Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7709663B2 - 認証要件設定装置、認証要件設定方法、及びプログラム - Google Patents
[go: Go Back, main page]

JP7709663B2 - 認証要件設定装置、認証要件設定方法、及びプログラム - Google Patents

認証要件設定装置、認証要件設定方法、及びプログラム

Info

Publication number
JP7709663B2
JP7709663B2 JP2024526169A JP2024526169A JP7709663B2 JP 7709663 B2 JP7709663 B2 JP 7709663B2 JP 2024526169 A JP2024526169 A JP 2024526169A JP 2024526169 A JP2024526169 A JP 2024526169A JP 7709663 B2 JP7709663 B2 JP 7709663B2
Authority
JP
Japan
Prior art keywords
authentication
entropy
requirement setting
authentication requirement
setting device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2024526169A
Other languages
English (en)
Other versions
JPWO2023238343A1 (ja
Inventor
明夫 向山
哲之 森田
彰 永井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2023238343A1 publication Critical patent/JPWO2023238343A1/ja
Application granted granted Critical
Publication of JP7709663B2 publication Critical patent/JP7709663B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

本開示は、複数の認証方式を組み合わせて、ユーザの認証における負担を低減する技術に関する。
金融機関をはじめとした多くのネットワークサービスで、多要素認証が使われている。複数の要素(知識情報、所持情報、生体情報)を組合わせて認証する多要素認証を導入することで、サービスのセキュリティを向上させることができる(非特許文献1参照)。
Multi-factor authentication, Wikipedia (https://en.wikipedia.org/wiki/Multi-factor_authentication)
しかし、従来の技術では、単一要素の認証に比べて、複数の要素を入力する手間が掛かるため、ユーザの負担が大きくなるという問題があった。
本発明は、上記の点に鑑みてなされたものであって、多要素認証を必要とする場合であっても、認証における安全性を担保しつつ、認証に必要とされるユーザの負担を軽減することを目的とする。
上記課題を解決するため、請求項1に係る発明は、複数の認証方式を組み合わせた場合の認証要件を設定する認証要件設定装置であって、認証方式の選択を受け付ける選択受付部と、受け付けられた前記認証方式のエントロピーを算出するエントロピー算出部と、閾値と、算出された前記エントロピーとの差分に基づいて、所定の安全性を満たす認証要件を設定する認証要件設定部と、設定された前記認証要件を出力する出力部と、を有する認証要件設定装置である。
以上説明したように本発明によれば、多要素認証を必要とする場合であっても、認証における安全性を担保しつつ、認証に必要なユーザの負担を軽減することができるという効果を奏する。
本実施形態に係る通信システムの全体構成図である。 本実施形態に係る認証要件設定装置の電気的なハードウェア構成図である。 認証要件設定装置の機能構成図である。 認証要件設定装置が実行する処理又は動作を示すフローチャートである。
以下、図面に基づいて本発明の実施形態を説明する。
〔実施形態のシステム構成〕
まず、図1を用いて、本実施形態の通信システムの全体構成略について説明する。図1は、本実施形態に係る通信システムの全体構成図である。
図1に示されているように、本実施形態の通信システム1は、認証要件設定装置3、及び通信端末5によって構築されている。
認証要件設定装置3は、単数又は複数のコンピュータによって構成されている。認証要件設定装置3が複数のコンピュータによって構成されている場合には、「認証要件設定装置」と示しても良いし、「認証要件設定システム」と示しても良い。
認証要件設定装置3は、多要素認証に必要な複数の認証方式(知識情報、所持情報、又は生体情報による認証方式)のうちの少なくとも2つの認証方式を組み合わせた場合の認証要件を設定する。知識情報は、例えば、パスワード、PIN(Personal Identification Number)コード、秘密の質問(ペットの名前等)等である。所持情報は、例えば、携帯電話、ハードウェアトークン、IC(Integrated Circuit)カード等である。生体情報は、指認証、虹彩認証、音声認証等である。認証方式の組合せ方は、例えば、同じ生体情報に分類される指認証及び虹彩認証であっても良い。また、設定される認証要件は、国等が推奨する所定の安全性を確保するためのパスワードの桁数等である。
通信端末5は、図1では、一例としてノート型パソコンが示されている。図1では、ユーザが、通信端末5を操作する。ユーザは、多要素認証に必要な複数の要素を入力する者である。
また、認証要件設定装置3と通信端末5は、インターネット等の通信ネットワーク100を介して通信することができる。通信ネットワーク100の接続形態は、無線又は有線のいずれでも良い。
〔ハードウェア構成〕
<認証要件設定装置のハードウェア構成>
次に、図2を用いて、認証要件設定装置3の電気的なハードウェア構成を説明する。図2は、認証要件設定装置の電気的なハードウェア構成図である。
認証要件設定装置3は、コンピュータとして、図2に示されているように、CPU(Central Processing Unit)301、ROM(Read Only Memory)302、RAM(Random Access Memory)303、SSD(Solid State Drive)304、外部機器接続I/F(Interface)305、ネットワークI/F306、メディアI/F309、及びバスライン310を備えている。
これらのうち、CPU301は、認証要件設定装置3全体の動作を制御する。ROM302は、IPL(Initial Program Loader)等のCPU301の駆動に用いられるプログラムを記憶する。RAM303は、CPU301のワークエリアとして使用される。
SSD304は、CPU301の制御に従って各種データの読み出し又は書き込みを行う。なお、SSD304の代わりに、HDD(Hard Disk Drive)を用いても良い。
外部機器接続I/F305は、各種の外部機器を接続するためのインターフェースである。この場合の外部機器は、ディスプレイ、スピーカ、キーボード、マウス、USB(Universal Serial Bus)メモリ、及びプリンタ等である。
ネットワークI/F306は、通信ネットワーク100を介してデータ通信をするためのインターフェースである。
メディアI/F309は、フラッシュメモリ等の記録メディア309mに対するデータの読み出し又は書き込み(記憶)を制御する。記録メディア309mには、DVD(Digital Versatile Disc)やBlu-ray Disc(登録商標)等も含まれる。
バスライン310は、図2に示されているCPU301等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
なお、通信端末5は、認証要件設定装置と同様のハードウェア構成であるため、その説明を省略する。
〔認証要件設定装置の機能構成〕
続いて、図3を用いて、本実施形態に係る認証要件設定装置3の機能構成について説明する。図3は、認証要件設定装置の機能構成図である。
図3に示すように、認証要件設定装置3は、選択受付部31、エントロピー算出部33、認証要件設定部35、及び出力部39を有する。これら各部は、プログラムに基づき図2のCPU301による命令によって実現される機能である。
選択受付部31は、通信端末5から送られた又は認証要件設定装置3に対して直接入力された、単数又は複数の認証方式の選択を受け付ける。
エントロピー算出部33は、選択受付部31によって受け付けられた認証方式のエントロピーを算出する。この場合のエントロピーは、認証に係るビット数を示す。これに関しては、後ほど詳細に説明する。選択受付部31によって複数の認証方式の選択が受け付けられた場合には、エントロピー算出部33は、複数の認証方式の合計のエントロピーを算出する。
認証要件設定部35は、閾値と、エントロピー算出部33によって算出されたエントロピーとの差分に基づいて、所定の安全性を満たす認証要件を設定する。具体的には、認証要件設定部35は、エントロピー算出部33によって算出されたエントロピーが閾値未満の場合には、差分に相当する認証要件を設定する。また、認証要件設定部は、エントロピー算出部33によって算出されたエントロピーが閾値以上の場合には、予め定められた所定の認証要件を設定する(例えば、必要なパスワードの桁数を4桁と設定する)。
出力部39は、認証要件設定部35によって設定された認証要件を示す設定結果の情報を、認証要件設定装置3から出力して通信端末5に送信する。
〔認証要件設定装置の処理又は動作〕
続いて、図4を用いて、認証要件設定装置3が実行する処理又は動作を説明する。図4は、認証要件設定装置が実行する処理又は動作を示すフローチャートである。
S11:選択受付部31は、通信端末5から送られた又は認証要件設定装置3に対して直接入力された、単数又は複数の認証方式の選択を受け付ける。複数の認証方式は、例えば、知識認証であるパスワード、所持情報であるICカードを使う認証、及び生体情報である指認証等である。また、複数の認証方式は、同じ生体情報において異なる認証方式(例えば、指認証、虹彩認証)であってもよい。
S12:エントロピー算出部33は、選択受付部31によって複数の認証方式の選択を受け付けたかを判断する。
S13:複数の認証方式の選択を受け付けた場合には(S12;YES)、エントロピー算出部33は、選択された複数の認証方式の各エントロピーの合計を算出する。
ここで、認証の全体のエントロピーの算出方法を定義する。本実施形態では、利用する認証方式のエントロピーをビット数で表し、以下の(式1)を用いて、認証全体のエントロピーをビット数で算出する。
認証の全体のエントロピー=各認証方式のエントロピー(ビット数)の和・・・(式1)
例えば、S11で、選択受付部31が2つの認証方式(指認証、虹彩認証)の選択を受け付けた場合、エントロピー算出部33は、以下のように計算する。
(認証方式1)指認証:エントロピー 「約24ビット」
他人許容率 0.00001% → エントロピー 1000万
指認証の他人許容率の例:参考文献1参照
<参考文献1>https://jpn.nec.com/biometrics/fingerprint/about.html
1000万 = (10^3)^2 × 10 ≒ (2^10)^2 × 2^4 = 2^20 × 2^4 = 2^24
(認証方式2)虹彩認証:エントロピー「約20ビット」
他人許容率 120万分の1 → エントロピー 120万
虹彩認証の他人許容率の例:参考文献2参照
<参考文献2> https://iris.pas-ta.io/about/
120万 ≒ (10^3)^2 ≒(2^10)^2 = 2^20
<2つの認証方式のエントロピー(ビット数)の和>
24ビット + 20ビット = 44ビット
S14:複数の認証方式の選択を受け付けていない場合には(S12;NO)、エントロピー算出部33は、選択された認証方式のエントロピーを算出する。
S15:認証要件設定部35は、上記S13又はS14でエントロピー算出部33によって算出されたエントロピーが閾値未満かを判断する。
例えば、所定の安全性(強度)を満たすための閾値は、予め72ビット(64の12乗をビット数で表したもの)として設定されている。知識認証の一例としてのパスワードが、64の12乗(文字64種類(a~z・A~Z・0~9・+-)、12文字)とすると、64の12乗 = 64^12 = (2^6)^12 = 2^72である。
<閾値72ビットを満たすために必要な残りのビット数>
72(閾値) - 44(S13の算出結果) = 28(ビット)
この場合、閾値72ビットより28ビット低いため、閾値未満である。
S16:エントロピーが閾値未満の場合には(S15;YES)、認証要件設定部35は、閾値とエントロピーの差分に基づいて、最低限必要な認証要件を設定する。
例えば、上記の例の場合、ユーザのパスワードは28ビット以上であれば良い。
28ビット = 2^28 = (2^6)^4 × 2^4
により、パスワード桁数(文字、記号の数)だと、4~5桁に相当する。
よって、認証要件設定部35は、安全性を担保するための最低限必要な認証要件として、パスワードの桁数「5」と設定する。なお、ここでは、認証要件設定部35は、認証要件としてパスワードの桁数を設定したが、他の知識情報であってもよいし、所持情報又は生体情報であってもよい。また、ここでは、認証要件設定部35が、認証要件の認証方式(知識情報)を設定したが、S11においてユーザが認証要件の認証方式を選択してもよい。
S17:エントロピーが閾値未満でない場合(閾値以上の場合)には(S15;NO)、認証要件設定部35は、予め定められた所定の認証要件を設定する。
S18:出力部39は、認証要件設定部35によって設定された認証要件を示す設定結果の情報を、認証要件設定装置3から出力して通信端末5に送信する。
以上により、認証要件設定装置の処理又は動作の説明が終了する。
〔実施形態の効果〕
以上説明したように本実施形態によれば、ユーザが入力するパスワードとともに生体認証など複数の認証方式を利用する際には、認証方式が持つエントロピー(複雑さ)の分だけパスワードの文字数等の認証要件を減らすことで、認証における安全性を担保しつつ、認証に必要とされるユーザの負担を低減することができるという効果を奏する。
〔補足〕
本発明は上述の実施形態に限定されるものではなく、以下に示すような構成又は処理(動作)であってもよい。
(1)認証要件設定装置3はコンピュータとプログラムによっても実現できるが、このプログラムを(非一時的な)記録媒体に記録することも、通信ネットワーク100を介して提供することも可能である。
(2)上記実施形態では、通信端末5の一例としてノート型パソコンが示されているが、これに限るものではなく、例えば、デスクトップパソコン、タブレット端末、スマートフォン、スマートウォッチ、カーナビゲーション装置、冷蔵庫、電子レンジ等であってもよい。
(3)CPU301、単一だけでなく、複数であってもよい。
1 通信システム
3 認証要件設定装置
5 通信端末
31 選択受付部
33 エントロピー算出部
35 認証要件設定部
39 出力部

Claims (8)

  1. 複数の認証方式を組み合わせた場合の認証要件を設定する認証要件設定装置であって、
    認証方式の選択を受け付ける選択受付部と、
    受け付けられた前記認証方式のエントロピーを算出するエントロピー算出部と、
    閾値と、算出された前記エントロピーとの差分に基づいて、所定の安全性を満たす認証要件を設定する認証要件設定部と、
    設定された前記認証要件を出力する出力部と、
    を有する認証要件設定装置。
  2. 前記選択受付部によって複数の前記認証方式の選択が受け付けられた場合には、前記エントロピー算出部は、複数の前記認証方式の合計の前記エントロピーを算出し、
    前記認証要件設定部は、前記閾値と、算出された合計の前記エントロピーとの差分に基づいて、前記認証要件を設定する、
    請求項1に記載の認証要件設定装置。
  3. 前記認証要件設定部は、前記エントロピー算出部によって算出された前記エントロピーが前記閾値未満の場合には、前記差分に相当する前記認証要件を設定する、請求項1又は2に記載の認証要件設定装置。
  4. 前記認証要件設定部は、前記エントロピー算出部によって算出された前記エントロピーが前記閾値以上の場合には、予め定められた所定の認証要件を設定する、請求項1又は2に記載の認証要件設定装置。
  5. 前記エントロピーは、認証に係るビット数である、請求項1又は2に記載の認証要件設定装置。
  6. 前記認証要件設定部が設定する前記認証要件は、認証に必要なパスワードの桁数である、請求項1又は2に記載の認証要件設定装置。
  7. 複数の認証方式を組み合わせた場合の認証要件を設定する認証要件設定装置が実行する認証要件設定方法であって、
    前記認証要件設定装置は、
    認証方式の選択を受け付ける選択受付処理と、
    受け付けられた前記認証方式のエントロピーを算出するエントロピー算出処理と、
    閾値と、算出された前記エントロピーとの差分に基づいて、所定の安全性を満たす認証要件を設定する認証要件設定処理と、
    設定された前記認証要件を出力する出力処理と、
    を実行する認証要件設定方法。
  8. コンピュータに、請求項7に記載の方法を実行させるプログラム。
JP2024526169A 2022-06-09 2022-06-09 認証要件設定装置、認証要件設定方法、及びプログラム Active JP7709663B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2022/023347 WO2023238343A1 (ja) 2022-06-09 2022-06-09 認証要件設定装置、認証要件設定方法、及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2023238343A1 JPWO2023238343A1 (ja) 2023-12-14
JP7709663B2 true JP7709663B2 (ja) 2025-07-17

Family

ID=89117800

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2024526169A Active JP7709663B2 (ja) 2022-06-09 2022-06-09 認証要件設定装置、認証要件設定方法、及びプログラム

Country Status (2)

Country Link
JP (1) JP7709663B2 (ja)
WO (1) WO2023238343A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019023859A (ja) 2017-05-31 2019-02-14 コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド 自己適応型の安全な認証システム
US20200322330A1 (en) 2019-04-08 2020-10-08 Cisco Technology, Inc. Continuous multi-factor authentication system
JP2020173507A (ja) 2019-04-08 2020-10-22 富士ゼロックス株式会社 認証仲介装置及び認証仲介プログラム
JP2020181395A (ja) 2019-04-25 2020-11-05 株式会社内田洋行 コンテンツ利用者認証システム及びコンテンツ利用者認証方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019023859A (ja) 2017-05-31 2019-02-14 コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド 自己適応型の安全な認証システム
US20200322330A1 (en) 2019-04-08 2020-10-08 Cisco Technology, Inc. Continuous multi-factor authentication system
JP2020173507A (ja) 2019-04-08 2020-10-22 富士ゼロックス株式会社 認証仲介装置及び認証仲介プログラム
JP2020181395A (ja) 2019-04-25 2020-11-05 株式会社内田洋行 コンテンツ利用者認証システム及びコンテンツ利用者認証方法

Also Published As

Publication number Publication date
WO2023238343A1 (ja) 2023-12-14
JPWO2023238343A1 (ja) 2023-12-14

Similar Documents

Publication Publication Date Title
US10535068B2 (en) Smart card multi-factor authentication device
US9213931B1 (en) Matrix barcode enhancement through capture and use of neighboring environment image
JP4547447B2 (ja) パスワード認証装置およびパスワード認証方法
US8984599B2 (en) Real time password generation apparatus and method
EP4082165B1 (en) Secure authentication based on passport data stored in a contactless card
CN117836794A (zh) 用于近场非接触式卡通信和密码认证的系统和方法
US20250379752A1 (en) Systems and methods for contactless card communication and multi-device key pair cryptographic authentication
WO2020027959A1 (en) Methods and systems for facilitating a client-server communication using cyclic tokens
US20230025870A1 (en) Password authentication apparatus, password authentication method, and computer readable medium
CN105069365A (zh) 一种数据处理的方法及移动终端
CN105929974A (zh) 一种密码输入管理方法及移动终端
US20190370759A1 (en) Methods, devices, and systems for verifying digital tickets at a client
KR20130027313A (ko) 입력패턴을 이용한 인증 방법 및 시스템
EP4460060B1 (en) Systems and methods for cross coupling risk analytics and one-time-passcodes
TW202040385A (zh) 以裝置識別資料透過電信伺服器識別身份之系統及方法
JP7709663B2 (ja) 認証要件設定装置、認証要件設定方法、及びプログラム
CN104780162A (zh) 一种鉴权信息的验证方法
CN111859321A (zh) 移动终端控制方法、装置、移动终端及可读存储介质
KR102269085B1 (ko) 통합 식별 정보를 이용하여 복수의 프로그램에 로그인을 수행하는 전자 장치의 동작 방법
US20220103350A1 (en) Electronic device for selecting key to be used for encryption on basis of amount of information of data to be encrypted, and operation method of electronic device
TWM580206U (zh) System for identifying identity through device identification by device identification data
CN105405010B (zh) 交易装置、使用其的交易系统与交易方法
CN115208611A (zh) 身份认证方法、装置、计算机设备、存储介质和程序产品
US12613949B2 (en) System and method to enhance pin security by adding hidden factors
KR20150114358A (ko) 카드 접촉을 통한 사용자 인증 시스템 및 이의 실행 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20241016

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250603

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250616

R150 Certificate of patent or registration of utility model

Ref document number: 7709663

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150