[发明专利]认证系统及认证方法

说明书

技术领域

本发明涉及认证系统，尤其涉及在现有的网络应用程序的登录等认证部分中使用挑战响应方式的认证系统及认证方法。

背景技术

近年来，由于网络钓鱼(Phishing)等的攻击，网络应用程序的用户认证等中使用的用户ID或密码被盗的危险性升高了。因此，网络应用程序在认证时不利用固定密码，而利用一次性密码。

作为与这样的使用一次性密码的认证方法相关的现有技术，已知例如在非专利文献1等中记载的被称为S/Key的技术。S/Key是通过被称为挑战响应(Challenge/Response)方式的认证方式来强化远程登录应用程序的用户认证的认证技术。

利用S/Key的认证技术，当远程登录客户机在用户认证时显示用户ID和密码的输入画面时，显示挑战数据，用户根据所显示的挑战数据来计算响应数据，将该响应数据作为一次性密码发送到远程登录服务器来接受认证。此时，远程登录服务器从向远程登录客户机发送挑战数据的时刻开始，在与客户机之间确立通信连接，进行挑战数据和响应数据的收发，比较根据所发送的挑战数据而计算的验证数据和接收到的响应数据来进行认证。

基于这样的现有技术的认证方法，在一个通信连接上交换挑战数据和响应数据，所以服务器程序可以容易地进行发送的挑战数据与接收的响应数据的对应，可以顺利地进行认证处理。

【非专利文献1】“The S/KEY One-Time Password System”，RFC1760，N.Haller，1995/2

基于上述现有技术的认证方法，在将该方法应用于作为现有产品的服务器客户机系统的情况下，需要变更构成系统的服务器客户机应用程序，插入S/Key等认证功能。但是，在一般的服务器客户机系统中，应用程序以执行(二进制)形式被提供，所以产生如下问题：不能对应用程序本身进行变更，难以插入认证功能，即使在插入了认证功能的情况下，也难以在同一通信连接上交换挑战数据和响应数据。

此外，基于上述现有技术的认证方法中，服务器应用程序为了与响应数据相对应，需要保持挑战数据，由于针对每一来自客户机应用程序的访问而重新生成挑战数据，所以当访问增加时，保持的挑战数据也变多，具有大量消耗保持用的资源、进行认证的服务器的服务停止的可能性变高的问题。这种情况在由于DoS攻击等导致访问数增多时及其显著，陷入不得不停止服务的状态。

发明内容

本发明的目的在于，解决上述现有技术的问题，提供一种不需要新的服务器等，在原有的系统中追加挑战响应方式的认证功能而构成的、使用挑战响应方式的认证系统及认证方法。

根据本发明，通过如下认证系统来实现上述目的。该认证系统由服务器和利用该服务器的服务的客户机PC经由网络连接而构成，进行所述客户机PC的认证。所述认证系统具有由所述客户机PC的用户持有、可以经由所述网络或其他通信线路与所述服务器连接的便携式终端。所述服务器包括：为了认证处理，发布附上识别符的挑战数据，发送到所述客户机PC的单元；接收来自所述客户机PC的附上识别符的响应数据，提取出对应的挑战数据的单元；通过提取出的挑战数据及接收到的响应数据，进行客户机PC的认证的单元。所述客户机PC具有接收并显示来自所述服务器的附上识别符的挑战数据的单元。所述便携式终端具有取得所述客户机PC接收的所述附上识别符的挑战数据的单元；根据取得的附上识别符的挑战数据，生成附上识别符的响应数据，将该响应数据发送给所述服务器的单元。从所述服务器向所述客户机PC发送所述附上识别符的挑战数据的通信路径，和从所述便携式终端向所述服务器发送所述响应数据的通信路径互相独立。

根据本发明，不需要新的服务器等，仅通过在浏览器程序和服务器程序中追加少量功能，就可以提供能够防止网络钓鱼(phishing)欺诈等的、使用挑战响应方式的认证系统。

附图说明

图1是表示本发明的一个实施方式的认证系统的结构的框图。

图2是表示客户机PC的构成例的框图。

图3是表示便携式终端的构成例的框图。

图4是表示服务器的构成例的框图。

图5是表示帐户DB的构成例的图。

图6是表示挑战DB的构成例的图。

图7A是说明本发明的实施方式的认证系统整体的处理动作的流程图(其一)。

图7B是说明本发明的实施方式的认证系统整体的处理动作的流程图(其二)。

图8是说明服务器的挑战发布程序的处理动作的流程图。

图9是说明便携式终端的响应生成程序中的处理动作的流程图。