JP4324951B2 - Password system - Google Patents
Password system Download PDFInfo
- Publication number
- JP4324951B2 JP4324951B2 JP2001118112A JP2001118112A JP4324951B2 JP 4324951 B2 JP4324951 B2 JP 4324951B2 JP 2001118112 A JP2001118112 A JP 2001118112A JP 2001118112 A JP2001118112 A JP 2001118112A JP 4324951 B2 JP4324951 B2 JP 4324951B2
- Authority
- JP
- Japan
- Prior art keywords
- password
- user
- registration
- server
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、ユーザーが端末として利用するローカルのコンピュータ(以下クライアント)より、ネットワークを介してリモートのコンピュータ(以下サーバー)にログインするときにパスワードを認証するパスワードシステムに関するものである。
【0002】
【従来の技術】
図3は、従来におけるパスワードシステムであり、クライアント1側からネットワーク3を介してユーザーがユーザーIDとパスワードを打ち込み、サーバー2側がユーザーIDと送られてきたパスワードが合っているかどうかをサーバー側にあるパスワードのデータベースを使って照合し、ログインを許可するシステムである。
【0003】
図4は、最近広く使われるようになった標準的な暗号化規格であるSSH(Secure Shell)によるパスワードシステムである。クライアント1及びサーバー2は共にSSHによる暗号化ソフトを具備している。クライアント1側では、あらかじめサーバー2側より公開鍵が渡されており、この公開鍵を用いてSSHによりパスワードを暗号化してサーバ2に送付する。
【0004】
サーバー2側では、秘密鍵によりパスワードを開き、SSHにより暗号を解読し、サーバー側データベースに登録されたパスワードのデータベースと照合し、ログインを許可するシステムである。尚、SSHは、パスワードだけでなく,通信全体が暗号化される。
【0005】
図5は,本発明の主題であるワンタイム(使い捨て)形式のパスワードシステムのオリジナル方式を示す。クライアント1側より、ユーザーがサーバー2にユーザーIDを送ると、サーバーは乱数を生成し、共有鍵を暗号化して、クライアント1に返送する。クライアント1は、更にそれを復号化して、乱数をサーバー2に送る。
サーバー2は、送られてきた乱数と生成した乱数が一致しているかをみて、ユーザーを認証する。乱数は逐次新しいものが生成される。
【0006】
図6は、パスワードシステムの別の方式を示す。ユーザーが初期のパスワードをサーバー2に事前に与えると、サーバー2はハッシュ関数を使って,いくつかのパスワードを自動生成する。
ユーザーは、ハッシュ関数を利用する専用のコマンドがクライアント1にあれば,その場所でパスワードを計算して使用可能なパスワードを知るか、または、サーバー2側の計算結果を事前に紙に出力しておいて、ユーザーがこれを紙で持ち歩くケースもある。
【0007】
【発明が解決しようとする課題】
図3のパスワードシステムでは、ユーザーが入力したパスワードが生のテキストでネットワーク回線上を流れるため、第三者に傍受されてしまう。
図4のSSHシステムでは、クライアントがSSHクライアントである必要がある。ユーザーが必ずしもSSHをサポートしたマシンからサーバーにリモートログインできるわけではない。
【0008】
図5のパスワードシステムでは,SSHと同様,複号化のための乱数発生ツールを常にクライアントで持ち合わせてなければならない.
