[发明专利]收发系统、发送装置、接收装置、方法、计算机程序

说明书

提供安全性比使用了一般的一次性密码的技术更高的认证技术。客户端和服务器都具有在相同的条件下生成相同的解的功能。客户端生成20位的英文字母数字混合的第一个解(S1002)，生成根据某个规则而抽出解的一部分而得到的一部分解(S1003)，将一部分解与作为用户ID的识别信息一起发送到服务器(S1004)。服务器接收这些信息(S2001)，生成解(S2002)，生成一部分解(S2003)。如果由服务器生成的一部分解与从客户端发送来的一部分解一致，则认证为该客户端是合法的客户端。

技术领域

本发明涉及通信技术，更详细而言，涉及认证技术。

背景技术

例如，当在因特网上向存在于因特网上的店铺进行支付、通过网上银行看自己的账户的余额或者向第三方汇款等这样的情况下，进行这些动作的用户在自己的终端(客户端)与上述店铺等的服务器之间经由因特网进行通信。在该通信中当然需要消除第三方的冒充。

因此使用认证技术。

使用网上银行的情况下的用户的认证例如以如下方式执行。

在用户利用网上银行的服务的情况下，用户经由因特网将确定用户或者确定用户终端的信息即识别信息从用户操作的终端即用户终端发送到由银行设置并处于银行的管理下的服务器。未必限于此，该识别信息为银行侧设定的用户ID与用户侧设定的密码的组合。如果从用户终端发送到服务器的识别信息中的用户ID与密码的组合是如记录于服务器的记录介质那样的恰当的组合，则服务器将想要利用网上银行而发送来识别信息的该用户或者用户终端认证为合法的用户或者用户终端。

可是，如上所述的认证技术不限于以网上银行为目的而广泛普及，但在网上银行等应进一步提高认证的精度的领域逐渐已经成为古典的技术。这是因为在固定的用户ID与固定的密码的组合中，有可能被有恶意的第三方盗取这些组合。

为了降低这样的风险，银行采取如下对策：对用户催促定期地变更密码或者使不定期地变更密码的用户无法利用网上银行的服务等。然而，通过几个月一次程度的密码变更，已经难以消除由有恶意的第三方进行的冒充。

考虑这样的点，近年大幅普及的是使用一次性密码的认证技术。

一次性密码是临时地产生而使用的带期限的密码。用户使一次性密码产生。在使一次性密码产生时用户使用的是令牌。总之，是银行分发给各用户的令牌，但令牌大致分为具有实体的物理令牌、和安装于用户拥有的智能手机及其它终端而使该终端与物理令牌同样地发挥功能的软件令牌。可是，令牌通过由用户操作，生成临时(例如，从生成起1分钟)有效的一次性密码。当然，分发给各用户的令牌生成的一次性密码分别不同。

用户经由因特网将包括用户ID和一次性密码的识别信息从用户终端发送到服务器。

另一方面，服务器具有生成与由分发给各用户的令牌生成的一次性密码相同的一次性密码的功能。服务器能够生成与由分发给根据从用户终端发送来的识别信息所包含的用户ID确定的用户的令牌生成的密码相同的一次性密码，所以进行如下认证：进行由服务器生成的一次性密码是否与从用户终端发送来的一次性密码相同的判定，在两者一致的情况下发送来该一次性密码的用户终端甚至是用户为合法。

发明内容

使用上述一次性密码的认证提高了相应的效果，但即使如此，由具有恶意的第三方进行的冒充的事例仍不断出现。警察局公开的平成27年中的网上银行的非法汇款的金额超过30亿日元，这是仅以现在被警察局掌握的数据为对象的数据，如果还考虑到这仅是日本国内的数据，则不难想象使视野扩展到世界时的损失额是巨大的。

作为产生这样情况的理由之一，与将固定的用户ID和密码从用户终端发送到服务器的古典的技术的情况同样地，在使用一次性密码的技术中，也可以举出如下例子：每当用户利用网上银行的服务时，用户利用令牌生成的一次性密码与用户ID一起例如按照相同的路径从用户终端发送到服务器。