JP7709663B2 - 認証要件設定装置、認証要件設定方法、及びプログラム - Google Patents
認証要件設定装置、認証要件設定方法、及びプログラムInfo
- Publication number
- JP7709663B2 JP7709663B2 JP2024526169A JP2024526169A JP7709663B2 JP 7709663 B2 JP7709663 B2 JP 7709663B2 JP 2024526169 A JP2024526169 A JP 2024526169A JP 2024526169 A JP2024526169 A JP 2024526169A JP 7709663 B2 JP7709663 B2 JP 7709663B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- entropy
- requirement setting
- authentication requirement
- setting device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Description
本開示は、複数の認証方式を組み合わせて、ユーザの認証における負担を低減する技術に関する。
金融機関をはじめとした多くのネットワークサービスで、多要素認証が使われている。複数の要素(知識情報、所持情報、生体情報)を組合わせて認証する多要素認証を導入することで、サービスのセキュリティを向上させることができる(非特許文献1参照)。
Multi-factor authentication, Wikipedia (https://en.wikipedia.org/wiki/Multi-factor_authentication)
しかし、従来の技術では、単一要素の認証に比べて、複数の要素を入力する手間が掛かるため、ユーザの負担が大きくなるという問題があった。
本発明は、上記の点に鑑みてなされたものであって、多要素認証を必要とする場合であっても、認証における安全性を担保しつつ、認証に必要とされるユーザの負担を軽減することを目的とする。
上記課題を解決するため、請求項1に係る発明は、複数の認証方式を組み合わせた場合の認証要件を設定する認証要件設定装置であって、認証方式の選択を受け付ける選択受付部と、受け付けられた前記認証方式のエントロピーを算出するエントロピー算出部と、閾値と、算出された前記エントロピーとの差分に基づいて、所定の安全性を満たす認証要件を設定する認証要件設定部と、設定された前記認証要件を出力する出力部と、を有する認証要件設定装置である。
以上説明したように本発明によれば、多要素認証を必要とする場合であっても、認証における安全性を担保しつつ、認証に必要なユーザの負担を軽減することができるという効果を奏する。
以下、図面に基づいて本発明の実施形態を説明する。
〔実施形態のシステム構成〕
まず、図1を用いて、本実施形態の通信システムの全体構成略について説明する。図1は、本実施形態に係る通信システムの全体構成図である。
まず、図1を用いて、本実施形態の通信システムの全体構成略について説明する。図1は、本実施形態に係る通信システムの全体構成図である。
図1に示されているように、本実施形態の通信システム1は、認証要件設定装置3、及び通信端末5によって構築されている。
認証要件設定装置3は、単数又は複数のコンピュータによって構成されている。認証要件設定装置3が複数のコンピュータによって構成されている場合には、「認証要件設定装置」と示しても良いし、「認証要件設定システム」と示しても良い。
認証要件設定装置3は、多要素認証に必要な複数の認証方式(知識情報、所持情報、又は生体情報による認証方式)のうちの少なくとも2つの認証方式を組み合わせた場合の認証要件を設定する。知識情報は、例えば、パスワード、PIN(Personal Identification Number)コード、秘密の質問(ペットの名前等)等である。所持情報は、例えば、携帯電話、ハードウェアトークン、IC(Integrated Circuit)カード等である。生体情報は、指認証、虹彩認証、音声認証等である。認証方式の組合せ方は、例えば、同じ生体情報に分類される指認証及び虹彩認証であっても良い。また、設定される認証要件は、国等が推奨する所定の安全性を確保するためのパスワードの桁数等である。
通信端末5は、図1では、一例としてノート型パソコンが示されている。図1では、ユーザが、通信端末5を操作する。ユーザは、多要素認証に必要な複数の要素を入力する者である。
また、認証要件設定装置3と通信端末5は、インターネット等の通信ネットワーク100を介して通信することができる。通信ネットワーク100の接続形態は、無線又は有線のいずれでも良い。
〔ハードウェア構成〕
<認証要件設定装置のハードウェア構成>
次に、図2を用いて、認証要件設定装置3の電気的なハードウェア構成を説明する。図2は、認証要件設定装置の電気的なハードウェア構成図である。
<認証要件設定装置のハードウェア構成>
次に、図2を用いて、認証要件設定装置3の電気的なハードウェア構成を説明する。図2は、認証要件設定装置の電気的なハードウェア構成図である。
認証要件設定装置3は、コンピュータとして、図2に示されているように、CPU(Central Processing Unit)301、ROM(Read Only Memory)302、RAM(Random Access Memory)303、SSD(Solid State Drive)304、外部機器接続I/F(Interface)305、ネットワークI/F306、メディアI/F309、及びバスライン310を備えている。