図6パスワードシステムでは,事前にサーバーから渡された無造作なワンタイムパスワードをユーザーが逐次順々に覚えなければならない煩わしさがある。また、ハッシュ関数の逆関数を求めて、第三者があるワンタイムパスワードから次のワンタイムパスワードを推測することも不可能ではない。
【0009】
会社や大学のネットワーク内で作業している者にとって、自宅や出張先のマシン、さらには、カンファレンスなどに設置された形態が不明なマシンから、会社や大学にリモートでログインしたい場合がある。近年、ネットワークのセキュリティは強く求められ、暗号化を使わないリモートログインを禁止させているところも多い。
【0010】
SSHを使えば、通信全体が暗号化されるので、セキュリティ上問題ないが、ユーザーが常にSSHをサポートしたクライアントからサーバーにアクセスできる状況にあるとは限らない。また、大抵のリモートログインのケースは、機密性のあるファイルなどをリモートでやりとりするのでなく,他人に知られても構わないファイルのやりとりであるから、通信全体の暗号化は不要である。
【0011】
以上のように、これまでの暗号化によるパスワードシステムでは、複合化のツールをユーザーに持たせたり、無造作なパスワードの文字列を順番に覚えさせたりなど、ユーザーに煩わしさを感じさせるものであった。
本発明は、暗号化を使わず、かつユーザーに負担がかからないパスワードシステムの実現を目的とする。
【0012】
【課題を解決するための手段】
このような課題を達成するために、本発明のうち請求項1記載発明の特徴は、ユーザーが端末として利用するローカルのコンピュータであるクライアントより、ネットワークを介してリモートのコンピュータであるサーバーにログインするときにパスワードを認証するパスワードシステムにおいて、
前記サーバーは、前記ユーザーより入力される複数のワンタイムパスワードを登録するデータベースと、前記ユーザーによるワンタイムパスワードの登録を受付けた時、有効期限情報を登録条件に付与すると共に、この有効期限情報含む登録条件をチェックし、登録条件を満足する場合は前記データベースへの登録を許可するメッセージを、登録条件を満足しない場合には登録を拒否するメッセージを前記ユーザーに通知する登録可否判断手段と、
前記ユーザーが、ワンタイムパスワードの1つを用いてログインした時、当該ログインパスワードと登録された前記ワンタイムパスワードとの一致を確認した場合にログインを許可すると共に、当該ワンタイムパスワードを前記データベースより削除するユーザー認証手段と、を具備せしめた点にある。
【0015】
請求項2記載発明の特徴は、前記サーバーは、前記ユーザーによるワンタイムパスワードの新規登録を許可する場合は、当該新規登録のワンタイムパスワードを含む現在の有効ワンタイムパスワードを、前記ユーザーのホームディレクトリのリストファイルに出力する点にある。
【0016】
請求項3記載発明の特徴は、前記サーバーは、登録された前記ワンタイムパスワードを前記データベースより削除する場合には、前記ホームディレクトリのリストファイルを更新する点にある。
【0017】
請求項4記載発明の特徴は、前記登録可否判断手段は、前記ユーザーによるパスワードの新規登録を受付けた時、過去に使用されたパスワードと同一パスワード若しくは一字違いのパスワードであった場合は、登録条件を満足しないと判断し、前記データベースへの登録を拒否するメッセージを前記ユーザーに通知する点にある。
【0018】
【発明の実施の形態】
以下本発明実施態様を、図面を用いて説明する。図1は、本発明のパスワードシステムにおいて、ユーザー4によるサーバー2側での事前作業を説明する機能ブロック線図である。
【0019】
ユーザー4は、ワンタイムパスワードのサービスをもつサーバー2のマンマシンインターフェイス5を介してワンタイムパスワード用データベース6にパスワードを登録(この例ではすでに登録されているパスワードに新規のパスワードpasswd123を追加)する。
入力するパスワードは、任意の文字列で、必要に応じて最長有効期限情報も入力する。このとき、パスワードの数は許容されるだけ入力してよい。
【0020】
サーバー2は、登録可否判断手段7を有し、管理者のセキュリティ方針(パスワードの文字列数,有効期限など)に基づく条件テーブル8の内容に従って、ユーザーが登録しようとしたパスワードpasswd123がデータベースに登録できるか否かを判断する。
【0021】
判断結果、登録できなければ、ユーザーに登録できないことを、マンマシンインターフェイス5を介して通知し、登録できれば、パスワードpasswd123をデータベース6の追加登録し、新規追加を含め現在利用可能なワンタイムパスワードをユーザーのホームディレクトリ9のリストファイル10に出力し、その内容を更新する。
【0022】
図2は、本発明のパスワードシステムにおいて、ユーザーがクライアント1側よりネットワーク3を介してサーバー2側にワンタイムパスワードを送ってログインの許可を求める場合の作業を説明する機能ブロック線図である。
【0023】
使用時において、ユーザー4は、クライアント1のマンマシンインターフェイスよりネットワーク3を介してサーバー2にパスワード(例えばpasswd123)を送り、ログインの許可を求める。
【0024】
11はサーバー2の機能であるユーザー認証手段であり、クライアント1から送られてきたパスワードpasswd123を受け取ると、当該パスワードがデータベース6にあらかじめ登録されているパスワードの一つと一致していたら、ログイン許可をネットワークを介してクライアント1に通知し、不一致であれば不許可を通知する。
【0025】
パスワードpasswd123の一致によりログインを許可した場合には、許可と同時に、そのパスワードpasswd123はデータベース6から破棄され、使えないようにされる。
また、このパスワード破棄によるデータベース6の登録内容変更は、ユーザーのホームディレクトリ9にあるパスワードリストファイル10の更新により最新情報に書き換えられる。
【0026】
本発明システムの運用に当たっては、サーバー側における登録条件テーブル8では、最小文字列数、最長有効期限の他、過去に使用されたパスワードを記憶しておき、ユーザーによるパスワード登録を受付けた時、過去に使用されたパスワードと同一パスワード若しくは一字違いのパスワードであった場合は登録を拒否し、そのパスワードを採用しない、とする登録条件を設定することがセキュリティ上好ましい。
【0027】
【発明の効果】
以上説明したことから明らかなように、本発明によれば暗号化、復号化などクライアントで特別な処理を必要としないので、インターネットに接続されたあらゆるマシンからサーバーにログインすることができる。
【0028】
