned to the provider and the user with the provider identification information, one-time password device according to any one of claims 1 to 5, characterized in that storing the same CID. 前記表示手段は、前記第1ワンタイムパスワードと、該第1ワンタイムパスワードに対応するCIDとを表示することを特徴とする請求項に記載のワンタイムパスワード装置。 The one-time password device according to claim 6 , wherein the display unit displays the first one-time password and a CID corresponding to the first one-time password. 前記第1生成手段は、2つの入力値のうちの1つを固定した場合に、もう1つの入力値と該第1生成手段の出力値とが1対1に対応する演算を行うことを特徴とする請求項5から請求項のいずれか1項に記載のワンタイムパスワード装置。 It said first generating means, characterized in that when fixing the one of two input values, the calculation of the output value of another input value and said first generating means is a one-to-one correspondence The one-time password device according to any one of claims 5 to 7 . サーバ装置と、該サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置とを具備するワンタイムパスワードシステムであって、
前記ワンタイムパスワード装置は、
サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる第1格納手段と、
ユーザが接続を望むプロバイダの第1プロバイダ識別情報を取得する第1取得手段と、
前記第1プロバイダ識別情報に対応する第1対応シードを前記第1格納手段から取得する第2取得手段と、
第1時刻情報を発生する第1時刻発生手段と、
前記第1時刻情報と、前記第1対応シードとに対応する数値である第1ワンタイムパスワードを発生する第1OTP発生手段と、
前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、
ユーザ識別情報と、該ユーザ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納して、ユーザ識別情報とシードは組ごとに全て異なる第2格納手段と、
前記第1時刻情報と同期した第2時刻情報を発生する第2時刻発生手段と、
前記ユーザ識別情報と、該ユーザ識別情報に対応する第2対応シードとを前記第2格納手段から取得する第3取得手段と、
前記第2時刻情報と、前記第2対応シードとに対応する第2ワンタイムパスワードを発生する第2OTP発生手段と、
前記第1ワンタイムパスワードを取得する第4取得手段と、
前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致しているかどうかを判定する判定手段と、
前記判定手段が一致していると判定した場合には、前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可する許可手段と、を具備し、
前記ワンタイムパスワード装置は、
前記第1対応シードの第1部分と前記第1時刻情報の第部分とを演算した演算情報を生成する第1生成手段と、
前記演算情報を、前記第1対応シードの第部分で暗号化した第1暗号情報を生成する第2生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、をさらに具備し、
前記第1OTP発生手段は、前記第1対応シードの代わりの前記第1暗号シードと、前記第1時刻情報とに対応する第1ワンタイムパスワードを発生し、
前記第2格納手段は、前記シードの代わりに、前記第1暗号シードに対応する第2暗号化シードを格納し、
前記第2OTP発生手段は、前記第2対応シードの代わりの前記第2暗号シードと、前記第2時刻情報とに対応する第2ワンタイムパスワードを発生することを特徴とするワンタイムパスワードシステム。 A one-time password system comprising a server device and a one-time password device that generates a one-time password used when communicating with the server device,
The one-time password device is
The provider identification information of the provider that provides the service and the seed that is a sequence for generating a one-time password corresponding to the provider identification information are associated with one set, and this set is for a plurality of providers. Storing the first storage means in which the provider identification information and the seed are all different for each set;
First acquisition means for acquiring first provider identification information of a provider that the user desires to connect;
Second acquisition means for acquiring a first corresponding seed corresponding to the first provider identification information from the first storage means;
First time generating means for generating first time information;
First OTP generating means for generating a first one-time password that is a numerical value corresponding to the first time information and the first corresponding seed;
Display means for displaying the first one-time password,
The server device
User identification information and a seed that is a sequence for generating a one-time password corresponding to the user identification information are associated with each other, and a plurality of sets are stored. Different second storage means,
Second time generating means for generating second time information synchronized with the first time information;
Third acquisition means for acquiring the user identification information and a second corresponding seed corresponding to the user identification information from the second storage means;
Second OTP generating means for generating a second one-time password corresponding to the second time information and the second corresponding seed;
Fourth acquisition means for acquiring the first one-time password;
Determination means for determining whether or not the first one-time password and the second one-time password match;
If it is determined that the determination means match, the permission means for permitting the provision of the service of the provider having the first provider identification information,
The one-time password device is
First generation means for generating calculation information obtained by calculating the first portion of the first corresponding seed and the first portion of the first time information;
Second generation means for generating first cryptographic information obtained by encrypting the calculation information with the second part of the first corresponding seed;
First encryption seed generating means for generating a first encryption seed that is a numerical value corresponding to the first encryption information,
The first OTP generation means generates a first one-time password corresponding to the first encryption seed instead of the first corresponding seed and the first time information;
The second storage means stores a second encryption seed corresponding to the first encryption seed instead of the seed;
Wherein said 2OTP generating means, the second and the second encryption seed instead of the corresponding seed, the characteristics and to Ruwa-Time Password System to generate a second one-time password corresponding to the second time information . 前記第1生成手段は、2つの入力値のうちの1つを固定した場合に、もう1つの入力値と該第1生成手段の出力値とが1対1に対応する演算を行うことを特徴とする請求項9に記載のワンタイムパスワードシステム。   The first generation unit performs a one-to-one operation between another input value and the output value of the first generation unit when one of two input values is fixed. The one-time password system according to claim 9. サーバ装置と、該サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置とを具備するワンタイムパスワードシステムであって、
前記ワンタイムパスワード装置は、
サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる第1格納手段と、
ユーザが接続を望むプロバイダの第1プロバイダ識別情報を取得する第1取得手段と、
前記第1プロバイダ識別情報に対応する第1対応シードを前記第1格納手段から取得する第2取得手段と、
第1時刻情報を発生する第1時刻発生手段と、
前記第1時刻情報と、前記第1対応シードとに対応する数値である第1ワンタイムパスワードを発生する第1OTP発生手段と、
前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、
ユーザ識別情報と、該ユーザ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納して、ユーザ識別情報とシードは組ごとに全て異なる第2格納手段と、
前記第1時刻情報と同期した第2時刻情報を発生する第2時刻発生手段と、
前記ユーザ識別情報と、該ユーザ識別情報に対応する第2対応シードとを前記第2格納手段から取得する第3取得手段と、
前記第2時刻情報と、前記第2対応シードとに対応する第2ワンタイムパスワードを発生する第2OTP発生手段と、
前記第1ワンタイムパスワードを取得する第4取得手段と、
前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致しているかどうかを判定する判定手段と、
前記判定手段が一致していると判定した場合には、前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可する許可手段と、を具備し、
前記ワンタイムパスワード装置は、
前記第1格納手段の代わりに、サービスを提供しているプロバイダの複数のプロバイダ識別情報と、ワンタイムパスワードを生成するための数列である1つの単一シードとを格納している第3格納手段を具備し、
前記ワンタイムパスワード装置は、
前記単一シードの第1部分と前記第1プロバイダ識別情報とを演算した第1演算情報を生成する第1生成手段と、
前記第1演算情報を、前記単一シードの第2部分で暗号化した第1暗号情報を生成する第2生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、
前記第1暗号シードの第部分と前記第1時刻情報の第部分とを演算した第2演算情報を生成する第3生成手段と、
前記第2演算情報を、前記第1暗号シードの第部分で暗号化した第2暗号情報を生成する第4生成手段と、
前記第2暗号情報に対応する数値である第2暗号シードを発生する第2暗号シード発生手段と、をさらに具備し、
前記第1OTP発生手段は、前記第1対応シードの代わりの前記第2暗号シードと、前記第1時刻情報とに対応する第1ワンタイムパスワードを発生し、
前記第2格納手段は、前記シードの代わりに、前記第2暗号シードに対応する第3暗号化シードを格納し、
前記第2OTP発生手段は、前記第2対応シードの代わりの前記第3暗号シードと、前記第2時刻情報とに対応する第2ワンタイムパスワードを発生することを特徴とするワンタイムパスワードシステム。 A one-time password system comprising a server device and a one-time password device that generates a one-time password used when communicating with the server device,
The one-time password device is
The provider identification information of the provider that provides the service and the seed that is a sequence for generating a one-time password corresponding to the provider identification information are associated with one set, and this set is for a plurality of providers. Storing the first storage means in which the provider identification information and the seed are all different for each set;
First acquisition means for acquiring first provider identification information of a provider that the user desires to connect;
Second acquisition means for acquiring a first corresponding seed corresponding to the first provider identification information from the first storage means;
First time generating means for generating first time information;
First OTP generating means for generating a first one-time password that is a numerical value corresponding to the first time information and the first corresponding seed;
Display means for displaying the first one-time password,
The server device
User identification information and a seed that is a sequence for generating a one-time password corresponding to the user identification information are associated with each other, and a plurality of sets are stored. Different second storage means,
Second time generating means for generating second time information synchronized with the first time information;
Third acquisition means for acquiring the user identification information and a second corresponding seed corresponding to the user identification information from the second storage means;
Second OTP generating means for generating a second one-time password corresponding to the second time information and the second corresponding seed;
Fourth acquisition means for acquiring the first one-time password;
Determination means for determining whether or not the first one-time password and the second one-time password match;
If it is determined that the determination means match, the permission means for permitting the provision of the service of the provider having the first provider identification information,
The one-time password device is
In place of the first storage means, a third storage means for storing a plurality of provider identification information of providers providing services and one single seed that is a sequence for generating a one-time password Comprising
The one-time password device is
First generation means for generating first calculation information obtained by calculating the first portion of the single seed and the first provider identification information;
Second generation means for generating first encryption information obtained by encrypting the first calculation information with the second part of the single seed;
First encryption seed generating means for generating a first encryption seed that is a numerical value corresponding to the first encryption information;
Third generation means for generating second calculation information obtained by calculating the first part of the first cryptographic seed and the first part of the first time information;
Fourth generation means for generating second cryptographic information obtained by encrypting the second calculation information with the second part of the first cryptographic seed;
Second encryption seed generating means for generating a second encryption seed that is a numerical value corresponding to the second encryption information,
The first OTP generating means generates a first one-time password corresponding to the second encryption seed instead of the first corresponding seed and the first time information;
The second storage means stores a third encryption seed corresponding to the second encryption seed instead of the seed,
Wherein said 2OTP generating means, said second and said third encryption seed instead of the corresponding seed, the characteristics and to Ruwa-Time Password System to generate a second one-time password corresponding to the second time information . 前記第1生成手段および前記第3生成手段の少なくともいずれか1つは、2つの入力値のうちの1つを固定した場合に、もう1つの入力値と該生成手段の出力値とが1対1に対応する演算を行うことを特徴とする請求項11に記載のワンタイムパスワードシステム。   At least one of the first generation unit and the third generation unit has a pair of another input value and an output value of the generation unit when one of the two input values is fixed. The one-time password system according to claim 11, wherein an operation corresponding to 1 is performed. サーバ装置と、該サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置とを具備するワンタイムパスワードシステムであって、
前記ワンタイムパスワード装置は、
サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる第1格納手段と、
ユーザが接続を望むプロバイダの第1プロバイダ識別情報を取得する第1取得手段と、
前記第1プロバイダ識別情報に対応する第1対応シードを前記第1格納手段から取得する第2取得手段と、
第1時刻情報を発生する第1時刻発生手段と、
前記第1時刻情報と、前記第1対応シードとに対応する数値である第1ワンタイムパスワードを発生する第1OTP発生手段と、
前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、
ユーザ識別情報と、該ユーザ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納して、ユーザ識別情報とシードは組ごとに全て異なる第2格納手段と、
前記第1時刻情報と同期した第2時刻情報を発生する第2時刻発生手段と、
前記ユーザ識別情報と、該ユーザ識別情報に対応する第2対応シードとを前記第2格納手段から取得する第3取得手段と、
前記第2時刻情報と、前記第2対応シードとに対応する第2ワンタイムパスワードを発生する第2OTP発生手段と、
前記第1ワンタイムパスワードを取得する第4取得手段と、
前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致しているかどうかを判定する判定手段と、
前記判定手段が一致していると判定した場合には、前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可する許可手段と、を具備し、
前記ワンタイムパスワード装置は、
前記第1格納手段の代わりに、サービスを提供しているプロバイダの複数のプロバイダ識別情報と、ワンタイムパスワードを生成するための数列である1つの単一シードとを格納している第3格納手段と、
前記単一シードの第1部分と前記第1プロバイダ識別情報とを演算した第1演算情報を生成する第1生成手段と、
前記第1演算情報と前記第1時刻情報の第部分とを演算した第2演算情報を生成する第2生成手段と、
前記第2演算情報を、前記単一シードの第部分で暗号化した第1暗号情報を生成する第生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、をさらに具備し、
前記第1OTP発生手段は、前記第1対応シードの代わりの前記第1暗号シードと、前記第1時刻情報とに対応する第1ワンタイムパスワードを発生し、
前記第2格納手段は、前記シードの代わりに、前記第1暗号シードに対応する第2暗号化シードを格納し、
前記第2OTP発生手段は、前記第2対応シードの代わりの前記第2暗号シードと、前記第2時刻情報とに対応する第2ワンタイムパスワードを発生することを特徴とするワンタイムパスワードシステム。 A one-time password system comprising a server device and a one-time password device that generates a one-time password used when communicating with the server device,
The one-time password device is
The provider identification information of the provider that provides the service and the seed that is a sequence for generating a one-time password corresponding to the provider identification information are associated with one set, and this set is for a plurality of providers. Storing the first storage means in which the provider identification information and the seed are all different for each set;
First acquisition means for acquiring first provider identification information of a provider that the user desires to connect;
Second acquisition means for acquiring a first corresponding seed corresponding to the first provider identification information from the first storage means;
First time generating means for generating first time information;
First OTP generating means for generating a first one-time password that is a numerical value corresponding to the first time information and the first corresponding seed;
Display means for displaying the first one-time password,
The server device
User identification information and a seed that is a sequence for generating a one-time password corresponding to the user identification information are associated with each other, and a plurality of sets are stored. Different second storage means,
Second time generating means for generating second time information synchronized with the first time information;
Third acquisition means for acquiring the user identification information and a second corresponding seed corresponding to the user identification information from the second storage means;
Second OTP generating means for generating a second one-time password corresponding to the second time information and the second corresponding seed;
Fourth acquisition means for acquiring the first one-time password;
Determination means for determining whether or not the first one-time password and the second one-time password match;
If it is determined that the determination means match, the permission means for permitting the provision of the service of the provider having the first provider identification information,
The one-time password device is
In place of the first storage means, a third storage means for storing a plurality of provider identification information of providers providing services and one single seed that is a sequence for generating a one-time password When,
First generation means for generating first calculation information obtained by calculating the first portion of the single seed and the first provider identification information;
Second generation means for generating second calculation information obtained by calculating the first calculation information and the first portion of the first time information;
Third generation means for generating first encryption information obtained by encrypting the second calculation information with the second part of the single seed;
First encryption seed generating means for generating a first encryption seed that is a numerical value corresponding to the first encryption information,
The first OTP generation means generates a first one-time password corresponding to the first encryption seed instead of the first corresponding seed and the first time information;
The second storage means stores a second encryption seed corresponding to the first encryption seed instead of the seed;
Wherein said 2OTP generating means, the second and the second encryption seed instead of the corresponding seed, the characteristics and to Ruwa-Time Password System to generate a second one-time password corresponding to the second time information . 前記プロバイダ識別情報は、プロバイダID(identifier)と、プロバイダとユーザとの組ごとに割り当てられるCID(communication identifier)を含み、前記ユーザ識別情報はCIDを含み、前記ワンタイムパスワード装置と前記サーバ装置は、前記第1プロバイダ識別情報を有するプロバイダと前記ユーザとに割り当てられる、同一のCIDを格納することを特徴とする請求項から請求項13のいずれか1項に記載のワンタイムパスワードシステム。 The provider identification information includes a provider ID (identifier) and a CID (communication identifier) assigned to each set of provider and user, the user identification information includes a CID, and the one-time password device and the server device are The one-time password system according to any one of claims 9 to 13 , wherein the same CID assigned to the provider having the first provider identification information and the user is stored. 前記表示手段は、前記第1ワンタイムパスワードと、該第1ワンタイムパスワードに対応するCIDとを表示することを特徴とする請求項から請求項14のいずれか1項に記載のワンタイムパスワードシステム。 The one-time password according to any one of claims 9 to 14 , wherein the display means displays the first one-time password and a CID corresponding to the first one-time password. system. 前記第1生成手段は、2つの入力値のうちの1つを固定した場合に、もう1つの入力値と該第1生成手段の出力値とが1対1に対応する演算を行うことを特徴とする請求項から請求項15のいずれか1項に記載のワンタイムパスワードシステム。 It said first generating means, characterized in that when fixing the one of two input values, the calculation of the output value of another input value and said first generating means is a one-to-one correspondence The one-time password system according to any one of claims 9 to 15 .
JP2007112166A 2007-04-20 2007-04-20 One-time password device and system Expired - Fee Related JP4663676B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007112166A JP4663676B2 (en) 2007-04-20 2007-04-20 One-time password device and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007112166A JP4663676B2 (en) 2007-04-20 2007-04-20 One-time password device and system

Publications (2)

Publication Number Publication Date
JP2008269342A JP2008269342A (en) 2008-11-06
JP4663676B2 true JP4663676B2 (en) 2011-04-06

Family

ID=40048746

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007112166A Expired - Fee Related JP4663676B2 (en) 2007-04-20 2007-04-20 One-time password device and system

Country Status (1)

Country Link
JP (1) JP4663676B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2016035769A1 (en) * 2014-09-01 2017-04-27 パスロジ株式会社 User authentication method and system for realizing the same

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011097192A (en) * 2009-10-27 2011-05-12 Hanamaru Kk Encrypted message transmission device, program, encrypted message transmission method, and authentication system
JP2012027530A (en) * 2010-07-20 2012-02-09 Dainippon Printing Co Ltd One-time password generator, server apparatus, authentication system, method, program, and recording medium
JP5021093B1 (en) * 2011-10-07 2012-09-05 さくら情報システム株式会社 Portable device, information server device, and information management system
JP5216932B1 (en) * 2012-10-01 2013-06-19 さくら情報システム株式会社 One-time password device, system and program
JP5555799B1 (en) * 2013-10-01 2014-07-23 さくら情報システム株式会社 One-time password device, method and program
JP6207797B1 (en) 2015-12-28 2017-10-04 パスロジ株式会社 User authentication method and system for realizing the method
JP6661583B2 (en) * 2017-09-08 2020-03-11 株式会社ドワンゴ Ticket display device, key data server and ticket data server
KR102005549B1 (en) 2018-08-09 2019-07-30 주식회사 센스톤 System, method and program for providing financial transaction by virtual code, vritual code generator and vritual code verification device

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6985583B1 (en) * 1999-05-04 2006-01-10 Rsa Security Inc. System and method for authentication seed distribution
JP2004295271A (en) * 2003-03-26 2004-10-21 Renesas Technology Corp Card and pass code generator
KR101281217B1 (en) * 2005-05-06 2013-07-02 베리사인 인코포레이티드 Token sharing system and methodd
JP4857857B2 (en) * 2006-03-29 2012-01-18 カシオ計算機株式会社 Seed information management server and authentication system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2016035769A1 (en) * 2014-09-01 2017-04-27 パスロジ株式会社 User authentication method and system for realizing the same
JP2017188132A (en) * 2014-09-01 2017-10-12 パスロジ株式会社 User authentication method and system for achieving the same
US10574647B2 (en) 2014-09-01 2020-02-25 Passlogy Co., Ltd. User authentication method and system for implementing same

Also Published As

Publication number Publication date
JP2008269342A (en) 2008-11-06

Similar Documents

Publication Publication Date Title
JP4663676B2 (en) One-time password device and system
JP4866863B2 (en) Security code generation method and user device
KR102177848B1 (en) Method and system for verifying an access request
JP5216932B1 (en) One-time password device, system and program
JP6399382B2 (en) Authentication system
KR101982237B1 (en) Method and system for data sharing using attribute-based encryption in cloud computing
US20060256961A1 (en) System and method for authentication seed distribution
KR102169695B1 (en) A self-verifiable blockchain electronic voting management method
JP5380583B1 (en) Device authentication method and system
US10666432B2 (en) System and method of securing devices using encryption keys
JP2009100462A (en) Encryption management device, decryption management device, and program
JP6378424B1 (en) User authentication method with enhanced integrity and security
CN108199847A (en) Security processing method, computer equipment and storage medium
WO2019163040A1 (en) Access management system and program thereof
CN111586023A (en) Authentication method, authentication equipment and storage medium
KR100737173B1 (en) Authentication device using one-time password generator and one-time password generator
JP5405057B2 (en) Information communication apparatus and public key authentication method
JP2007143066A (en) Imaging apparatus and key management method
CN116155483A (en) Blockchain signature machine security design method and signature machine
KR20230080676A (en) Method and system for managing DID using a high speed block-chain network
KR101443309B1 (en) Apparatus and method for protecting access certification data
EP3553997B1 (en) Communication system, server device, user device, method, and computer program
KR101725939B1 (en) User authentication method and system performing the same
US20250286733A1 (en) Method for attesting authenticity of computing device
JP2020010144A (en) Smart speaker, secure element, program, information processing method, and distribution method

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100810

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101008

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101207

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110105

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4663676

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140114

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees
点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载