これらのうち、CPU301は、認証要件設定装置3全体の動作を制御する。ROM302は、IPL(Initial Program Loader)等のCPU301の駆動に用いられるプログラムを記憶する。RAM303は、CPU301のワークエリアとして使用される。
SSD304は、CPU301の制御に従って各種データの読み出し又は書き込みを行う。なお、SSD304の代わりに、HDD(Hard Disk Drive)を用いても良い。
外部機器接続I/F305は、各種の外部機器を接続するためのインターフェースである。この場合の外部機器は、ディスプレイ、スピーカ、キーボード、マウス、USB(Universal Serial Bus)メモリ、及びプリンタ等である。
ネットワークI/F306は、通信ネットワーク100を介してデータ通信をするためのインターフェースである。
メディアI/F309は、フラッシュメモリ等の記録メディア309mに対するデータの読み出し又は書き込み(記憶)を制御する。記録メディア309mには、DVD(Digital Versatile Disc)やBlu-ray Disc(登録商標)等も含まれる。
バスライン310は、図2に示されているCPU301等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
なお、通信端末5は、認証要件設定装置と同様のハードウェア構成であるため、その説明を省略する。
〔認証要件設定装置の機能構成〕
続いて、図3を用いて、本実施形態に係る認証要件設定装置3の機能構成について説明する。図3は、認証要件設定装置の機能構成図である。
続いて、図3を用いて、本実施形態に係る認証要件設定装置3の機能構成について説明する。図3は、認証要件設定装置の機能構成図である。
図3に示すように、認証要件設定装置3は、選択受付部31、エントロピー算出部33、認証要件設定部35、及び出力部39を有する。これら各部は、プログラムに基づき図2のCPU301による命令によって実現される機能である。
選択受付部31は、通信端末5から送られた又は認証要件設定装置3に対して直接入力された、単数又は複数の認証方式の選択を受け付ける。
エントロピー算出部33は、選択受付部31によって受け付けられた認証方式のエントロピーを算出する。この場合のエントロピーは、認証に係るビット数を示す。これに関しては、後ほど詳細に説明する。選択受付部31によって複数の認証方式の選択が受け付けられた場合には、エントロピー算出部33は、複数の認証方式の合計のエントロピーを算出する。
認証要件設定部35は、閾値と、エントロピー算出部33によって算出されたエントロピーとの差分に基づいて、所定の安全性を満たす認証要件を設定する。具体的には、認証要件設定部35は、エントロピー算出部33によって算出されたエントロピーが閾値未満の場合には、差分に相当する認証要件を設定する。また、認証要件設定部は、エントロピー算出部33によって算出されたエントロピーが閾値以上の場合には、予め定められた所定の認証要件を設定する(例えば、必要なパスワードの桁数を4桁と設定する)。
出力部39は、認証要件設定部35によって設定された認証要件を示す設定結果の情報を、認証要件設定装置3から出力して通信端末5に送信する。
〔認証要件設定装置の処理又は動作〕
続いて、図4を用いて、認証要件設定装置3が実行する処理又は動作を説明する。図4は、認証要件設定装置が実行する処理又は動作を示すフローチャートである。
続いて、図4を用いて、認証要件設定装置3が実行する処理又は動作を説明する。図4は、認証要件設定装置が実行する処理又は動作を示すフローチャートである。
S11:選択受付部31は、通信端末5から送られた又は認証要件設定装置3に対して直接入力された、単数又は複数の認証方式の選択を受け付ける。複数の認証方式は、例えば、知識認証であるパスワード、所持情報であるICカードを使う認証、及び生体情報である指認証等である。また、複数の認証方式は、同じ生体情報において異なる認証方式(例えば、指認証、虹彩認証)であってもよい。
S12:エントロピー算出部33は、選択受付部31によって複数の認証方式の選択を受け付けたかを判断する。
S13:複数の認証方式の選択を受け付けた場合には(S12;YES)、エントロピー算出部33は、選択された複数の認証方式の各エントロピーの合計を算出する。
ここで、認証の全体のエントロピーの算出方法を定義する。本実施形態では、利用する認証方式のエントロピーをビット数で表し、以下の(式1)を用いて、認証全体のエントロピーをビット数で算出する。
認証の全体のエントロピー=各認証方式のエントロピー(ビット数)の和・・・(式1)
例えば、S11で、選択受付部31が2つの認証方式(指認証、虹彩認証)の選択を受け付けた場合、エントロピー算出部33は、以下のように計算する。
例えば、S11で、選択受付部31が2つの認証方式(指認証、虹彩認証)の選択を受け付けた場合、エントロピー算出部33は、以下のように計算する。
(認証方式1)指認証:エントロピー 「約24ビット」
他人許容率 0.00001% → エントロピー 1000万
指認証の他人許容率の例:参考文献1参照
<参考文献1>https://jpn.nec.com/biometrics/fingerprint/about.html
1000万 = (10^3)^2 × 10 ≒ (2^10)^2 × 2^4 = 2^20 × 2^4 = 2^24
(認証方式2)虹彩認証:エントロピー「約20ビット」
他人許容率 120万分の1 → エントロピー 120万
虹彩認証の他人許容率の例:参考文献2参照
<参考文献2> https://iris.pas-ta.io/about/
120万 ≒ (10^3)^2 ≒(2^10)^2 = 2^20