ユーザーが覚えやすいパスワードを使うことができ、パスワードを順番に覚える煩雑さが回避される。
【図面の簡単な説明】
【図1】本発明のパスワードシステムの機能ブロック線図である。
【図2】本発明のパスワードシステムの機能ブロック線図である。
【図3】従来のパスワードシステムを示すブロック線図である。
【図4】従来のパスワードシステムを示すブロック線図である。
【図5】従来のパスワードシステムを示すブロック線図である。
【図6】従来のパスワードシステムを示すブロック線図である。
【符号の説明】
1 クライアント
2 サーバー
3 ネットワーク
4 ユーザー
5 サーバー側マンマシンインターフェイス
6 ワンタイムパスワード用データベース
7 登録可否判断手段
8 登録条件テーブル
9 ユーザーホームディレクトリ
10 パスワードのリストファイル
11 ユーザー認証手段[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a password system that authenticates a password when a user logs in to a remote computer (hereinafter referred to as a server) via a network from a local computer (hereinafter referred to as a client) used as a terminal.
[0002]
[Prior art]
FIG. 3 shows a conventional password system, in which a user inputs a user ID and a password from the
[0003]
FIG. 4 shows a password system based on SSH (Secure Shell) which is a standard encryption standard that has been widely used recently. Both the
[0004]
On the
[0005]
FIG. 5 shows an original method of a one-time (disposable) password system that is the subject of the present invention. When the user sends a user ID to the
The
[0006]
FIG. 6 shows another method of the password system. When the user gives the initial password to the
If the
[0007]
[Problems to be solved by the invention]
In the password system of FIG. 3, the password entered by the user flows on the network line as raw text, and is intercepted by a third party.
In the SSH system of FIG. 4, the client needs to be an SSH client. A user cannot always log in remotely to a server from a machine that supports SSH.
[0008]
In the password system of FIG. 5, like SSH, the client must always have a random number generation tool for decryption.
In the password system shown in FIG. 6, there is an annoyance that requires the user to remember the random one-time password passed from the server in advance. In addition, it is not impossible to obtain an inverse function of the hash function to guess the next one-time password from a certain one-time password.
[0009]
A person working in a company or university network may want to log in to the company or university remotely from a machine at home or on a business trip, or a machine whose form is unknown at a conference or the like. In recent years, network security has been strongly demanded, and many remote logins that do not use encryption are prohibited.
[0010]
If SSH is used, the entire communication is encrypted, so there is no security problem, but the user may not always be able to access the server from a client that supports SSH. Also, in most remote login cases, confidential files are not exchanged remotely, but exchange of files that may be known to others is not necessary, so encryption of the entire communication is unnecessary.
[0011]
As described above, password systems based on encryption so far make the user feel annoyed, such as by giving the user a decryption tool or by remembering a random password string. It was.
An object of the present invention is to realize a password system that does not use encryption and does not burden the user.
[0012]
[Means for Solving the Problems]
In order to achieve such an object, a feature of the invention described in
The server provides a database for registering a plurality of one-time passwords inputted by the user and registration of one-time passwords by the user with expiration date information as a registration condition and includes the expiration date information. Checking registration conditions, if registration conditions are satisfied, a message permitting registration in the database, and registration conditions determining means for notifying the user of a message rejecting registration if registration conditions are not satisfied,
When the user logs in using one of the one-time passwords, the user is allowed to log in when the login password is confirmed to match the registered one-time password, and the one-time password is retrieved from the database. And a user authentication means to be deleted .
[0015]
Features of
[0016]
According to a third aspect of the present invention, the server updates the list file of the home directory when the registered one-time password is deleted from the database .
[0017]
According to a fourth aspect of the present invention, the registration permission / inhibition judging means receives a new registration of a password by the user , and if it is the same password as the password used in the past or a password different from the previous one, it is registered. determines not to satisfy the conditions, a message denying the registration in the database to a point to notify the user.
[0018]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is a functional block diagram illustrating pre-operation on the
[0019]
The user 4 registers the password in the one-
The password to be input is an arbitrary character string, and the longest expiration date information is also input if necessary. At this time, the number of passwords may be entered as much as allowed.
[0020]
The
[0021]
If the result of the determination is that registration is not possible, the user is informed through the man-machine interface 5 that registration is not possible, and if registration is possible, the password passwd123 is additionally registered in the
[0022]
FIG. 2 is a functional block diagram for explaining the operation when the user sends a one-time password from the
[0023]
At the time of use, the user 4 sends a password (for example, passwd123) to the
[0024]
11 is a user authentication means that is a function of the
[0025]
When login is permitted due to the password passwd123 match, the password passwd123 is discarded from the
Further, the change in the registered contents of the
[0026]
In the operation of the system of the present invention, in the registration condition table 8 on the server side, the password used in the past is stored in addition to the minimum number of character strings and the maximum expiration date, and when the password registration by the user is accepted, In terms of security, it is preferable to set a registration condition in which if the password is the same as the password used for the password or a password that is different from the password, the registration is rejected and the password is not adopted.
[0027]
【The invention's effect】
As is apparent from the above description, according to the present invention, since special processing such as encryption and decryption is not required at the client, it is possible to log in to the server from any machine connected to the Internet.
[0028]
Passwords that are easy for users to remember can be used, and the trouble of remembering passwords in order is avoided.
[Brief description of the drawings]
FIG. 1 is a functional block diagram of a password system according to the present invention.
FIG. 2 is a functional block diagram of the password system of the present invention.
FIG. 3 is a block diagram showing a conventional password system.
FIG. 4 is a block diagram showing a conventional password system.
FIG. 5 is a block diagram showing a conventional password system.
FIG. 6 is a block diagram showing a conventional password system.
[Explanation of symbols]
DESCRIPTION OF
Claims (4)
前記サーバーは、
前記ユーザーより入力される複数のワンタイムパスワードを登録するデータベースと、
前記ユーザーによるワンタイムパスワードの登録を受付けた時、有効期限情報を登録条件に付与すると共に、この有効期限情報含む登録条件をチェックし、登録条件を満足する場合は前記データベースへの登録を許可するメッセージを、登録条件を満足しない場合には登録を拒否するメッセージを前記ユーザーに通知する登録可否判断手段と、
前記ユーザーが、ワンタイムパスワードの1つを用いてログインした時、当該ログインパスワードと登録された前記ワンタイムパスワードとの一致を確認した場合にログインを許可すると共に、当該ワンタイムパスワードを前記データベースより削除するユーザー認証手段と、
を具備することを特徴とするパスワードシステム。In a password system that authenticates a password when a user logs in to a server that is a remote computer via a network from a client that is a local computer used by a user as a terminal,
The server
A database for registering a plurality of one-time passwords input by the user;
When the registration of the one-time password by the user is accepted, the expiration date information is added to the registration condition, and the registration condition including the expiration date information is checked. If the registration condition is satisfied, the registration to the database is permitted. A registration permission determination means for notifying the user of a message for rejecting registration if the message does not satisfy the registration conditions;
When the user logs in using one of the one-time passwords, the user is allowed to log in when the login password is confirmed to match the registered one-time password, and the one-time password is retrieved from the database. User authentication means to be deleted;
A password system comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001118112A JP4324951B2 (en) | 2001-04-17 | 2001-04-17 | Password system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001118112A JP4324951B2 (en) | 2001-04-17 | 2001-04-17 | Password system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002312319A JP2002312319A (en) | 2002-10-25 |
| JP4324951B2 true JP4324951B2 (en) | 2009-09-02 |
Family
ID=18968548
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001118112A Expired - Fee Related JP4324951B2 (en) | 2001-04-17 | 2001-04-17 | Password system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4324951B2 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12603879B2 (en) | 2023-03-31 | 2026-04-14 | Microsoft Technology Licensing, Llc | Progressively increasing a login information length |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1668448A2 (en) * | 2003-09-12 | 2006-06-14 | RSA Security Inc. | System and method providing disconnected authentication |
| JP2006004020A (en) * | 2004-06-15 | 2006-01-05 | Masakatsu Morii | One-time password authentication system and method |
| JP4584192B2 (en) * | 2006-06-15 | 2010-11-17 | Necビッグローブ株式会社 | Authentication system, authentication server, terminal, authentication method, program |
| JP5012394B2 (en) * | 2007-10-12 | 2012-08-29 | 富士ゼロックス株式会社 | Image processing system and image processing program |
| KR101118605B1 (en) | 2011-10-18 | 2012-02-27 | 이경민 | Security-Enhanced Login System and Method |
| CN112313646B (en) | 2018-06-14 | 2024-09-17 | 京瓷办公信息系统株式会社 | Authentication device and image forming device |
| JP7519491B1 (en) | 2023-03-16 | 2024-07-19 | 株式会社三井住友銀行 | Support system, method, and program |
-
2001
- 2001-04-17 JP JP2001118112A patent/JP4324951B2/en not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12603879B2 (en) | 2023-03-31 | 2026-04-14 | Microsoft Technology Licensing, Llc | Progressively increasing a login information length |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002312319A (en) | 2002-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111447214B (en) | Method for centralized service of public key and cipher based on fingerprint identification | |
| US7698565B1 (en) | Crypto-proxy server and method of using the same | |
| US9094194B2 (en) | Method and system for automating the recovery of a credential store when a user has forgotten their password using a temporary key pair created based on a new password provided by the user | |
| JP5265744B2 (en) | Secure messaging system using derived key | |
| US6510523B1 (en) | Method and system for providing limited access privileges with an untrusted terminal | |
| US11743053B2 (en) | Electronic signature system and tamper-resistant device | |
| JP5619007B2 (en) | Apparatus, system and computer program for authorizing server operation | |
| KR100621420B1 (en) | Network connection system | |
| US9544297B2 (en) | Method for secured data processing | |
| US20010034836A1 (en) | System for secure certification of network | |
| KR100561629B1 (en) | Security information integrated management system and method | |
| CN112425114A (en) | Password manager protected by public-private key pair | |
| JPH10269184A (en) | Network system security management method | |
| CN101300808A (en) | Method and arrangement for secure authentication | |
| US20050021984A1 (en) | Encryption system | |
| CN113647051B (en) | System and method for secure electronic data transmission | |
| GB2554082A (en) | User sign-in and authentication without passwords | |
| JP4324951B2 (en) | Password system | |
| JP7079528B2 (en) | Service provision system and service provision method | |
| CN104854840B (en) | A kind of method of safe transmission electronic information | |
| JP4657706B2 (en) | Authority management system, authentication server, authority management method, and authority management program | |
| JP2005149239A (en) | User authentication system | |
| JP2003198632A (en) | Electronic mail system and method for processing the same and its program | |
| JP2012033145A (en) | Server device, and computer system and login method thereof | |
| JP2001285286A (en) | Authentication method, recording medium, authentication system, terminal device, and recording medium creating device for authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051006 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090203 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090303 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090326 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090518 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120619 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |