[发明专利]认证系统以及认证方法

说明书

技术领域

本发明涉及认证系统以及认证方法，特别涉及在客户机服务器系统中的客户机的认证以及邮件的认证中使用的合适的认证系统以及认证方法。

背景技术

作为进行客户机服务器系统中的客户机的认证的技术，公知使用固定口令的认证系统。

图1是表示基于利用固定口令的现有技术的认证系统的构成例的框图。在图1中，1是在线服务服务器，3是信息终端装置，5是网络，6是数据库，7是在线服务客户机。

通基于利用固定口令的现有技术的认证系统，通过网络5连接在线服务服务器1和信息终端装置3构成。在线服务服务器1连接数据库6，信息终端装置3具有在线服务客户机7。在上述中，在线服务服务器1和数据库6，为在线服务提供者所有。另外，信息终端装置3，由在线服务利用者所有。例如，在线服务服务器1是WWW服务器，信息终端装置3是个人计算机，在线服务客户机7是WWW浏览器。

下面说明如上述构成的利用固定口令的认证系统的初始状态。

数据库6，对于每一个在线服务利用者存储在线服务利用者ID、以及在线服务认证用口令的各数据。另外，在线服务利用者，自身存储在线服务利用者ID、以及在线服务认证用固定口令的各数据。但是，作为在线服务认证用口令，设定为在线服务认证用固定口令。

图2是说明利用固定口令的认证系统的在线服务认证处理的处理动作的流程图，下面说明该流程图。

(1)在线服务利用者，向信息终端装置3的在线服务客户机7，把在线服务认证用固定口令作为在线服务认证用口令，输入在线服务利用者ID和在线服务认证用口令和服务利用内容。这里，所谓服务利用内容，例如是在线服务登录等的操作内容、或者商品买卖或者银行存入等交易内容(步骤101)。

(2)信息终端装置3的在线服务客户机7，把包含输入的在线服务利用者ID和在线服务认证用口令和服务利用内容的在线服务认证请求，向在线服务服务器1发送(步骤102)。

(3)在线服务服务器1，通过在在线服务认证请求中包含的在线服务利用者ID和在线服务认证用口令的组检索数据库6，在有与在数据库中存储的在线服务利用者ID和在线服务认证用口令的组一致的、而且在包含在接收到的在线服务认证请求中包含的在线服务利用者ID的在线服务认证请求在一定时间以内仅在一定次数以下认证失败(账户未被锁定)，亦即认证成功的场合，遵照接收到的服务利用内容提供在线服务(步骤103)。

利用固定口令的认证系统，因为不能频繁变更在线服务认证用固定口令，所以当在利用者使用的信息终端装置内设置键记录器(key logger)泄漏在线服务利用者ID和在线服务认证用固定口令时，不正当再利用这些口令的危险性高。

作为对于上述的利用固定口令的认证系统的危险性施行对策的客户机服务器系统中的客户机的认证技术，公知利用一次性口令的认证系统。利用一次性口令的认证系统，一次性口令服务器和一次性口令客户机共有在线服务认证用一次性口令，一次性口令客户机显示在线服务认证用一次性口令，把在线服务认证用一次性口令作为在线服务认证用口令，执行在线服务认证处理。

在利用一次性口令的认证系统中，从一次性口令服务器下载一次性口令的认证系统，在线服务利用者向一次性口令客户机输入在线服务利用者ID和一次性口令下载用固定口令，一次性口令客户机向一次性口令服务器发送包含在线服务利用者ID和一次性口令下载用固定口令的组的在线服务认证用一次性口令下载请求，在认证在一次性口令服务器接收的在线服务认证用一次性口令下载请求中包含的在线服务利用者ID和一次性口令下载用固定口令的组后向一次性口令客户机发送在线服务认证用一次性口令并共有。

另外，在利用一次性口令的认证系统中，专利文献1记载的一次性口令与时间同步的认证系统，在线服务服务器和一次性口令客户机独立地、把在线服务利用者ID和固定口令和现在的时刻信息作为安全散列函数的参数计算在线服务认证用一次性口令并共有。

再有，在利用一次性口令的认证系统中，一次性口令与在线服务认证请求的次数同步的认证系统，在线服务服务器和一次性口令客户机独立地、把在线服务利用者ID和固定口令和在线服务认证请求次数的现在值作为安全散列函数的参数计算在线服务认证用一次性口令并共有。

上述中说明的利用一次性口令的认证系统，因为在线服务认证用一次性口令，对于每一现在的时刻信息或者每一在线服务认证请求次数而不同，所以具有即使在通过键记录器等泄漏了在线服务利用者ID和在线服务认证用一次性口令的场合，也能降低不正当再利用的危险性的特征。