複数認証エージェントで利用可能な単一ワンタイムパスワード方式の安全性評価

摘要

一般のワンタイムパスワード認証方式ではクライアント·サーバモデルのような一対一の関係を基に設計されている．認証を伴うサービスを携帯電話のような情報端末を一つだけ使って利用する場合には，サービスごとにユーザが秘密情報を保管しておくか，ユーザ情報を格納しておく認証サーバを導入してそのサーバにサービス提供者である検証者が問い合わせに行く方法が考えられる．いずれにしても，従来のワンタイムパスワード認証方式を使うとユーザの利便性あるいは検証者の負荷やネットワークの利用効率が悪いという問題がある．そこで本稿では，複数の検証者（認証エージェント）に対してユーザが単一のワンタイムパスワードを使ってアクセス可能な方式を提案している．また提案方式がMan-In-the-Middle attack，Replay attack，Denial-of-Service attackなどの既知の攻撃に対して安全であること，認証エージェント間の不正行為に対して安全であることを示している．