<2つの認証方式のエントロピー(ビット数)の和>
24ビット + 20ビット = 44ビット
S14:複数の認証方式の選択を受け付けていない場合には(S12;NO)、エントロピー算出部33は、選択された認証方式のエントロピーを算出する。
他人許容率 0.00001% → エントロピー 1000万
指認証の他人許容率の例:参考文献1参照
<参考文献1>https://jpn.nec.com/biometrics/fingerprint/about.html
1000万 = (10^3)^2 × 10 ≒ (2^10)^2 × 2^4 = 2^20 × 2^4 = 2^24
(認証方式2)虹彩認証:エントロピー「約20ビット」
他人許容率 120万分の1 → エントロピー 120万
虹彩認証の他人許容率の例:参考文献2参照
<参考文献2> https://iris.pas-ta.io/about/
120万 ≒ (10^3)^2 ≒(2^10)^2 = 2^20
<2つの認証方式のエントロピー(ビット数)の和>
24ビット + 20ビット = 44ビット
S14:複数の認証方式の選択を受け付けていない場合には(S12;NO)、エントロピー算出部33は、選択された認証方式のエントロピーを算出する。
S15:認証要件設定部35は、上記S13又はS14でエントロピー算出部33によって算出されたエントロピーが閾値未満かを判断する。
例えば、所定の安全性(強度)を満たすための閾値は、予め72ビット(64の12乗をビット数で表したもの)として設定されている。知識認証の一例としてのパスワードが、64の12乗(文字64種類(a~z・A~Z・0~9・+-)、12文字)とすると、64の12乗 = 64^12 = (2^6)^12 = 2^72である。
<閾値72ビットを満たすために必要な残りのビット数>
72(閾値) - 44(S13の算出結果) = 28(ビット)
この場合、閾値72ビットより28ビット低いため、閾値未満である。
72(閾値) - 44(S13の算出結果) = 28(ビット)
この場合、閾値72ビットより28ビット低いため、閾値未満である。
S16:エントロピーが閾値未満の場合には(S15;YES)、認証要件設定部35は、閾値とエントロピーの差分に基づいて、最低限必要な認証要件を設定する。
例えば、上記の例の場合、ユーザのパスワードは28ビット以上であれば良い。
28ビット = 2^28 = (2^6)^4 × 2^4
により、パスワード桁数(文字、記号の数)だと、4~5桁に相当する。
により、パスワード桁数(文字、記号の数)だと、4~5桁に相当する。
よって、認証要件設定部35は、安全性を担保するための最低限必要な認証要件として、パスワードの桁数「5」と設定する。なお、ここでは、認証要件設定部35は、認証要件としてパスワードの桁数を設定したが、他の知識情報であってもよいし、所持情報又は生体情報であってもよい。また、ここでは、認証要件設定部35が、認証要件の認証方式(知識情報)を設定したが、S11においてユーザが認証要件の認証方式を選択してもよい。
S17:エントロピーが閾値未満でない場合(閾値以上の場合)には(S15;NO)、認証要件設定部35は、予め定められた所定の認証要件を設定する。
S18:出力部39は、認証要件設定部35によって設定された認証要件を示す設定結果の情報を、認証要件設定装置3から出力して通信端末5に送信する。
以上により、認証要件設定装置の処理又は動作の説明が終了する。
〔実施形態の効果〕
以上説明したように本実施形態によれば、ユーザが入力するパスワードとともに生体認証など複数の認証方式を利用する際には、認証方式が持つエントロピー(複雑さ)の分だけパスワードの文字数等の認証要件を減らすことで、認証における安全性を担保しつつ、認証に必要とされるユーザの負担を低減することができるという効果を奏する。
以上説明したように本実施形態によれば、ユーザが入力するパスワードとともに生体認証など複数の認証方式を利用する際には、認証方式が持つエントロピー(複雑さ)の分だけパスワードの文字数等の認証要件を減らすことで、認証における安全性を担保しつつ、認証に必要とされるユーザの負担を低減することができるという効果を奏する。
〔補足〕
本発明は上述の実施形態に限定されるものではなく、以下に示すような構成又は処理(動作)であってもよい。
(1)認証要件設定装置3はコンピュータとプログラムによっても実現できるが、このプログラムを(非一時的な)記録媒体に記録することも、通信ネットワーク100を介して提供することも可能である。
(2)上記実施形態では、通信端末5の一例としてノート型パソコンが示されているが、これに限るものではなく、例えば、デスクトップパソコン、タブレット端末、スマートフォン、スマートウォッチ、カーナビゲーション装置、冷蔵庫、電子レンジ等であってもよい。
(3)CPU301、単一だけでなく、複数であってもよい。
本発明は上述の実施形態に限定されるものではなく、以下に示すような構成又は処理(動作)であってもよい。
(1)認証要件設定装置3はコンピュータとプログラムによっても実現できるが、このプログラムを(非一時的な)記録媒体に記録することも、通信ネットワーク100を介して提供することも可能である。
(2)上記実施形態では、通信端末5の一例としてノート型パソコンが示されているが、これに限るものではなく、例えば、デスクトップパソコン、タブレット端末、スマートフォン、スマートウォッチ、カーナビゲーション装置、冷蔵庫、電子レンジ等であってもよい。
(3)CPU301、単一だけでなく、複数であってもよい。
1 通信システム
3 認証要件設定装置
5 通信端末
31 選択受付部
33 エントロピー算出部
35 認証要件設定部
39 出力部
3 認証要件設定装置
5 通信端末
31 選択受付部
33 エントロピー算出部
35 認証要件設定部
39 出力部
Claims (8)
- 複数の認証方式を組み合わせた場合の認証要件を設定する認証要件設定装置であって、
認証方式の選択を受け付ける選択受付部と、
受け付けられた前記認証方式のエントロピーを算出するエントロピー算出部と、
閾値と、算出された前記エントロピーとの差分に基づいて、所定の安全性を満たす認証要件を設定する認証要件設定部と、
設定された前記認証要件を出力する出力部と、
を有する認証要件設定装置。 - 前記選択受付部によって複数の前記認証方式の選択が受け付けられた場合には、前記エントロピー算出部は、複数の前記認証方式の合計の前記エントロピーを算出し、
前記認証要件設定部は、前記閾値と、算出された合計の前記エントロピーとの差分に基づいて、前記認証要件を設定する、
請求項1に記載の認証要件設定装置。 - 前記認証要件設定部は、前記エントロピー算出部によって算出された前記エントロピーが前記閾値未満の場合には、前記差分に相当する前記認証要件を設定する、請求項1又は2に記載の認証要件設定装置。
- 前記認証要件設定部は、前記エントロピー算出部によって算出された前記エントロピーが前記閾値以上の場合には、予め定められた所定の認証要件を設定する、請求項1又は2に記載の認証要件設定装置。
- 前記エントロピーは、認証に係るビット数である、請求項1又は2に記載の認証要件設定装置。
- 前記認証要件設定部が設定する前記認証要件は、認証に必要なパスワードの桁数である、請求項1又は2に記載の認証要件設定装置。
- 複数の認証方式を組み合わせた場合の認証要件を設定する認証要件設定装置が実行する認証要件設定方法であって、
前記認証要件設定装置は、
認証方式の選択を受け付ける選択受付処理と、
受け付けられた前記認証方式のエントロピーを算出するエントロピー算出処理と、
閾値と、算出された前記エントロピーとの差分に基づいて、所定の安全性を満たす認証要件を設定する認証要件設定処理と、
設定された前記認証要件を出力する出力処理と、
を実行する認証要件設定方法。 - コンピュータに、請求項7に記載の方法を実行させるプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2022/023347 WO2023238343A1 (ja) | 2022-06-09 | 2022-06-09 | 認証要件設定装置、認証要件設定方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2023238343A1 JPWO2023238343A1 (ja) | 2023-12-14 |
| JP7709663B2 true JP7709663B2 (ja) | 2025-07-17 |
Family
ID=89117800
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2024526169A Active JP7709663B2 (ja) | 2022-06-09 | 2022-06-09 | 認証要件設定装置、認証要件設定方法、及びプログラム |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7709663B2 (ja) |
| WO (1) | WO2023238343A1 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019023859A (ja) | 2017-05-31 | 2019-02-14 | コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド | 自己適応型の安全な認証システム |
| US20200322330A1 (en) | 2019-04-08 | 2020-10-08 | Cisco Technology, Inc. | Continuous multi-factor authentication system |
| JP2020173507A (ja) | 2019-04-08 | 2020-10-22 | 富士ゼロックス株式会社 | 認証仲介装置及び認証仲介プログラム |
| JP2020181395A (ja) | 2019-04-25 | 2020-11-05 | 株式会社内田洋行 | コンテンツ利用者認証システム及びコンテンツ利用者認証方法 |
-
2022
- 2022-06-09 JP JP2024526169A patent/JP7709663B2/ja active Active
- 2022-06-09 WO PCT/JP2022/023347 patent/WO2023238343A1/ja not_active Ceased
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019023859A (ja) | 2017-05-31 | 2019-02-14 | コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド | 自己適応型の安全な認証システム |
| US20200322330A1 (en) | 2019-04-08 | 2020-10-08 | Cisco Technology, Inc. | Continuous multi-factor authentication system |
| JP2020173507A (ja) | 2019-04-08 | 2020-10-22 | 富士ゼロックス株式会社 | 認証仲介装置及び認証仲介プログラム |
| JP2020181395A (ja) | 2019-04-25 | 2020-11-05 | 株式会社内田洋行 | コンテンツ利用者認証システム及びコンテンツ利用者認証方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023238343A1 (ja) | 2023-12-14 |
| JPWO2023238343A1 (ja) | 2023-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10535068B2 (en) | Smart card multi-factor authentication device | |
| US9213931B1 (en) | Matrix barcode enhancement through capture and use of neighboring environment image | |
| JP4547447B2 (ja) | パスワード認証装置およびパスワード認証方法 | |
| US8984599B2 (en) | Real time password generation apparatus and method | |
| EP4082165B1 (en) | Secure authentication based on passport data stored in a contactless card | |
| CN117836794A (zh) | 用于近场非接触式卡通信和密码认证的系统和方法 | |
| US20250379752A1 (en) | Systems and methods for contactless card communication and multi-device key pair cryptographic authentication | |
| WO2020027959A1 (en) | Methods and systems for facilitating a client-server communication using cyclic tokens | |
| US20230025870A1 (en) | Password authentication apparatus, password authentication method, and computer readable medium | |
| CN105069365A (zh) | 一种数据处理的方法及移动终端 | |
| CN105929974A (zh) | 一种密码输入管理方法及移动终端 | |
| US20190370759A1 (en) | Methods, devices, and systems for verifying digital tickets at a client | |
| KR20130027313A (ko) | 입력패턴을 이용한 인증 방법 및 시스템 | |
| EP4460060B1 (en) | Systems and methods for cross coupling risk analytics and one-time-passcodes | |
| TW202040385A (zh) | 以裝置識別資料透過電信伺服器識別身份之系統及方法 | |
| JP7709663B2 (ja) | 認証要件設定装置、認証要件設定方法、及びプログラム | |
| CN104780162A (zh) | 一种鉴权信息的验证方法 | |
| CN111859321A (zh) | 移动终端控制方法、装置、移动终端及可读存储介质 | |
| KR102269085B1 (ko) | 통합 식별 정보를 이용하여 복수의 프로그램에 로그인을 수행하는 전자 장치의 동작 방법 | |
| US20220103350A1 (en) | Electronic device for selecting key to be used for encryption on basis of amount of information of data to be encrypted, and operation method of electronic device | |
| TWM580206U (zh) | System for identifying identity through device identification by device identification data | |
| CN105405010B (zh) | 交易装置、使用其的交易系统与交易方法 | |
| CN115208611A (zh) | 身份认证方法、装置、计算机设备、存储介质和程序产品 | |
| US12613949B2 (en) | System and method to enhance pin security by adding hidden factors | |
| KR20150114358A (ko) | 카드 접촉을 통한 사용자 인증 시스템 및 이의 실행 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20241016 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20250603 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20250616 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7709663 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |