JP2003069560A - Authentication system, information terminal, subscriber identifier issuing device, public key registering device, authentication method, program, and storage medium - Google Patents
Authentication system, information terminal, subscriber identifier issuing device, public key registering device, authentication method, program, and storage mediumInfo
- Publication number
- JP2003069560A JP2003069560A JP2001253539A JP2001253539A JP2003069560A JP 2003069560 A JP2003069560 A JP 2003069560A JP 2001253539 A JP2001253539 A JP 2001253539A JP 2001253539 A JP2001253539 A JP 2001253539A JP 2003069560 A JP2003069560 A JP 2003069560A
- Authority
- JP
- Japan
- Prior art keywords
- public key
- subscriber
- information terminal
- subscriber identifier
- transmitting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、通信事業者の管理
する通信網に加入している加入者が、情報端末を用いて
通信網と接続したインターネット上のサービス提供装置
と通信を行う際の認証システムに関し、特に、加入者が
ブラウザ・フォンを用いてウェブ・サーバと通信を行う
際の認証システムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a subscriber who has subscribed to a communication network managed by a communication carrier and uses an information terminal to communicate with a service providing device on the Internet connected to the communication network. The present invention relates to an authentication system, and more particularly to an authentication system when a subscriber communicates with a web server using a browser phone.
【0002】[0002]
【従来の技術】通信事業者の管理・運用する通信網に加
入している加入者が、ブラウザ・フォン等の情報端末を
用いて、通信網と接続されたインターネット上のウェブ
・サーバ等へアクセスする場合、加入者の特定のために
種々の認証方法が用いられている。従来、この認証方法
には、ブラウザ・フォンの電話番号に紐付けされた加入
者ID(加入者識別子)とパスワードとが用いられてい
る。ブラウザ・フォンを用いる場合、加入者IDは通信
網上で簡易に取得することができ、さらにパスワードは
入力を簡略化するために4桁等の少数の桁の数字を用い
ている場合が多い。このためパスワードに対していわゆ
る総当り攻撃が行われパスワードが解読された状況を想
定すると、上述の認証方法ではなりすましの防止は極め
て困難であるという問題があった。虚偽の情報等を送信
したにもかかわず送信者が送信していないと主張する否
認攻撃に対しても、送信者の認証が困難であるため、上
述の認証方法では十分に否認攻撃を防止することができ
ない。さらに、パスワードはそのまま送信される場合が
多いため、送信途中で内容を盗聴される可能性が高いだ
けではなく、送信途中で改竄された場合であってもその
痕跡が残らない。このため、上述の認証方法では否認、
盗聴または改竄等の攻撃に対しても十分に防止すること
ができないという問題があった。2. Description of the Related Art A subscriber who subscribes to a communication network managed and operated by a communication carrier uses an information terminal such as a browser phone to access a web server or the like on the Internet connected to the communication network. If so, various authentication methods are used to identify the subscriber. Conventionally, a subscriber ID (subscriber identifier) and a password associated with a telephone number of a browser phone are used in this authentication method. When a browser phone is used, the subscriber ID can be easily obtained on the communication network, and the password often uses a small number of digits such as 4 digits in order to simplify the input. Therefore, assuming a situation in which a so-called brute force attack is performed on the password and the password is decrypted, there is a problem that it is extremely difficult to prevent spoofing by the above authentication method. Even for denial attacks that claim that the sender has not sent it despite sending false information, it is difficult to authenticate the sender, so the above authentication method sufficiently prevents denial attacks. I can't. Further, since the password is often transmitted as it is, not only is there a high possibility that the content will be eavesdropped during transmission, but even if it has been tampered with during transmission, no trace will remain. Therefore, in the above authentication method, denial,
There is a problem that it is not possible to sufficiently prevent attacks such as wiretapping or tampering.
【0003】上述の問題に対して、公開鍵基盤(Public
Key Infrastructure : PKI)が有力な対処方法であ
ると言われている。PKIは、暗号鍵または電子証明書
の生成と管理とを行うシステム全体の環境を示すもので
ある。PKIが実装されている例として、トランスポー
ト層でTCP/IP通信のセキュリティを確保するため
のプロトコルであるSSL(Secure Sockets Layer)が
知られている。SSLは、公開鍵を利用した暗号化と、
クライアントによるサーバの認証、すなわちサーバ側の
電子証明書(以下、「サーバ証明書」という)の確認を
行うサーバ認証とが行われている。In order to solve the above problems, public key infrastructure (Public
Key Infrastructure: PKI) is said to be an effective coping method. The PKI indicates the environment of the entire system that generates and manages the encryption key or the electronic certificate. As an example in which PKI is implemented, SSL (Secure Sockets Layer), which is a protocol for ensuring the security of TCP / IP communication at the transport layer, is known. SSL is an encryption method using a public key,
Authentication of a server by a client, that is, server authentication for confirming an electronic certificate on the server side (hereinafter referred to as "server certificate") is performed.
【0004】[0004]
【発明が解決しようとする課題】しかし、PKIはその
システム構築が困難である上に運用も複雑であるため、
上述のような限られた機能、例えば送信内容の暗号化ま
たはサーバ認証のみの機能しか運用されていないという
のが実情である。利用されている分野も限られており、
例えば企業内における利用が行われているにすぎない。
システム構築が困難等である理由は、サーバ証明書のよ
うに数が相対的に少なく比較的発行が容易な証明書と比
べ、クライアント側の電子証明書(以下、「クライアン
ト証明書」という)は対象となる情報端末の数が膨大で
あるため、クライアント証明書の登録、発行および検証
が極めて困難であることに起因している。因みに、ブラ
ウザ・フォンの数は数百万台以上であるとも言われてい
る。上述のSSLにおいてもサーバによるクライアント
の認証、すなわちクライアント証明書の確認を行うクラ
イアント認証は実際には行われていないという問題があ
った。However, since the system construction of PKI is difficult and its operation is complicated,
The actual situation is that only the limited functions as described above, for example, the functions of encrypting the transmission contents or only the server authentication are operated. The fields used are limited,
For example, it is only used within a company.
The reason why system construction is difficult is that the digital certificate on the client side (hereinafter referred to as "client certificate") is much smaller than the certificates that are relatively few and relatively easy to issue, such as server certificates. This is because it is extremely difficult to register, issue, and verify the client certificate because the number of target information terminals is huge. By the way, it is said that the number of browser phones is more than several million. Also in the above-mentioned SSL, there is a problem that the server authentication, that is, the client authentication for confirming the client certificate is not actually performed.
【0005】そこで、本発明の目的は、上記問題を解決
するためになされたものであり、PKIと同等のセキュ
リティをPKIと比較して簡易に確保することができる
認証システムおよび認証方法等を提供することにある。Therefore, an object of the present invention is to solve the above problems, and to provide an authentication system, an authentication method and the like that can easily secure security equivalent to PKI as compared with PKI. To do.
【0006】[0006]
【課題を解決するための手段】この発明の認証システム
は、通信網の加入者側の情報端末、該加入者を識別する
加入者識別子を発行する加入者識別子発行装置および該
加入者の公開鍵を登録する公開鍵登録装置が該通信網を
介して接続された認証システムであって、前記情報端末
は、該情報端末の公開鍵と秘密鍵とを生成する鍵生成手
段と、前記鍵生成手段により生成された公開鍵を加入者
識別子発行装置へ送信する公開鍵送信手段とを備え、該
通信網が接続したインターネットを介して加入者識別子
に基づく認証を外部と行うものであり、前記加入者識別
子発行装置は、前記公開鍵送信手段により公開鍵を送信
した情報端末の電話番号の認証を行う電話番号認証手段
と、前記電話番号認証手段により電話番号が認証された
情報端末について、該電話番号に基づき加入者識別子を
発行する加入者識別子発行手段と、前記電話番号認証手
段により電話番号が認証された情報端末の公開鍵と前記
加入者識別子発行手段により発行された加入者識別子と
を含む加入者公開鍵情報を公開鍵登録装置へ送信する加
入者公開鍵情報送信手段とを備え、前記加入者識別子発
行手段により発行された加入者識別子を情報端末側へ送
信するものであり、前記公開鍵登録装置は、前記加入者
公開鍵情報送信手段により送信された加入者公開鍵情報
を登録する加入者公開鍵情報登録手段を備えたことを特
徴とする。An authentication system of the present invention is an information terminal on the subscriber side of a communication network, a subscriber identifier issuing device for issuing a subscriber identifier for identifying the subscriber, and a public key of the subscriber. In the authentication system, a public key registration device for registering the information terminal is connected via the communication network, wherein the information terminal generates a public key and a secret key of the information terminal, and the key generation means. Public key transmission means for transmitting the public key generated by the above to a subscriber identifier issuing device, and performing authentication based on the subscriber identifier via the Internet connected to the communication network to the outside. The identifier issuing device relates to a telephone number authenticating unit that authenticates the telephone number of the information terminal that has transmitted the public key by the public key transmitting unit, and an information terminal whose telephone number has been authenticated by the telephone number authenticating unit. A subscriber identifier issuing means for issuing a subscriber identifier based on the telephone number, a public key of the information terminal whose telephone number is authenticated by the telephone number authenticating means, and a subscriber identifier issued by the subscriber identifier issuing means. A subscriber public key information transmitting means for transmitting the subscriber public key information including the subscriber public key information to the public key registration device, and transmitting the subscriber identifier issued by the subscriber identifier issuing means to the information terminal side, The public key registration device includes subscriber public key information registration means for registering the subscriber public key information transmitted by the subscriber public key information transmission means.
【0007】ここで、この発明の認証システムにおい
て、通信網が接続したインターネット上のウェブ・サー
バをさらに備え、前記情報端末は、加入者識別子発行装
置から送信された加入者識別子を記録した加入者識別子
記録部と、前記鍵生成手段により生成された秘密鍵を記
録した秘密鍵記録部と、前記加入者識別子記録部に記録
された加入者識別子を、前記ウェブ・サーバ側へ送信す
る手段と、前記ウェブ・サーバ側から送信された所定の
符号を前記秘密鍵記録部に記録された秘密鍵で暗号化
し、該暗号化された符号を該ウェブ・サーバ側へ送信す
る暗号化符号送信手段とをさらに備え、前記公開鍵登録
装置は、前記加入者公開鍵情報登録手段により登録され
た加入者公開鍵情報がインターネット上に公開可能に記
録された加入者公開鍵情報記録部をさらに備え、前記ウ
ェブ・サーバ側から送信された加入者識別子に対応する
公開鍵を前記加入者公開鍵情報記録部から得て該ウェブ
・サーバ側へ送信することができる。Here, in the authentication system of the present invention, a web server on the Internet to which a communication network is connected is further provided, and the information terminal is a subscriber who records the subscriber identifier transmitted from the subscriber identifier issuing device. An identifier recording unit, a secret key recording unit that records the secret key generated by the key generating unit, and a unit that transmits the subscriber identifier recorded in the subscriber identifier recording unit to the web server side, Encryption code transmitting means for encrypting a predetermined code transmitted from the web server side with the secret key recorded in the secret key recording section, and transmitting the encrypted code to the web server side. Further, the public key registration device is a subscriber public key in which the subscriber public key information registered by the subscriber public key information registration means is publicly recorded on the Internet. Further comprising a broadcast recording portion, wherein it is possible to send a public key corresponding to the subscriber identifier transmitted from the web server side from the subscriber public key information recording unit to the web server.
【0008】ここで、この発明の認証システムにおい
て、前記ウェブ・サーバは、情報端末側から送信された
加入者識別子を前記公開鍵登録装置へ送信する手段と、
所定の符号を生成し、該符号を該情報端末側へ送信する
符号送信手段と、情報端末側から前記暗号化符号送信手
段により送信された暗号化された符号を、前記公開鍵登
録装置側から送信された該情報端末の公開鍵で復号化す
る復号化手段とを備え、前記符号送信手段により該情報
端末側へ送信された符号と前記復号化手段により復号化
された符号とが等しい場合、該情報端末側の確認を行う
ことができる。[0008] Here, in the authentication system of the present invention, the web server transmits to the public key registration device the subscriber identifier transmitted from the information terminal side,
From the public key registration device side, a code transmitting means for generating a predetermined code and transmitting the code to the information terminal side, and the encrypted code transmitted from the information terminal side by the encryption code transmitting means. Decoding means for decoding with the transmitted public key of the information terminal, wherein the code transmitted to the information terminal side by the code transmitting means is equal to the code decoded by the decoding means, The information terminal side can be confirmed.
【0009】ここで、この発明の認証システムにおい
て、前記鍵生成手段は、情報端末固有の端末識別子と所
定の乱数とに基づいて公開鍵および秘密鍵を生成するこ
とができる。Here, in the authentication system of the present invention, the key generation means can generate a public key and a secret key based on a terminal identifier unique to the information terminal and a predetermined random number.
【0010】ここで、この発明の認証システムにおい
て、情報端末の公開鍵と秘密鍵とを生成し、該生成され
た公開鍵と秘密鍵とを情報端末へ送信する、通信網に接
続された鍵生成装置をさらに備え、前記情報端末の公開
鍵送信手段は、前記鍵生成装置により送信された公開鍵
を加入者識別子発行装置へ送信することができる。Here, in the authentication system of the present invention, a key connected to a communication network for generating a public key and a secret key of the information terminal and transmitting the generated public key and secret key to the information terminal. The public key transmission means of the information terminal may further include a generation device, and may transmit the public key transmitted by the key generation device to the subscriber identifier issuing device.
【0011】ここで、この発明の記載の認証システムに
おいて、情報端末の公開鍵と秘密鍵とを生成し、該生成
された公開鍵と秘密鍵とを所定の記録媒体へ記録する鍵
記録装置をさらに備え、前記情報端末の公開鍵送信手段
は、前記鍵記録装置により所定の記録媒体へ記録された
公開鍵を読取り、該公開鍵を加入者識別子発行装置へ送
信することができる。Here, in the authentication system according to the present invention, there is provided a key recording device for generating a public key and a secret key of the information terminal and recording the generated public key and the secret key in a predetermined recording medium. Further, the public key transmitting means of the information terminal can read the public key recorded in the predetermined recording medium by the key recording device and transmit the public key to the subscriber identifier issuing device.
【0012】ここで、この発明の認証システムにおい
て、前記加入者識別子発行手段が発行する加入者識別子
は、情報端末をインターネット上で特定可能かつ公開可
能な識別子とすることができる。Here, in the authentication system of the present invention, the subscriber identifier issued by the subscriber identifier issuing means may be an identifier capable of identifying and disclosing the information terminal on the Internet.
【0013】この発明の情報端末は、通信網の加入者を
識別する加入者識別子を発行する加入者識別子発行装置
および該加入者の公開鍵を登録する公開鍵登録装置が該
通信網を介して接続された認証システムにおける該通信
網の加入者側の情報端末であって、該加入者識別子は該
情報端末の電話番号に基づくものであり、該情報端末の
公開鍵と秘密鍵とを生成する鍵生成手段と、前記鍵生成
手段により生成された公開鍵を加入者識別子発行装置へ
送信する公開鍵送信手段とを備え、該通信網が接続した
インターネットを介して加入者識別子に基づく認証を外
部と行うことを特徴とする。In the information terminal of the present invention, a subscriber identifier issuing device for issuing a subscriber identifier for identifying a subscriber of the communication network and a public key registration device for registering the public key of the subscriber are provided via the communication network. An information terminal on the subscriber side of the communication network in the connected authentication system, wherein the subscriber identifier is based on the telephone number of the information terminal and generates a public key and a secret key of the information terminal. The key generation means and the public key transmission means for transmitting the public key generated by the key generation means to the subscriber identifier issuing device are provided, and authentication based on the subscriber identifier is performed externally via the Internet to which the communication network is connected. It is characterized by performing with.
【0014】ここで、この発明の情報端末において、加
入者識別子発行装置から送信された加入者識別子を記録
した加入者識別子記録部と、前記鍵生成手段により生成
された秘密鍵を記録した秘密鍵記録部と、前記加入者識
別子記録部に記録された加入者識別子を、通信網が接続
したインターネット上のウェブ・サーバ側へ送信する手
段と、前記ウェブ・サーバ側から送信された所定の符号
を前記秘密鍵記録部に記録された秘密鍵で暗号化し、該
暗号化された符号を該ウェブ・サーバ側へ送信する暗号
化符号送信手段とをさらに備えることができる。Here, in the information terminal of the present invention, a subscriber identifier recording section recording the subscriber identifier transmitted from the subscriber identifier issuing device, and a secret key recording the secret key generated by the key generating means. A recording unit, a means for transmitting the subscriber identifier recorded in the subscriber identifier recording unit to the web server side on the Internet connected to the communication network, and a predetermined code transmitted from the web server side. An encryption code transmission means for encrypting with the secret key recorded in the secret key recording unit and transmitting the encrypted code to the web server side can be further provided.
【0015】この発明の加入者識別子発行装置は、通信
網の加入者側の情報端末および該加入者の公開鍵を登録
する公開鍵登録装置が該通信網を介して接続された認証
システムにおける加入者の識別子を発行する加入者識別
子発行装置であって、公開鍵を送信した情報端末の電話
番号の認証を行う電話番号認証手段と、前記電話番号認
証手段により電話番号が認証された情報端末について、
該電話番号に基づき加入者識別子を発行する加入者識別
子発行手段と、前記電話番号認証手段により電話番号が
認証された情報端末の公開鍵と前記加入者識別子発行手
段により発行された加入者識別子とを含む加入者公開鍵
情報を公開鍵登録装置へ送信する加入者公開鍵情報送信
手段とを備え、前記加入者識別子発行手段により発行さ
れた加入者識別子を情報端末側へ送信することを特徴と
する。The subscriber identifier issuing device of the present invention is a subscriber in an authentication system in which an information terminal on the subscriber side of a communication network and a public key registration device for registering the public key of the subscriber are connected via the communication network. A subscriber identifier issuing device for issuing a person identifier, which is a telephone number authenticating means for authenticating a telephone number of an information terminal which has transmitted a public key, and an information terminal whose telephone number is authenticated by the telephone number authenticating means. ,
A subscriber identifier issuing means for issuing a subscriber identifier based on the telephone number, a public key of the information terminal whose telephone number is authenticated by the telephone number authenticating means, and a subscriber identifier issued by the subscriber identifier issuing means. And a subscriber public key information transmitting means for transmitting subscriber public key information including the subscriber public key information to the public key registration device, and transmitting the subscriber identifier issued by the subscriber identifier issuing means to the information terminal side. To do.
【0016】この発明の公開鍵登録装置は、通信網の加
入者側の情報端末および該加入者を識別する加入者識別
子を発行する加入者識別子発行装置が該通信網を介して
接続された認証システムにおける加入者の公開鍵を登録
する公開鍵登録装置であって、加入者識別子発行装置か
ら送信された電話番号が認証された情報端末の公開鍵と
加入者識別子とを含む加入者公開鍵情報を登録する加入
者公開鍵情報登録手段と、前記加入者公開鍵情報登録手
段により登録された加入者公開鍵情報がインターネット
上に公開可能に記録された加入者公開鍵情報記録部とを
備え、該通信網が接続したインターネット上のウェブ・
サーバ側から送信された加入者識別子に対応する公開鍵
を前記加入者公開鍵情報記録部から得て該ウェブ・サー
バ側へ送信することを特徴とする。The public key registration device of the present invention is an authentication system in which an information terminal on the subscriber side of a communication network and a subscriber identifier issuing device for issuing a subscriber identifier for identifying the subscriber are connected via the communication network. A public key registration device for registering a public key of a subscriber in the system, wherein subscriber public key information includes a public key and a subscriber identifier of an information terminal whose telephone number transmitted from a subscriber identifier issuing device has been authenticated. A subscriber public key information registration means, and a subscriber public key information recording section in which the subscriber public key information registered by the subscriber public key information registration means is publicly recorded on the Internet, Web on the Internet to which the communication network is connected
The public key corresponding to the subscriber identifier transmitted from the server side is obtained from the subscriber public key information recording unit and transmitted to the web server side.
【0017】この発明の認証方法は、通信網の加入者側
の情報端末、該加入者を識別する加入者識別子を発行す
る加入者識別子発行装置および該加入者の公開鍵を登録
する公開鍵登録装置が該通信網を介して接続されたシス
テムにおける認証方法であって、情報端末の公開鍵と秘
密鍵とを生成する鍵生成ステップと、前記鍵生成ステッ
プにより生成された公開鍵を情報端末から加入者識別子
発行装置へ送信する公開鍵送信ステップと、前記公開鍵
送信ステップにより公開鍵を送信した情報端末の電話番
号の認証を加入者識別子発行装置が行う電話番号認証ス
テップと、前記電話番号認証ステップにより電話番号が
認証された情報端末について、該電話番号に基づき加入
者識別子発行装置が加入者識別子を発行する加入者識別
子発行ステップと、前記電話番号認証ステップにより電
話番号が認証された情報端末の公開鍵と前記加入者識別
子発行ステップにより発行された加入者識別子とを含む
加入者公開鍵情報を加入者識別子発行装置から公開鍵登
録装置へ送信する加入者公開鍵情報送信ステップと、前
記加入者公開鍵情報送信ステップにより公開鍵登録装置
へ送信された加入者公開鍵情報を加入者公開鍵情報登録
部へ登録する加入者公開鍵情報登録ステップと、前記加
入者識別子発行ステップにより発行された加入者識別子
を加入者識別子発行装置から情報端末側へ送信する加入
者識別子送信ステップと、該通信網が接続したインター
ネットを介して、情報端末が前記加入者識別子送信ステ
ップにより送信された加入者識別子に基づく認証を外部
と行う認証ステップとを備えたことを特徴とする。The authentication method of the present invention is an information terminal on the subscriber side of a communication network, a subscriber identifier issuing device for issuing a subscriber identifier for identifying the subscriber, and a public key registration for registering the public key of the subscriber. An authentication method in a system in which an apparatus is connected via the communication network, comprising: a key generation step of generating a public key and a secret key of an information terminal; and a public key generated by the key generation step from the information terminal. A public key transmitting step for transmitting to the subscriber identifier issuing device; a telephone number authenticating step for the subscriber identifier issuing device to authenticate the telephone number of the information terminal that has transmitted the public key in the public key transmitting step; A subscriber identifier issuing step in which the subscriber identifier issuing device issues a subscriber identifier based on the telephone number of the information terminal whose telephone number has been authenticated by the step; From the subscriber identifier issuing device to the public key registration device, subscriber public key information including the public key of the information terminal whose telephone number has been authenticated in the telephone number authenticating step and the subscriber identifier issued in the subscriber identifier issuing step. And the subscriber public key information transmitted to the public key registration device in the subscriber public key information transmission step, is registered in the subscriber public key information registration section. A registration step, a subscriber identifier transmitting step of transmitting the subscriber identifier issued by the subscriber identifier issuing step from the subscriber identifier issuing device to the information terminal side, and an information terminal via the Internet connected to the communication network. And an authentication step of externally performing authentication based on the subscriber identifier transmitted by the subscriber identifier transmitting step. And it features.
【0018】ここで、この発明の認証方法において、前
記認証ステップは、前記加入者識別子送信ステップによ
り送信された加入者識別子を、情報端末から通信網が接
続したインターネット上のウェブ・サーバへ送信する情
報端末側加入者識別子送信ステップと、前記情報端末側
加入者識別子送信ステップにより送信された加入者識別
子を、ウェブ・サーバから前記公開鍵登録装置へ送信す
るウェブ・サーバ側加入者識別子送信ステップと、前記
ウェブ・サーバ側加入者識別子送信ステップにより送信
された加入者識別子に対応する公開鍵を、加入者公開鍵
情報登録部から得て公開鍵登録装置からウェブ・サーバ
へ送信する公開鍵登録装置側送信ステップと、生成され
た所定の符号をウェブ・サーバから情報端末へ送信する
符号送信ステップと、前記符号送信ステップにより送信
された所定の符号を前記鍵生成ステップにより生成され
た秘密鍵で暗号化し、該暗号化された符号をウェブ・サ
ーバへ送信する暗号化符号送信ステップと、前記暗号化
符号送信ステップによりウェブ・サーバへ送信された暗
号化された符号を、公開鍵登録装置からウェブ・サーバ
へ送信された情報端末の公開鍵で復号化する復号化ステ
ップと、前記符号送信ステップにより情報端末へ送信さ
れた符号と前記復号化ステップにより復号化された符号
とが等しい場合、該情報端末の確認を行うステップとを
備えることができる。Here, in the authentication method of the present invention, in the authentication step, the subscriber identifier transmitted in the subscriber identifier transmission step is transmitted from the information terminal to a web server on the Internet to which a communication network is connected. An information terminal side subscriber identifier transmitting step, and a web server side subscriber identifier transmitting step of transmitting the subscriber identifier transmitted by the information terminal side subscriber identifier transmitting step from a web server to the public key registration device. A public key registration device for obtaining a public key corresponding to the subscriber identifier transmitted in the web server side subscriber identifier transmission step from the subscriber public key information registration unit and transmitting the public key from the public key registration device to the web server Side transmitting step and a code transmitting step of transmitting the generated predetermined code from the web server to the information terminal An encryption code transmission step of encrypting the predetermined code transmitted in the code transmission step with the secret key generated in the key generation step, and transmitting the encrypted code to a web server; A decoding step of decoding the encrypted code transmitted to the web server by the code transmission step with the public key of the information terminal transmitted from the public key registration device to the web server; and the information transmission by the code transmission step. If the code transmitted to the terminal is equal to the code decoded in the decoding step, the step of confirming the information terminal can be provided.
【0019】この発明のプログラムは、コンピュータ
を、通信網の加入者を識別する加入者識別子を発行する
加入者識別子発行装置および該加入者の公開鍵を登録す
る公開鍵登録装置が該通信網を介して接続された認証シ
ステムにおける該通信網の加入者側の情報端末であっ
て、該加入者識別子は該情報端末の電話番号に基づくも
のである情報端末で、該情報端末の公開鍵と秘密鍵とを
生成する鍵生成手段、前記鍵生成手段により生成された
公開鍵を加入者識別子発行装置へ送信する公開鍵送信手
段、該通信網が接続したインターネットを介して加入者
識別子に基づく認証を外部と行う手段として機能させる
ためのプログラムである。According to the program of the present invention, a computer is configured such that a subscriber identifier issuing device for issuing a subscriber identifier for identifying a subscriber of a communication network and a public key registration device for registering the public key of the subscriber are connected to the communication network. An information terminal on the subscriber side of the communication network in the authentication system connected via the information terminal, the subscriber identifier being based on the telephone number of the information terminal, the public key and secret of the information terminal. Key generating means for generating a key, public key transmitting means for transmitting the public key generated by the key generating means to the subscriber identifier issuing device, and authentication based on the subscriber identifier via the Internet connected to the communication network. It is a program that causes it to function as a means to communicate with the outside.
【0020】ここで、この発明のプログラムにおいて、
加入者識別子発行装置から送信された加入者識別子を記
録した加入者識別子記録部と、前記鍵生成手段により生
成された秘密鍵を記録した秘密鍵記録部と、前記加入者
識別子記録部に記録された加入者識別子を、通信網が接
続したインターネット上のウェブ・サーバ側へ送信する
手段と、前記ウェブ・サーバ側から送信された所定の符
号を前記秘密鍵記録部に記録された秘密鍵で暗号化し、
該暗号化された符号を該ウェブ・サーバ側へ送信する暗
号化符号送信手段とをさらに備えることができる。Here, in the program of the present invention,
The subscriber identifier recording unit records the subscriber identifier transmitted from the subscriber identifier issuing device, the secret key recording unit records the secret key generated by the key generating means, and the subscriber identifier recording unit records the secret key. Means for transmitting the subscriber identifier to the web server on the Internet to which the communication network is connected, and a predetermined code transmitted from the web server side is encrypted with the secret key recorded in the secret key recording unit. Turned into
It can further comprise an encrypted code transmitting means for transmitting the encrypted code to the web server side.
【0021】この発明のプログラムは、コンピュータ
を、通信網の加入者側の情報端末および該加入者の公開
鍵を登録する公開鍵登録装置が該通信網を介して接続さ
れた認証システムにおける加入者の識別子を発行する加
入者識別子発行装置で、公開鍵を送信した情報端末の電
話番号の認証を行う電話番号認証手段、前記電話番号認
証手段により電話番号が認証された情報端末について、
該電話番号に基づき加入者識別子を発行する加入者識別
子発行手段、前記電話番号認証手段により電話番号が認
証された情報端末の公開鍵と前記加入者識別子発行手段
により発行された加入者識別子とを含む加入者公開鍵情
報を公開鍵登録装置へ送信する加入者公開鍵情報送信手
段、前記加入者識別子発行手段により発行された加入者
識別子を情報端末側へ送信する手段として機能させるた
めのプログラムである。The program of the present invention is a subscriber in an authentication system in which a computer is connected to an information terminal on the subscriber side of a communication network and a public key registration device for registering the public key of the subscriber via the communication network. In the subscriber identifier issuing device for issuing the identifier of, the telephone number authenticating means for authenticating the telephone number of the information terminal that has transmitted the public key, the information terminal whose telephone number is authenticated by the telephone number authenticating means,
A subscriber identifier issuing means for issuing a subscriber identifier based on the telephone number, a public key of the information terminal whose telephone number is authenticated by the telephone number authenticating means, and a subscriber identifier issued by the subscriber identifier issuing means. A program for functioning as subscriber public key information transmitting means for transmitting the subscriber public key information including the subscriber public key information to the public key registration device, and means for transmitting the subscriber identifier issued by the subscriber identifier issuing means to the information terminal side. is there.
【0022】この発明のプログラムは、コンピュータ
を、通信網の加入者側の情報端末および該加入者を識別
する加入者識別子を発行する加入者識別子発行装置が該
通信網を介して接続された認証システムにおける加入者
の公開鍵を登録する公開鍵登録装置で、加入者識別子発
行装置から送信された電話番号が認証された情報端末の
公開鍵と加入者識別子とを含む加入者公開鍵情報を、イ
ンターネット上に公開可能に記録された加入者公開鍵情
報記録部に登録する加入者公開鍵情報登録手段、該通信
網が接続したインターネット上のウェブ・サーバ側から
送信された加入者識別子に対応する公開鍵を前記加入者
公開鍵情報記録部から得て該ウェブ・サーバ側へ送信す
る手段として機能させるためのプログラムである。The program of the present invention authenticates a computer by connecting an information terminal on the subscriber side of a communication network and a subscriber identifier issuing device for issuing a subscriber identifier for identifying the subscriber via the communication network. In the public key registration device for registering the public key of the subscriber in the system, the subscriber public key information including the public key and the subscriber identifier of the information terminal whose telephone number transmitted from the subscriber identifier issuing device is authenticated, Subscriber public key information registering means for registering in the subscriber public key information recording section that is publicly recorded on the Internet, and corresponds to the subscriber identifier transmitted from the web server side on the Internet connected to the communication network. It is a program for functioning as a means for obtaining a public key from the subscriber public key information recording unit and transmitting it to the web server side.
【0023】この発明の記録媒体は、請求項13ないし
16のいずれかに記載のプログラムを記録したコンピュ
ータ読取り可能な記録媒体である。The recording medium of the present invention is a computer-readable recording medium in which the program according to any one of claims 13 to 16 is recorded.
【0024】[0024]
【発明の実施の形態】以下、本発明の各実施の形態を詳
細に説明する。BEST MODE FOR CARRYING OUT THE INVENTION Each embodiment of the present invention will be described in detail below.
【0025】実施の形態1.図1は、本発明の認証シス
テムの概要を示す。図1において、符号20は通信事業
者の通信網、10は通信網20に加入している加入者側
の情報端末、22は加入者を識別する加入者識別子を発
行する加入者識別子発行装置、24は加入者の加入者識
別子と公開鍵とを対にして登録する公開鍵登録装置、3
0は通信網20が接続したインターネット、42は加入
者の認証を行い、通話料金の一括引き落としまたはクレ
ジット決済を行う認証・課金装置、40は認証・課金装
置42のフロントエンドとなる決済機関のウェブ・サー
バ、52はコンテンツ・サービス・プロバイダ(CS
P)またはアプリケーション・サービス・プロバイダ
(ASP)運営するメール・サーバ等のサービス提供装
置、50はCSPまたはASP(以下、「CSP/AS
P」と略する)のウェブ・サーバである。Embodiment 1. FIG. 1 shows an outline of the authentication system of the present invention. In FIG. 1, reference numeral 20 is a communication network of a communication carrier, 10 is an information terminal on the side of a subscriber subscribed to the communication network 20, 22 is a subscriber identifier issuing device for issuing a subscriber identifier for identifying a subscriber, Reference numeral 24 denotes a public key registration device for registering a subscriber identifier of a subscriber and a public key as a pair, and 3
0 is the Internet to which the communication network 20 is connected, 42 is an authentication / accounting device that authenticates subscribers and collectively deducts call charges or makes credit settlement, and 40 is a web of a payment institution which is the front end of the authentication / charging device 42. Server and 52 are content service providers (CS
P) or a service providing device such as a mail server operated by an application service provider (ASP), 50 is a CSP or an ASP (hereinafter, referred to as “CSP / AS”).
(Abbreviated as “P”) web server.
【0026】情報端末10は、単体で電子メールの送受
信が可能でありインターネット30上の各種のコンテン
ツにアクセス可能な例えば携帯電話機またはPHS電話
機等のブラウザ・フォンが好適である。あるいは情報端
末10はダイヤルアップ接続されたパーソナル・コンピ
ュータまたはPDA等の携帯情報端末であってもよい。
情報端末10の電話番号は、予め通信網20を運営する
通信事業者において情報端末10の加入者との間の契約
が済まされているものであり、加入者に対する本人確認
が済まされているものである。本発明の認証システム
は、このような電話番号が加入者本人と紐付けられてお
り、なりすましが極めて困難である点に着目したもので
ある。加入者との間の契約を要しない、いわゆるプリペ
イド電話の形態による通信網20への接続は含まないも
のとする。通信網20は、アナログ電話網、ISDN、
移動体通信網等のように、インターネット30と比較し
て閉じている網である。上述の加入者識別子発行装置2
2はルータ等のゲートウェイである。加入者識別子発行
装置22および公開鍵登録装置24は、通信網20内で
上記通信事業者により運営されているものとする。The information terminal 10 is preferably a browser phone such as a mobile phone or a PHS phone that can send and receive e-mail by itself and can access various contents on the Internet 30. Alternatively, the information terminal 10 may be a portable information terminal such as a personal computer or a PDA connected by dial-up.
The telephone number of the information terminal 10 is one that has been contracted with a subscriber of the information terminal 10 in advance by a telecommunications carrier who operates the communication network 20, and the identity of the subscriber has already been confirmed. Is. The authentication system of the present invention focuses on the fact that such a telephone number is associated with the subscriber himself, and that impersonation is extremely difficult. Connection to the communication network 20 in the form of a so-called prepaid telephone, which does not require a contract with a subscriber, is not included. The communication network 20 is an analog telephone network, ISDN,
It is a network that is closed compared to the Internet 30, such as a mobile communication network. Subscriber identifier issuing device 2 described above
Reference numeral 2 is a gateway such as a router. It is assumed that the subscriber identifier issuing device 22 and the public key registration device 24 are operated in the communication network 20 by the communication carrier.
【0027】図1に示されるように、情報端末10と加
入者識別子発行装置22との間で利用登録時の処理が行
われる(ステップS10ないしS20。ここでステップ
は後述される本発明の認証方法におけるステップであ
る。以下同様)。加入者の加入者識別子は公開鍵と共に
登録される(ステップS18)。情報端末10がサービ
ス提供装置52等のサービスを利用し当該サービスに関
して決済を行う時、公開鍵登録装置24はインターネッ
ト30を介してCSP/ASPのウェブ・サーバ50お
よび決済機関のウェブ・サーバ40との間でサービス利
用時の処理が行われる(後述される本発明の認証方法に
おけるステップS30、S36およびS38またはステ
ップS30ないしS40)。サービス提供装置52は必
要に応じて公開鍵の読み出しを行う(ステップS3
4)。以下、本発明の認証システムおよび認証方法につ
いて、まず情報端末10の利用登録時の処理について説
明し、次にインターネット30へアクセスしてCSP/
ASPのウェブ・サーバ50および決済機関のウェブ・
サーバ40と相互に認証を行う時の処理について説明す
る。As shown in FIG. 1, processing at the time of use registration is performed between the information terminal 10 and the subscriber identifier issuing device 22 (steps S10 to S20. Here, steps are the authentication of the present invention described later). These are the steps in the method, and so on). The subscriber identifier of the subscriber is registered with the public key (step S18). When the information terminal 10 uses a service such as the service providing device 52 and makes a payment for the service, the public key registration device 24 communicates with the CSP / ASP web server 50 and the payment institution web server 40 via the Internet 30. The processing at the time of using the service is performed during the period (steps S30, S36 and S38 or steps S30 to S40 in the authentication method of the present invention described later). The service providing device 52 reads the public key as needed (step S3).
4). In the following, regarding the authentication system and the authentication method of the present invention, the processing at the time of use registration of the information terminal 10 will be described first, and then the Internet 30 is accessed to access the CSP /
ASP web server 50 and payment agency web
The process of mutually authenticating with the server 40 will be described.
【0028】図2は、本発明の実施の形態1における情
報端末10の利用登録時の処理をブロック図で示す。図
2で図1と同じ符号を付した箇所は同じ要素を示すため
説明は省略する。図2において、符号12は情報端末1
0の表示部、200は情報端末10の加入者の電話番号
と加入者識別子発行装置22により発行された加入者識
別子とを記録した非公開の加入者IDデータベース、3
00は加入者識別子発行装置により発行された加入者識
別子と情報端末10の認証された公開鍵とを含む加入者
公開鍵情報を記録した公開の公開鍵データベースであ
る。ここで、公開または非公開とはインターネット30
に接続されたCSP/ASPのウェブ・サーバ50また
は決済機関のウェブ・サーバ40等からアクセス可能か
不可能という意味である。FIG. 2 is a block diagram showing processing at the time of use registration of the information terminal 10 in the first embodiment of the present invention. In FIG. 2, the portions denoted by the same reference numerals as those in FIG. In FIG. 2, reference numeral 12 is the information terminal 1.
A display unit of 0, 200 is a private subscriber ID database in which the telephone number of the subscriber of the information terminal 10 and the subscriber identifier issued by the subscriber identifier issuing device 22 are recorded.
Reference numeral 00 is a public public key database in which subscriber public key information including a subscriber identifier issued by the subscriber identifier issuing device and an authenticated public key of the information terminal 10 is recorded. Here, public or private means the Internet 30.
It means that it is accessible or not from the CSP / ASP web server 50 or the payment institution web server 40 connected to the.
【0029】図2において、情報端末10の鍵生成手段
は、オンライン・サインアップ時またはインターネット
30への初回のアクセス時に、情報端末10内で秘密鍵
Pと公開鍵Sとのキーペア(PおよびS)を生成する
(ステップS10)。図2では公開鍵Pは鍵の歯が上向
きに示され、秘密鍵Sは鍵の歯が下向きに示されてい
る。以下、他の図でも同様に示す。鍵生成手段は、情報
端末10固有の例えばシリアル番号等の端末識別子(装
置識別子または装置ID)とタイマカウント値等の任意
の乱数とを初期値としてキーペアを生成することができ
る。この結果、通信網20の通信事業者または情報端末
10の製造メーカが知ることができないキーペアを生成
することができる。これとは逆に、通信事業者がキーペ
アを管理するような運用形態とする場合は、通信網20
側の鍵生成装置(不図示)でキーペアを生成し、この生
成されたキーペアを情報端末10へオンラインまたはオ
フラインで送信することもできる。秘密鍵Sは秘密鍵記
録部(不図示)に記録することができる。秘密鍵記録部
は、電話番号のように、通常の処理では書き換えること
ができないメモリに保存しておくことが好適である。さ
らに、秘密鍵Sは情報端末10の操作でその値を見たり
外部へ送信することができないように設定しておくこと
が好適である。上述の鍵生成手段または鍵生成装置とは
別に、オフライン上の別の装置(鍵記録装置)でキーペ
アを生成して、ICカード等の所望の記録媒体に書き込
み、この記録媒体を情報端末10の記録媒体装着部(不
図示)へ装着するか、差し込んだりまたは埋め込むこと
もできる。あるいは、情報端末10の工場出荷段階で、
予めキーペアを焼き付けておいてもよい。情報端末10
はこの記録媒体からキーペアを読み出すかまたは焼き付
けられた状態からキーペアを読み出して、この読み出さ
れた公開鍵を加入者識別子発行装置22へ送信すること
もできる。In FIG. 2, the key generating means of the information terminal 10 has a key pair (P and S) of a secret key P and a public key S in the information terminal 10 at the time of online sign-up or the first access to the Internet 30. ) Is generated (step S10). In FIG. 2, the public key P is shown with its key teeth facing upward, and the private key S is shown with its key teeth facing downward. Hereinafter, the same applies to other figures. The key generation means can generate a key pair by using a terminal identifier (device identifier or device ID) such as a serial number unique to the information terminal 10 and an arbitrary random number such as a timer count value as initial values. As a result, it is possible to generate a key pair that the telecommunications carrier of the communication network 20 or the manufacturer of the information terminal 10 cannot know. On the contrary, when the communication carrier manages the key pair, the communication network 20
It is also possible to generate a key pair with a key generation device (not shown) on the side and transmit the generated key pair to the information terminal 10 online or offline. The private key S can be recorded in a private key recording unit (not shown). The private key recording unit is preferably stored in a memory that cannot be rewritten by normal processing, such as a telephone number. Furthermore, it is preferable to set the secret key S so that the value cannot be viewed or transmitted to the outside by operating the information terminal 10. In addition to the above-described key generation means or key generation device, a key pair is generated by another device (key recording device) off-line and written in a desired recording medium such as an IC card, and this recording medium is stored in the information terminal 10. It can also be mounted on, inserted into, or embedded in a recording medium mounting portion (not shown). Alternatively, at the factory shipment stage of the information terminal 10,
The key pair may be burned in advance. Information terminal 10
Can also read the key pair from this recording medium or read the key pair from the burned state and send the read public key to the subscriber identifier issuing device 22.
【0030】情報端末10の公開鍵送信手段は、鍵生成
手段により生成された公開鍵Pを加入者識別子発行装置
22へ送信する(ステップS12)。この公開鍵の送信
時に加入者が所望のメールアドレスを送信してもよい。The public key transmitting means of the information terminal 10 transmits the public key P generated by the key generating means to the subscriber identifier issuing device 22 (step S12). The subscriber may send a desired e-mail address when sending the public key.
【0031】加入者識別子発行装置22の電話番号認証
手段は、公開鍵送信手段により公開鍵Pを送信した情報
端末10の電話番号の認証(発番認証)を行う(ステッ
プS14)。この発番認証は加入者識別子発行装置22
以外の専用装置で行うこともできる。The telephone number authenticating means of the subscriber identifier issuing device 22 authenticates the telephone number of the information terminal 10 which has transmitted the public key P by the public key transmitting means (numbering authentication) (step S14). This number authentication is performed by the subscriber identifier issuing device 22.
It can also be performed by a dedicated device other than.
【0032】加入者識別子発行装置22の加入者識別子
発行手段は、電話番号認証手段により電話番号が認証さ
れた情報端末10について、この電話番号に基づき加入
者識別子を発行する(ステップS16)。加入者識別子
は、当該識別子から電話番号を推測することができない
または推測することが極めて困難であるようなものが好
適である。加入者識別子は、情報端末10をインターネ
ット30上で特定可能かつ公開可能な識別子とすること
ができる。例えば、情報端末10の装置識別子(装置I
D)、メールアドレス、固定IPアドレス等とすること
ができる。加入者識別子発行装置22は、情報端末10
の加入者の電話番号と加入者識別子発行装置22により
発行された加入者識別子とを非公開の加入者IDデータ
ベース200へ記録することができる。The subscriber identifier issuing means of the subscriber identifier issuing device 22 issues a subscriber identifier for the information terminal 10 whose telephone number has been authenticated by the telephone number authenticating means based on this telephone number (step S16). The subscriber identifier is preferably such that the telephone number cannot be or is very difficult to deduce from the identifier. The subscriber identifier can be an identifier that can identify and publish the information terminal 10 on the Internet 30. For example, the device identifier of the information terminal 10 (device I
D), a mail address, a fixed IP address, or the like. The subscriber identifier issuing device 22 uses the information terminal 10
The subscriber's telephone number and the subscriber identifier issued by the subscriber identifier issuing device 22 can be recorded in the secret subscriber ID database 200.
【0033】加入者識別子発行装置22の加入者公開鍵
情報送信手段は、電話番号認証手段により電話番号が認
証された情報端末10の公開鍵Pと加入者識別子発行手
段により発行された加入者識別子とを含む加入者公開鍵
情報を公開鍵登録装置(加入者公開鍵情報記録部)24
へ送信する(ステップS17)。The subscriber public key information transmitting means of the subscriber identifier issuing device 22 is the public key P of the information terminal 10 whose telephone number is authenticated by the telephone number authenticating means and the subscriber identifier issued by the subscriber identifier issuing means. Subscriber public key information including and is public key registration device (subscriber public key information recording unit) 24
To (step S17).
【0034】公開鍵登録装置24の加入者公開鍵情報登
録手段は、加入者公開鍵情報送信手段により送信された
加入者公開鍵情報を、公開の公開鍵データベース300
へ登録する(ステップS18)。公開の公開鍵データベ
ース300への書き込みは発番認証された情報端末10
からのオンラインサインアップ時にのみ許され、インタ
ーネット30上からは読み出しのみ可能であり書き込み
は許可されない。加入者識別子発行装置22は、加入者
識別子発行手段により発行された加入者識別子を情報端
末10側へ送信する(ステップS20)。情報端末10
は、加入者識別子発行装置22から送信された加入者識
別子を加入者識別子記録部(不図示)へ記録することが
できる。The subscriber public key information registration means of the public key registration device 24 stores the subscriber public key information transmitted by the subscriber public key information transmission means in the public public key database 300.
(Step S18). Writing to the public public key database 300 is for the information terminal 10 that has been issued and authenticated.
Is permitted only at the time of online sign-up from, and is only readable and not writable on the Internet 30. The subscriber identifier issuing device 22 transmits the subscriber identifier issued by the subscriber identifier issuing means to the information terminal 10 side (step S20). Information terminal 10
Can record the subscriber identifier transmitted from the subscriber identifier issuing device 22 in a subscriber identifier recording unit (not shown).
【0035】図3は、本発明の認証システムにおける非
公開の加入者IDデータベース200のデータ構造を示
す。図3において、符号202は情報端末10の電話番
号(例えば「012−345」)、204は電話番号2
02で契約等を行った加入者の加入者識別子(例えば
「960−381」)、206は加入者識別子204の
加入者が有する電子メール・アドレス(例えば「miyahi
ro@kccs.co.jp」)、208は加入者識別子204の加
入者が最初にオンライン・サインアップを行った年月日
(例えば「2001.1.1(2001年1月1日を示
す)」)、210は加入者識別子204の加入者の氏名
(例えば「宮広」)、212は加入者識別子204の加
入者の住所(例えば「京都」)、214は加入者識別子
204の加入者が有する口座番号であって認証・課金装
置42が決済を行うことができるもの(例えば「普12
3−456(普通口座123−456を示す)である。
電話番号202および加入者識別子204は3桁の数字
をハイフンでつないだものとなっているが、これは例示
であってこれらの例に制限されるものではない。特に加
入者識別子204は英字または記号等を含むものであっ
てもよい。氏名210は姓のみとなっているが、これは
例示であり姓名または企業名としてもよい。住所212
は市名のみとなっているが、これは例示であり詳細な住
所表示としてもよい。口座番号214は普通口座を示し
ているが、これは例示であって当座番号であってもよい
ことはもちろんである。FIG. 3 shows the data structure of the private subscriber ID database 200 in the authentication system of the present invention. In FIG. 3, reference numeral 202 is the telephone number of the information terminal 10 (for example, “012-345”), and 204 is the telephone number 2.
The subscriber identifier of the subscriber who signed the contract in 02 (eg, “960-381”), 206 is the electronic mail address of the subscriber of the subscriber identifier 204 (eg, “miyahi
ro@kccs.co.jp ”), and 208 is the date (for example,“ 2001.1.1 (indicating January 1, 2001) ”when the subscriber with the subscriber identifier 204 first signed up online. ], 210 is the name of the subscriber of the subscriber identifier 204 (for example, “Miyahiro”), 212 is the address of the subscriber of the subscriber identifier 204 (for example, “Kyoto”), and 214 is the subscriber of the subscriber identifier 204. An account number that can be settled by the authentication / charging device 42 (for example, "Public 12"
3-456 (indicating ordinary account 123-456).
The telephone number 202 and the subscriber identifier 204 are three-digit numbers hyphenated, but this is an example and is not limited to these examples. In particular, the subscriber identifier 204 may include letters or symbols. The full name 210 is only a surname, but this is an example and may be a surname or a company name. Address 212
Shows only the city name, but this is an example and may be a detailed address display. Although the account number 214 indicates a normal account, it is needless to say that this is an example and may be a current number.
【0036】図4は、本発明の認証システムにおける公
開の公開鍵データベース300のデータ構造を示す。図
4において、符号204は図3と同様に加入者識別子で
あり、302は加入者識別子204に対応する公開鍵で
ある。公開鍵は「AB6F3002 C52C9D0
1」と示されているが、これは例示であってこのような
データに限定されるものではない。上述のように、この
公開鍵302は情報端末10により生成されたものであ
り、その情報端末10の電話番号は加入者識別装置22
により認証されたものである。FIG. 4 shows the data structure of the public public key database 300 in the authentication system of the present invention. 4, reference numeral 204 is a subscriber identifier as in FIG. 3, and reference numeral 302 is a public key corresponding to the subscriber identifier 204. The public key is "AB6F3002 C52C9D0.
1 ”, but this is an example and is not limited to such data. As described above, the public key 302 is generated by the information terminal 10, and the telephone number of the information terminal 10 is the subscriber identification device 22.
It has been certified by.
【0037】図5(A)、(B)は本発明の実施の形態
1において情報端末10の表示部12に表示される例を
示す。図5(A)の表示例は上述のキーペア生成(ステ
ップS1)の前に表示されるものである。図5(A)に
おいて、符号100は上述のステップS10の前に表示
部12に表示される画面例、101は利用登録時におい
てオンライン・サインアップを行う画面である旨の表
示、102は情報端末10の加入者に対して希望の電子
メール・アドレスを尋ねる旨の表示、104は情報端末
10の加入者が希望する電子メール・アドレスのユーザ
・ログイン名を入力できる入力欄、106はサービス提
供装置52等が提供する有料のコンテンツを利用した場
合の料金支払方法の表示である。加入者は表示106の
「>3クレジットカード」等を選択することができる。
符号108は加入者が上述の入力欄104、表示106
に対する選択を行った後、オンライン・サインアップを
行う場合に選択するためのサインアップ選択ボタン、1
09aは上述の入力欄104、表示106に対する選択
を行った後、入力された値等をキャンセルするためのキ
ャンセル・ボタンである。5A and 5B show examples displayed on the display unit 12 of the information terminal 10 in the first embodiment of the present invention. The display example of FIG. 5A is displayed before the above key pair generation (step S1). In FIG. 5A, reference numeral 100 is an example of a screen displayed on the display unit 12 before step S10 described above, 101 is a display indicating that online sign-up is performed at the time of use registration, and 102 is an information terminal. A display for inquiring the desired e-mail address to the subscriber of 10; 104 is an input field in which the user login name of the desired e-mail address of the subscriber of the information terminal 10 can be entered; 106 is a service providing device 52 is a display of a fee payment method when a paid content provided by 52 or the like is used. The subscriber can select "> 3 credit card" or the like on the display 106.
Reference numeral 108 indicates that the subscriber has entered the above-mentioned input field 104 and display 106.
Sign-up selection button to select when making an online sign-up after making a selection for
Reference numeral 09a denotes a cancel button for canceling the input value or the like after the selection in the input field 104 and the display 106 is performed.
【0038】図5(B)の表示例は上述の利用登録時
(ステップS10ないしS20)の間に表示されるもの
である。図5(B)において、符号110は上述のステ
ップS10ないしS20の間に表示部12に表示される
画面例、111は利用登録時においてオンライン・サイ
ンアップ中である旨の表示、112は一連の処理中の表
示であって、公開鍵等を送信中(ステップS12)であ
る旨の表示(例えば「1鍵を送信(約10秒)」)、デ
ータを送受信中(ステップS12ないしS20)である
旨の表示(例えば「2データを送受信(約15秒)」)
およびブラウザを自動設定中である旨の表示(例えば
「3 ブラウザを自動設定(約5秒)」)が示されてい
る。表示112のデータを送受信中である旨の表示のよ
うに、現在実行されている段階を他の段階と識別可能に
表示することができる。符号114は利用登録の処理の
進行の度合いを示す表示であり、図5(B)中の矢印で
示されるように進行が進むにしたがって4角形の欄を黒
く塗りつぶして表示することができる。符号109bは
利用登録処理を途中でキャンセルするためのキャンセル
・ボタンである。The display example of FIG. 5B is displayed during the above-described use registration (steps S10 to S20). In FIG. 5B, reference numeral 110 is an example of a screen displayed on the display unit 12 during steps S10 to S20 described above, 111 is a display indicating that online sign-up is being performed at the time of use registration, and 112 is a series. Display during processing, display indicating that the public key or the like is being transmitted (step S12) (for example, "transmit one key (about 10 seconds)"), and data is being transmitted and received (steps S12 to S20). Display to the effect (for example, "2 data transmission / reception (about 15 seconds)")
And a display indicating that the browser is being automatically set (for example, "3 browsers are automatically set (about 5 seconds)"). The stage currently being executed can be displayed in a manner distinguishable from other stages, such as a display indicating that the data of the display 112 is being transmitted / received. Reference numeral 114 is a display showing the degree of progress of the usage registration process, and as the progress progresses, the square column can be filled in with black and displayed as shown by the arrow in FIG. 5 (B). Reference numeral 109b is a cancel button for canceling the use registration process on the way.
【0039】以上より、本発明の実施の形態1によれ
ば、加入者本人と紐付けられ、なりすましが極めて困難
な情報端末10の電話番号を用いて加入者の認証を行う
ことにより、膨大な数の情報端末(クライアント)の認
証を簡易に行うことができる。さらに認証された電話番
号に基づいて当該電話番号を推測することが困難な加入
者識別子を発行し、この加入者識別子と情報端末10側
で生成された公開鍵とを対にして公開の公開鍵データベ
ース300に登録することができる。このため正当性の
検証を簡易に行うことを可能とすることができる。As described above, according to the first embodiment of the present invention, the subscriber is authenticated by using the telephone number of the information terminal 10 which is associated with the subscriber and is extremely difficult to spoof, resulting in a huge number of subscribers. Authentication of several information terminals (clients) can be easily performed. Further, a subscriber identifier that is difficult to guess based on the authenticated telephone number is issued, and the public identifier is made public by pairing the subscriber identifier with the public key generated on the information terminal 10 side. It can be registered in the database 300. Therefore, it is possible to easily verify the correctness.
【0040】実施の形態2.図6は、本発明の実施の形
態2において情報端末10がインターネット30を介し
てウェブ・サーバ50等へアクセスする際の認証処理を
ブロック図で示す。図6で図1または図2と同じ符号を
付した箇所は同じ要素を示すため説明は省略する。図6
で、符号60は決済機関のウェブ・サーバ40とCSP
/ASPのウェブ・サーバ50とに設置された、情報端
末10を認証するための認証モジュール、400は決済
機関のウェブ・サーバ40が有する、情報端末10を認
証するために用いられるパスワードを登録したパスワー
ド登録データベース、500はCSP/ASPのウェブ
・サーバ50がサービス提供のために用いるコンテンツ
を登録したコンテンツ登録データベースである。ウェブ
・サーバ50等の認証モジュール60は、以下で説明さ
れる符号送信手段、復号化手段等を含むものである。Embodiment 2. FIG. 6 is a block diagram showing an authentication process when the information terminal 10 accesses the web server 50 or the like via the Internet 30 in the second embodiment of the present invention. In FIG. 6, the parts denoted by the same reference numerals as those in FIG. 1 or FIG. Figure 6
Reference numeral 60 is the clearing house web server 40 and the CSP.
An authentication module for authenticating the information terminal 10 installed in the / ASP web server 50, and 400 has registered a password used by the web server 40 of the payment institution and used for authenticating the information terminal 10. A password registration database 500 is a content registration database in which the content used by the CSP / ASP web server 50 for providing services is registered. The authentication module 60 such as the web server 50 includes a code transmitting means, a decoding means, etc. described below.
【0041】図6において、情報端末10が通信網20
と接続したインターネット30上の所望のウェブ・サー
バ50等へアクセスする場合について説明する。ウェブ
・サーバ50等には第三者認証機関により発行されたサ
ーバ証明書が配布されているものとし、情報端末10に
は第三者認証機関から当該サーバの公開鍵が配布されて
いるものとする。これらを用いることにより情報端末1
0はSSLセッションを張ることができる。しかしこの
SSLセッションのみではサーバ認証等のみを行うこと
ができるだけであって、情報端末10、すなわちクライ
アントの認証はできない。本発明の認証システムではP
KIレベルのセキュリティが要求される場合、まず情報
端末10からその加入者識別子記録部に記録された加入
者識別子をウェブ・サーバ50側へ送信する。この際、
加入者識別子はHTTPヘッダに埋め込むことにより送
信することができる(ステップS30)。In FIG. 6, the information terminal 10 is connected to the communication network 20.
A case of accessing a desired web server 50 or the like on the Internet 30 connected to the Internet will be described. It is assumed that a server certificate issued by a third-party certification body is distributed to the web server 50 and the like, and that the public key of the server is distributed to the information terminal 10 from the third-party certification body. To do. By using these, the information terminal 1
0 can establish an SSL session. However, only this SSL session can perform only server authentication and the like, and cannot authenticate the information terminal 10, that is, the client. In the authentication system of the present invention, P
When KI level security is required, first, the information terminal 10 transmits the subscriber identifier recorded in the subscriber identifier recording section to the web server 50 side. On this occasion,
The subscriber identifier can be transmitted by embedding it in the HTTP header (step S30).
【0042】ウェブ・サーバ50等は、情報端末10側
から送信された加入者識別子を公開鍵登録装置24へ送
信する(ステップS32)。ここで、公開鍵登録装置2
4は第三者認証機関により発行されたサーバ証明書が配
布されているものとし、CSP/ASPのウェブ・サー
バ50とは相互認証を行った後、暗号化を行うものとす
る。The web server 50 or the like transmits the subscriber identifier transmitted from the information terminal 10 side to the public key registration device 24 (step S32). Here, the public key registration device 2
It is assumed that a server certificate issued by a third party certification authority 4 is distributed, and encryption is performed after mutual authentication with the CSP / ASP web server 50.
【0043】公開鍵登録装置24は、CSP/ASPの
ウェブ・サーバ50側から送信された加入者識別子に対
応する公開鍵Pを公開鍵データベース300から得て、
CSP/ASPのウェブ・サーバ50側へ送信する(ス
テップS34)。The public key registration device 24 obtains from the public key database 300 the public key P corresponding to the subscriber identifier transmitted from the CSP / ASP web server 50 side,
It is transmitted to the web server 50 side of CSP / ASP (step S34).
【0044】CSP/ASPのウェブ・サーバ50の符
号送信手段は、任意の乱数等の符号を生成してその符号
を情報端末10側へ送信する(ステップS36)。The code transmitting means of the CSP / ASP web server 50 generates a code such as an arbitrary random number and transmits the code to the information terminal 10 side (step S36).
【0045】情報端末10の暗号化符号送信手段は、C
SP/ASPのウェブ・サーバ50側から送信された任
意の乱数等の符号を秘密鍵記録部に記録された秘密鍵S
で暗号化し、この暗号化された符号をCSP/ASPの
ウェブ・サーバ50側へ送信する(ステップS38)。The encryption code transmitting means of the information terminal 10 is C
The secret key S in which a code such as an arbitrary random number transmitted from the SP / ASP web server 50 side is recorded in the secret key recording unit.
And the encrypted code is transmitted to the CSP / ASP web server 50 side (step S38).
【0046】CSP/ASPのウェブ・サーバ50の復
号化手段は、情報端末10側から暗号化符号送信手段に
より送信された暗号化された符号を、公開鍵登録装置2
4側から送信された情報端末10の公開鍵Pで復号化す
る。CSP/ASPのウェブ・サーバ50は、符号送信
手段により情報端末10側へ送信した任意の乱数等の符
号と復号化手段により復号化された符号とが等しい場
合、情報端末10側の確認を行うことができる(ステッ
プS40)。すなわち、情報端末10側が、加入者識別
子に紐づけられた公開鍵Pのペアとなる秘密鍵Sを確か
に有していることを確認することができる。上述のステ
ップS36ないしS40において、任意の乱数等の符号
の代わりに所望のハッシュ関数により得られるハッシュ
値を用いることもできる。The decrypting means of the CSP / ASP web server 50 uses the encrypted code transmitted from the information terminal 10 by the encrypted code transmitting means as the public key registration device 2
It decrypts with the public key P of the information terminal 10 transmitted from the 4 side. The CSP / ASP web server 50 confirms the information terminal 10 side when the code such as an arbitrary random number transmitted to the information terminal 10 side by the code transmitting means is equal to the code decoded by the decoding means. (Step S40). That is, it can be confirmed that the information terminal 10 side surely has the secret key S that is a pair of the public key P associated with the subscriber identifier. In steps S36 to S40 described above, a hash value obtained by a desired hash function may be used instead of the code such as an arbitrary random number.
【0047】上述の情報端末10側の確認方法とは別
に、時間を同期させる方法を用いることもできる。例え
ば、情報端末10が有している実時間、例として200
1年7月12日20時15分32秒である場合は、「2
0010712201532」という値と、情報端末1
0に固有のID、例えば加入者識別子またはシリアル番
号とを連結した値を情報端末10の秘密鍵Sで暗号化し
て、CSP/ASPのウェブ・サーバ50へ送ることが
できる。CSP/ASPのウェブ・サーバ50側では、
情報端末10の公開鍵Pで送られた値を復号化し、実時
間の妥当性と情報端末10に固有のIDとの正当性を確
認することができる。In addition to the confirmation method on the side of the information terminal 10 described above, a method of synchronizing time may be used. For example, the real time that the information terminal 10 has, for example, 200
If it is 20:15:32 on July 12, 1st, "2
"0010712201532" and the information terminal 1
An ID unique to 0, for example, a value obtained by concatenating a subscriber identifier or a serial number can be encrypted with the secret key S of the information terminal 10 and sent to the CSP / ASP web server 50. On the CSP / ASP web server 50 side,
The value sent by the public key P of the information terminal 10 can be decrypted to confirm the validity in real time and the validity of the ID unique to the information terminal 10.
【0048】CSP/ASPのウェブ・サーバ50が決
済機関のウェブ・サーバ40を有する決済機関により運
営されている場合、情報端末10がインターネット30
への初回のアクセス時に加入者識別子と共にパスワード
を入力させ、その加入者識別子とパスワードとの組をパ
スワード登録データベース400へ登録することもでき
る。この処理は実施の形態1の利用登録時の処理と連続
して行うこともできる。PKIのレベルのセキュリティ
まで必要としない場合、ステップS30のアクセス時に
情報端末10から加入者識別子と共にパスワードを入力
させ、このパスワードをSSLセッション上でCSP/
ASPのウェブ・サーバ50等へ送信させてもよい。C
SP/ASPのウェブ・サーバ50は、加入者識別子と
パスワードとの組の正当性から加入者を認証することが
できる。When the CSP / ASP web server 50 is operated by a clearing house having a clearing house web server 40, the information terminal 10 is connected to the Internet 30.
It is also possible to input a password together with the subscriber identifier at the time of first access to and to register the set of the subscriber identifier and the password in the password registration database 400. This processing can be performed continuously with the processing at the time of use registration in the first embodiment. If PKI level security is not required, the password is entered together with the subscriber identifier from the information terminal 10 at the time of access in step S30, and this password is used on the SSL session for CSP /
It may be transmitted to the ASP web server 50 or the like. C
The SP / ASP web server 50 can authenticate the subscriber from the validity of the subscriber identifier / password pair.
【0049】図7は、本発明の認証システムにおけるパ
スワード登録データベース400のデータ構造を示す。
パスワード登録データベース400は決済機関のウェブ
・サーバ40を有する決済機関により管理されている。
図4において、符号204は加入者識別子(例えば「9
60−381」)、402は加入者識別子204に対応
したパスワード(例えば「1234」)、404はパス
ワード402を当該データベース400に登録した年月
日(例えば「2001.1.1(2001年1月1日を
示す)」)、406はパスワード402の設定状態(例
えば「アクティブ」)である。加入者識別子204は3
桁の数字をハイフンでつないだものとなっているが、こ
れは例示であってこの例に制限されるものではなく、英
字または記号等を含むものであってもよい。パスワード
402についても同様に、これは例示であってこの例に
制限されるものではなく、英字または記号等を含むもの
であってもよい。FIG. 7 shows the data structure of the password registration database 400 in the authentication system of the present invention.
The password registration database 400 is managed by a clearing house having a web server 40 of the clearing house.
In FIG. 4, reference numeral 204 is a subscriber identifier (for example, “9
60-381 "), 402 is the password corresponding to the subscriber identifier 204 (for example," 1234 "), 404 is the date and time when the password 402 was registered in the database 400 (for example," 2001.1.1 (January 2001) ". 1))), and 406 is the setting state of the password 402 (for example, "active"). Subscriber identifier 204 is 3
The digits are connected by hyphens, but this is an example and is not limited to this example, and may include alphabetic characters or symbols. Similarly, the password 402 is also an example and is not limited to this example, and may include an alphabetic character or a symbol.
【0050】図8は、本発明の認証システムにおけるコ
ンテンツ登録データベース500のデータ構造を示す。
コンテンツ登録データベース500はCSP/ASPの
ウェブ・サーバ50を有するサービス提供事業者により
管理されている。図8において、符号502はコンテン
ツを識別するコンテンツ番号(例えば「001−00
7」)、504はコンテンツ番号502に対応したコン
テンツの名称(例えば「IPの誘惑」)、506はコン
テンツ番号502に対応したコンテンツの価格(例えば
「200円」)、508はコンテンツ番号502に対応
するコンテンツについてサポートしている、価格506
の支払方法(例えば「クレジット又は通話一括引き落と
し」)である。コンテンツ番号502は3桁の数字をハ
イフンでつないだものとなっているが、これは例示であ
ってこの例に制限されるものではなく、英字または記号
等を含むものであってもよい。FIG. 8 shows the data structure of the content registration database 500 in the authentication system of the present invention.
The content registration database 500 is managed by a service provider having a CSP / ASP web server 50. In FIG. 8, reference numeral 502 is a content number for identifying the content (for example, “001-00”).
7 ”), 504 is the name of the content corresponding to the content number 502 (for example,“ IP temptation ”), 506 is the price of the content corresponding to the content number 502 (for example,“ 200 yen ”), and 508 is the content number 502. Price 506 that supports content to be played
Payment method (for example, “credit or collective call withdrawal”). The content number 502 is formed by connecting three-digit numbers with a hyphen, but this is an example and is not limited to this example, and may include an alphabetic character or a symbol.
【0051】図9(A)、(B)は本発明の実施の形態
2において決済機関へ支払方法を登録する際に情報端末
10の表示部12に表示される例を示す。図9(A)、
(B)の表示例は上述のステップS40まで終了した後
に表示されるものである。図9(A)において、符号1
20は決済機関へ支払方法を登録する際に表示部12に
表示される画面例、121は支払方法の登録を行う画面
である旨の表示、122は情報端末10の加入者に対し
て、コンテンツ料金を通話料金と一括引き落としにする
ことを望む場合はパスワードを登録することを示す表
示、124は加入者がパスワードを入力できる入力欄、
126は当該サイトが暗号化されている旨の表示、12
8aは加入者が設定した支払い方法の登録を了承する際
に選択するOKボタン、109cは上述の入力欄124
に対する入力を行った後、入力された値等をキャンセル
するためのキャンセル・ボタンである。FIGS. 9A and 9B show an example displayed on the display unit 12 of the information terminal 10 when the payment method is registered in the settlement organization in the second embodiment of the present invention. FIG. 9 (A),
The display example of (B) is displayed after the above steps S40 are completed. In FIG. 9A, reference numeral 1
20 is an example of a screen displayed on the display unit 12 when the payment method is registered with the payment institution, 121 is a display indicating that the payment method is registered, and 122 is a content for the subscriber of the information terminal 10. A display indicating that a password is registered if it is desired to deduct the charge together with the call charge, and 124 is an input field in which the subscriber can enter the password,
126 indicates that the site is encrypted, 12
8a is an OK button that is selected when the payment method registered by the subscriber is accepted, and 109c is the above-mentioned input field 124.
This is a cancel button for canceling the entered value, etc., after the entry has been made.
【0052】図9(B)の表示例は上述の支払方法の登
録が完了した場合に表示されるものである。図9(B)
において、符号140は支払方法の登録が完了した場合
に表示部12に表示される画面例、121は支払方法の
登録を行う画面である旨の表示、142は支払方法の登
録が完了した旨と以後のパスワードの使用に関する表
示、144はトップメニュー(不図示)へ戻る場合に選
択する戻りボタン、146はパスワードを変更する場合
に選択するパスワード変更ボタンである。The display example of FIG. 9B is displayed when the registration of the above-mentioned payment method is completed. FIG. 9 (B)
In the figure, reference numeral 140 is an example of a screen displayed on the display unit 12 when the payment method registration is completed, 121 is a display indicating that the payment method is registered, and 142 is a notification that the payment method registration is completed. A display 144 for the subsequent use of the password is a return button 144 that is selected when returning to the top menu (not shown), and 146 is a password change button that is selected when changing the password.
【0053】図10(A)、(B)は本発明の実施の形
態2において有料サービスを利用する際に情報端末10
の表示部12に表示される例を示す。図10(A)、
(B)の表示例は上述のステップS30のアクセス時に
最初に表示されるものである。図10(A)において、
符号160はステップS30のアクセス時に最初に表示
部12に表示される画面例、161は新譜のダウンロー
ドを行う画面である旨の表示、162は情報端末10の
加入者に対して、コンテンツ登録データベース500等
に登録されたデータを示す表示であり、新譜の曲名また
は名称504(例えば「IPの誘惑」)、新譜の価格5
06(例えば「200円」)および当該新譜に対してサ
ポートされている支払方法508(例えば「通話料金と
一括引き落とし」)が表示されている。符号164はダ
ウンロードするか否かを尋ねる表示、128bは加入者
がダウンロードを了承する際に選択するOKボタン、1
09cはダウンロードを行わないためのキャンセル・ボ
タンである。10A and 10B show the information terminal 10 when the pay service is used in the second embodiment of the present invention.
An example displayed on the display unit 12 of is shown. FIG. 10 (A),
The display example of (B) is first displayed at the time of access in step S30 described above. In FIG. 10 (A),
Reference numeral 160 is an example of a screen that is first displayed on the display unit 12 at the time of access in step S30, 161 is a display indicating that the new music is downloaded, and 162 is a content registration database 500 for subscribers of the information terminal 10. Is a display showing the data registered in, such as the new song title or name 504 (for example, “IP temptation”), the new song price 5
06 (for example, “200 yen”) and the payment method 508 (for example, “call charge and collective withdrawal”) supported for the new music are displayed. Reference numeral 164 is a display asking whether or not to download, 128b is an OK button selected when the subscriber approves the download, 1
09c is a cancel button for not performing the download.
【0054】図10(B)の表示例は上述のステップS
40までが完了した場合に表示されるものである。図1
0(B)において、符号180はステップS40までが
完了した場合に表示部12に表示される画面例、161
は新譜のダウンロードを行う画面である旨の表示、18
2は情報端末10の加入者に対して、パスワードを入力
することを促す表示、124は加入者がパスワードを入
力できる入力欄、126は当該サイトが暗号化されてい
る旨の表示、128cは加入者が入力したパスワードを
了承する際に選択するOKボタン、109dは上述の入
力欄124に対する入力を行った後、入力された値等を
キャンセルするためのキャンセル・ボタンである。The display example of FIG. 10B is the above step S.
It is displayed when up to 40 is completed. Figure 1
In 0 (B), reference numeral 180 is a screen example displayed on the display unit 12 when step S40 is completed, 161
Indicates that the screen is for downloading new music, 18
2 is a display prompting the subscriber of the information terminal 10 to enter a password, 124 is an input field in which the subscriber can enter the password, 126 is a display that the site is encrypted, and 128c is a subscription An OK button selected when the person accepts the password input by the person, 109d is a cancel button for canceling the input value or the like after the input in the input field 124 is performed.
【0055】以上より、本発明の実施の形態2によれ
ば、情報端末10がインターネット30上のウェブ・サ
ーバ50等へアクセスする際にPKIレベルのセキュリ
ティが要求される場合、まず情報端末10から加入者識
別子をウェブ・サーバ50側へ送信する。ウェブ・サーバ
50等は、情報端末10側から送信された加入者識別子
を公開鍵登録装置24へ送信し、公開鍵登録装置24
は、ウェブ・サーバ50側から送信された加入者識別子
に対応する公開鍵Pを公開鍵データベース300から得
て、ウェブ・サーバ50側へ送信する。次に、ウェブ・
サーバ50の符号送信手段は、任意の乱数等の符号を生
成してその符号を情報端末10側へ送信し、情報端末1
0の暗号化符号送信手段は、ウェブ・サーバ50側から
送信された任意の乱数等の符号を秘密鍵記録部に記録さ
れた秘密鍵Sで暗号化し、この暗号化された符号をウェ
ブ・サーバ50側へ送信する。ウェブ・サーバ50の復
号化手段は、情報端末10側から暗号化符号送信手段に
より送信された暗号化された符号を、公開鍵登録装置2
4側から送信された情報端末10の公開鍵Pで復号化す
る。以上により、ウェブ・サーバ50は、符号送信手段
により情報端末10側へ送信した任意の乱数等の符号と
復号化手段により復号化された符号とが等しい場合、情
報端末10が、加入者識別子に紐づけられた公開鍵Pの
ペアとなる秘密鍵Sを確かに有していることを確認する
ことができる。このため、膨大な数の情報端末10(ク
ライアント)の正当性の確認を簡易に行うことができ
る。As described above, according to the second embodiment of the present invention, when the PKI level security is required when the information terminal 10 accesses the web server 50 or the like on the Internet 30, first, the information terminal 10 The subscriber identifier is transmitted to the web server 50 side. The web server 50 or the like transmits the subscriber identifier transmitted from the information terminal 10 side to the public key registration device 24, and the public key registration device 24
Obtains the public key P corresponding to the subscriber identifier transmitted from the web server 50 side from the public key database 300 and transmits it to the web server 50 side. Next, the web
The code transmitting means of the server 50 generates a code such as an arbitrary random number and transmits the code to the information terminal 10 side, and the information terminal 1
The encryption code transmitting means of 0 encrypts a code such as an arbitrary random number transmitted from the web server 50 side with the secret key S recorded in the secret key recording unit, and the encrypted code is transmitted to the web server. Send to 50 side. The decryption means of the web server 50 sends the encrypted code transmitted from the information terminal 10 side by the encryption code transmission means to the public key registration device 2
It decrypts with the public key P of the information terminal 10 transmitted from the 4 side. As described above, when the code such as an arbitrary random number transmitted to the information terminal 10 side by the code transmitting means is equal to the code decoded by the decoding means, the web server 50 uses the information terminal 10 as the subscriber identifier. It can be confirmed that the private key S that is a pair of the associated public key P is surely possessed. Therefore, it is possible to easily confirm the legitimacy of a huge number of information terminals 10 (clients).
【0056】通常のPKIでは、情報端末10へ配布さ
れる電子証明書に鍵の有効期限が記録されている。この
有効性を確認する処理は極めて煩雑なものとなってい
る。しかし、本発明の認証システム等によればCSP/
ASPのウェブ・サーバ50等側で鍵の有効期限の管理
を行い、有効期限が過ぎた鍵または漏洩が確認された鍵
は、公開鍵DB300から削除するだけで良い。削除さ
れた場合、決済機関のウェブ・サーバ40またはCSP
/ASPのウェブ・サーバ50等は鍵の有効性が確認で
きないため、情報端末10側に「鍵が無効です。再度サ
インアップを行って下さい。」等のメッセージを出すこ
とにより、利用者(加入者)に鍵の期限切れを告知する
ことができる。利用者はサインアップを初回と同様の方
法で行うことにより、新しい鍵に更新することができ
る。鍵の有効期限は、例えば1年、5年または無期限
(すなわち期限管理を行わない)等の場合があり得る
が、これは通信事業者が任意に設定することができる。
通信事業者の事情、例えば新しい暗号方式の導入時また
は一斉更新する等の事情により、適宜変更することもで
きる。In a normal PKI, the expiration date of the key is recorded in the electronic certificate distributed to the information terminal 10. The process of confirming this effectiveness is extremely complicated. However, according to the authentication system and the like of the present invention, CSP /
The expiration date of the key is managed on the side of the ASP web server 50, and the expired key or the key confirmed to be leaked may be deleted from the public key DB 300. If deleted, clearing house web server 40 or CSP
/ The ASP web server 50, etc. cannot confirm the validity of the key. Therefore, by issuing a message such as "The key is invalid. Please sign up again." Person) can be notified that the key has expired. The user can update to a new key by signing up in the same way as the first time. The expiration date of the key may be, for example, 1 year, 5 years, or indefinitely (that is, the expiration date management is not performed), but this can be arbitrarily set by the communication carrier.
It may be changed as appropriate depending on the circumstances of the communication carrier, such as the introduction of a new encryption method or simultaneous update.
【0057】上述した各実施の形態の機能を実現するコ
ンピュータ・プログラムを本発明の認証システムにおけ
る情報端末10、加入者識別子発行装置22、公開鍵登
録装置24へ適宜供給し、当該装置のCPU等が当該コ
ンピュータ・プログラムを実行することによっても、本
発明の目的が達成されることは言うまでもない。当該コ
ンピュータ・プログラムの供給はインターネット30ま
たは通信網20のようなネットワークを介して供給する
こともでき、あるいは記録媒体の形態で上記装置の記録
媒体読取り部(不図示)に供給することもできる。上述
の場合、当該コンピュータ・プログラム自体が本発明の
上記装置等の新規な機能を実現することになる。さら
に、当該コンピュータ・プログラムを記録した記録媒体
も同様に本発明を構成することになる。当該コンピュー
タ・プログラムを記録した記録媒体としては、例えば、
CD−ROM、メモリ・カード、DVD、光ディスク、
FD、ハードディスク、ROM等を用いることができ
る。A computer program that realizes the functions of the above-described embodiments is appropriately supplied to the information terminal 10, the subscriber identifier issuing device 22, and the public key registration device 24 in the authentication system of the present invention, and the CPU of the device, etc. Needless to say, the object of the present invention can be achieved by executing the computer program. The computer program can be supplied via a network such as the Internet 30 or the communication network 20, or can be supplied in the form of a recording medium to a recording medium reading unit (not shown) of the above apparatus. In the above case, the computer program itself realizes the novel functions of the above-mentioned device of the present invention. Furthermore, a recording medium having the computer program recorded therein also constitutes the present invention. As a recording medium recording the computer program, for example,
CD-ROM, memory card, DVD, optical disk,
An FD, hard disk, ROM or the like can be used.
【0058】[0058]
【発明の効果】以上説明したように、本発明の認証シス
テムおよび認証方法等によれば、加入者本人と紐付けら
れ、なりすましが極めて困難な情報端末10の電話番号
を用いて加入者の認証を行うことにより、膨大な数の情
報端末(クライアント)の認証を簡易に行うことがで
き、PKIと同等のセキュリティをPKIと比較して簡
易に確保することができる認証システムおよび認証方法
等を提供することができる。As described above, according to the authentication system, the authentication method, and the like of the present invention, the subscriber is authenticated by using the telephone number of the information terminal 10 that is associated with the subscriber and is extremely difficult to impersonate. By doing so, it is possible to easily authenticate a huge number of information terminals (clients), and to provide an authentication system and an authentication method that can easily secure security equivalent to PKI compared to PKI. can do.
【図1】 本発明の認証システムの概要を示す図であ
る。FIG. 1 is a diagram showing an outline of an authentication system of the present invention.
【図2】 本発明の実施の形態1における情報端末10
の利用登録時の処理を示すブロック図である。FIG. 2 is an information terminal 10 according to the first embodiment of the present invention.
It is a block diagram showing a process at the time of use registration.
【図3】 本発明の認証システムにおける非公開の加入
者IDデータベース200のデータ構造を示す図であ
る。FIG. 3 is a diagram showing a data structure of a private subscriber ID database 200 in the authentication system of the present invention.
【図4】 本発明の認証システムにおける公開の公開鍵
データベース300のデータ構造を示す図である。FIG. 4 is a diagram showing a data structure of a public public key database 300 in the authentication system of the present invention.
【図5】 本発明の実施の形態1において情報端末10
の表示部12に表示される例を示す図である。FIG. 5 is an information terminal 10 according to the first embodiment of the present invention.
It is a figure which shows the example displayed on the display part 12 of this.
【図6】 本発明の実施の形態2において情報端末10
がインターネット30を介してウェブ・サーバ50等へ
アクセスする際の認証処理を示すブロック図である。FIG. 6 is an information terminal 10 according to the second embodiment of the present invention.
6 is a block diagram showing an authentication process when a user accesses a web server 50 or the like via the Internet 30. FIG.
【図7】 本発明の認証システムにおけるパスワード登
録データベース400のデータ構造を示す図である。FIG. 7 is a diagram showing a data structure of a password registration database 400 in the authentication system of the present invention.
【図8】 本発明の認証システムにおけるコンテンツ登
録データベース500のデータ構造を示す図である。FIG. 8 is a diagram showing a data structure of a content registration database 500 in the authentication system of the present invention.
【図9】 本発明の実施の形態2において決済機関へ支
払方法を登録する際に情報端末10の表示部12に表示
される例を示す図である。FIG. 9 is a diagram showing an example displayed on the display unit 12 of the information terminal 10 when the payment method is registered in the settlement organization in the second embodiment of the present invention.
【図10】 本発明の実施の形態2において有料サービ
スを利用する際に情報端末10の表示部12に表示され
る例を示す図である。FIG. 10 is a diagram showing an example displayed on a display unit 12 of the information terminal 10 when using a pay service in Embodiment 2 of the present invention.
10 情報端末、 12 情報端末10の表示部、 2
0 通信事業者の通信網、 22 加入者識別子発行装
置、 24 公開鍵登録装置、 30 インターネッ
ト、 40 決済機関のウェブ・サーバ、 42 認証
・課金装置、 50 CSP/ASPのウェブ・サー
バ、 52 サービス提供装置、 60 認証モジュー
ル、 100,110,120,140,160,18
0 表示部12に表示される画面例、 101 オンラ
イン・サインアップを行う画面である旨の表示、 10
2 加入者に対して希望の電子メール・アドレスを尋ね
る旨の表示、 104 ユーザ・ログイン名の入力欄、
106 料金支払方法の表示、 108 サインアッ
プ選択ボタン、 109a,109b,109c,10
9d キャンセル・ボタン、 111 オンライン・サ
インアップ中である旨の表示、 112 一連の処理中
の表示、 114 利用登録の処理の進行の度合いを示
す表示、 121 支払方法の登録を行う画面である旨
の表示、 122パスワードの登録を示す表示、 12
4 パスワード入力欄、 126 当該サイトが暗号化
されている旨の表示、 128a、128b、128c
OKボタン、 142 支払方法の登録の完了に関す
る表示、 144 戻りボタン、146 パスワード変
更ボタン、 161 新譜のダウンロードを行う画面で
ある旨の表示、 162 コンテンツ登録データベース
500等に登録されたデータを示す表示、 164 ダ
ウンロードするか否かを尋ねる表示、 182パスワー
ドを入力することを促す表示、 200 加入者IDデ
ータベース、202 電話番号、 204 加入者識別
子、 206 電子メール・アドレス、 208 オン
ライン・サインアップを行った年月日、 210 加入
者の氏名、 212 加入者の住所、 214 加入者
が有する口座番号、 300公開鍵データベース、 3
02 公開鍵、 400 パスワード登録データベー
ス、 402 パスワード、 404 パスワード登録
年月日、 406 パスワード設定状態、 500 コ
ンテンツ登録データベース、 502 コンテンツ番
号、 504 コンテンツの名称、 506 コンテン
ツの価格、 508コンテンツについてサポートしてい
る価格の支払方法。10 information terminal, 12 display section of information terminal 10, 2
0 communication carrier's communication network, 22 subscriber identifier issuing device, 24 public key registration device, 30 Internet, 40 settlement institution web server, 42 authentication / billing device, 50 CSP / ASP web server, 52 service provision Device, 60 authentication module, 100, 110, 120, 140, 160, 18
0 An example of a screen displayed on the display unit 101 A display indicating that it is a screen for online signup, 10
2 Display asking subscribers for their desired e-mail address, 104 User login name input field,
106 display of fee payment method, 108 sign-up selection button, 109a, 109b, 109c, 10
9d cancel button, 111 online sign-up display, 112 a series of processing in progress, 114 display showing the degree of progress of usage registration processing, 121 a screen for registering a payment method Display, 122 display showing password registration, 12
4 Password input field, 126 Display that the site is encrypted, 128a, 128b, 128c
OK button, 142 Display regarding completion of registration of payment method, 144 Return button, 146 Password change button, 161 Display indicating that screen is for downloading new music, 162 Display showing data registered in content registration database 500, etc., 164 Display asking whether to download, 182 Display prompting for password, 200 Subscriber ID database, 202 Telephone number, 204 Subscriber identifier, 206 E-mail address, 208 Year of online sign-up Date and time, 210 Subscriber name, 212 Subscriber address, 214 Subscriber account number, 300 Public key database, 3
02 public key, 400 password registration database, 402 password, 404 password registration date, 406 password setting status, 500 content registration database, 502 content number, 504 content name, 506 content price, 508 content is supported How to pay the price.
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04M 11/00 302 H04L 9/00 673B 601C 601F Fターム(参考) 5B085 AE01 AE23 AE29 BG03 5J104 AA07 AA16 EA16 EA26 KA02 MA01 NA02 PA02 PA10 5K024 AA62 AA63 AA71 BB04 CC07 CC09 CC10 CC11 DD01 DD02 FF03 FF04 GG01 GG05 GG06 GG08 5K101 KK16 KK17 KK18 LL00 MM07 NN48 PP03 PP04 ─────────────────────────────────────────────────── ─── Continuation of front page (51) Int.Cl. 7 Identification code FI theme code (reference) H04M 11/00 302 H04L 9/00 673B 601C 601F F term (reference) 5B085 AE01 AE23 AE29 BG03 5J104 AA07 AA16 EA16 EA26 KA02 MA01 NA02 PA02 PA10 5K024 AA62 AA63 AA71 BB04 CC07 CC09 CC10 CC11 DD01 DD02 FF03 FF04 GG01 GG05 GG06 GG08 5K101 KK16 KK17 KK18 LL00 MM07 NN48 PP03 PP04
Claims (18)
を識別する加入者識別子を発行する加入者識別子発行装
置および該加入者の公開鍵を登録する公開鍵登録装置が
該通信網を介して接続された認証システムであって、 前記情報端末は、 該情報端末の公開鍵と秘密鍵とを生成する鍵生成手段
と、 前記鍵生成手段により生成された公開鍵を加入者識別子
発行装置へ送信する公開鍵送信手段とを備え、該通信網
が接続したインターネットを介して加入者識別子に基づ
く認証を外部と行うものであり、 前記加入者識別子発行装置は、 前記公開鍵送信手段により公開鍵を送信した情報端末の
電話番号の認証を行う電話番号認証手段と、 前記電話番号認証手段により電話番号が認証された情報
端末について、該電話番号に基づき加入者識別子を発行
する加入者識別子発行手段と、 前記電話番号認証手段により電話番号が認証された情報
端末の公開鍵と前記加入者識別子発行手段により発行さ
れた加入者識別子とを含む加入者公開鍵情報を公開鍵登
録装置へ送信する加入者公開鍵情報送信手段とを備え、
前記加入者識別子発行手段により発行された加入者識別
子を情報端末側へ送信するものであり、 前記公開鍵登録装置は、 前記加入者公開鍵情報送信手段により送信された加入者
公開鍵情報を登録する加入者公開鍵情報登録手段を備え
たことを特徴とする認証システム。1. An information terminal on the subscriber side of a communication network, a subscriber identifier issuing device for issuing a subscriber identifier for identifying the subscriber, and a public key registration device for registering the public key of the subscriber are the communication network. An authentication system connected via the information terminal, wherein the information terminal has a key generation means for generating a public key and a secret key of the information terminal, and a public key generated by the key generation means for issuing a subscriber identifier. A public key transmitting means for transmitting to the device, for externally performing authentication based on a subscriber identifier via the Internet connected to the communication network, wherein the subscriber identifier issuing device is configured by the public key transmitting means. For a telephone number authenticating unit that authenticates the telephone number of the information terminal that has transmitted the public key, and for the information terminal whose telephone number has been authenticated by the telephone number authenticating unit, issue a subscriber identifier based on the telephone number Subscriber public key information including a subscriber identifier issuing means, a public key of the information terminal whose telephone number is authenticated by the telephone number authenticating means, and a subscriber identifier issued by the subscriber identifier issuing means. A subscriber public key information transmitting means for transmitting to the registration device,
The subscriber identifier issued by the subscriber identifier issuing means is transmitted to the information terminal side, and the public key registration device registers the subscriber public key information transmitted by the subscriber public key information transmitting means. An authentication system characterized by comprising a subscriber public key information registering means.
さらに備え、 前記情報端末は、 加入者識別子発行装置から送信された加入者識別子を記
録した加入者識別子記録部と、 前記鍵生成手段により生成された秘密鍵を記録した秘密
鍵記録部と、 前記加入者識別子記録部に記録された加入者識別子を、
前記ウェブ・サーバ側へ送信する手段と、 前記ウェブ・サーバ側から送信された所定の符号を前記
秘密鍵記録部に記録された秘密鍵で暗号化し、該暗号化
された符号を該ウェブ・サーバ側へ送信する暗号化符号
送信手段とをさらに備え、 前記公開鍵登録装置は、前記加入者公開鍵情報登録手段
により登録された加入者公開鍵情報がインターネット上
に公開可能に記録された加入者公開鍵情報記録部をさら
に備え、前記ウェブ・サーバ側から送信された加入者識
別子に対応する公開鍵を前記加入者公開鍵情報記録部か
ら得て該ウェブ・サーバ側へ送信するものであることを
特徴とする認証システム。2. The authentication system according to claim 1, further comprising a web server on the Internet connected to a communication network, wherein the information terminal records a subscriber identifier transmitted from a subscriber identifier issuing device. A subscriber identifier recording unit, a secret key recording unit that records the secret key generated by the key generation unit, and a subscriber identifier recorded in the subscriber identifier recording unit,
Means for transmitting to the web server side, a predetermined code transmitted from the web server side is encrypted with a secret key recorded in the secret key recording unit, and the encrypted code is transmitted to the web server The public key registration device is a subscriber whose public key information registered by the subscriber public key information registration means is publicly recorded on the Internet. A public key information recording unit is further provided, and a public key corresponding to the subscriber identifier transmitted from the web server side is obtained from the subscriber public key information recording unit and transmitted to the web server side. Authentication system characterized by.
録装置へ送信する手段と、 所定の符号を生成し、該符号を該情報端末側へ送信する
符号送信手段と、 情報端末側から前記暗号化符号送信手段により送信され
た暗号化された符号を、前記公開鍵登録装置側から送信
された該情報端末の公開鍵で復号化する復号化手段とを
備え、前記符号送信手段により該情報端末側へ送信され
た符号と前記復号化手段により復号化された符号とが等
しい場合、該情報端末側の確認を行うことを特徴とする
認証システム。3. The authentication system according to claim 2, wherein the web server transmits a subscriber identifier transmitted from an information terminal side to the public key registration device, generates a predetermined code, A code transmitting means for transmitting a code to the information terminal side, and an encrypted code transmitted by the encryption code transmitting means from the information terminal side for disclosure of the information terminal transmitted from the public key registration device side Decoding means for decoding with a key is provided, and when the code transmitted to the information terminal side by the code transmitting means is equal to the code decoded by the decoding means, the information terminal side is confirmed. An authentication system characterized by that.
証システムにおいて、 前記鍵生成手段は、情報端末固有の端末識別子と所定の
乱数とに基づいて公開鍵および秘密鍵を生成することを
特徴とする認証システム。4. The authentication system according to claim 1, wherein the key generation means generates a public key and a secret key based on a terminal identifier unique to the information terminal and a predetermined random number. Characteristic authentication system.
証システムにおいて、 情報端末の公開鍵と秘密鍵とを生成し、該生成された公
開鍵と秘密鍵とを情報端末へ送信する、通信網に接続さ
れた鍵生成装置をさらに備え、 前記情報端末の公開鍵送信手段は、前記鍵生成装置によ
り送信された公開鍵を加入者識別子発行装置へ送信する
ことを特徴とする認証システム。5. The authentication system according to any one of claims 1 to 3, wherein a public key and a secret key of the information terminal are generated, and the generated public key and secret key are transmitted to the information terminal. The authentication system further comprising a key generation device connected to a communication network, wherein the public key transmission means of the information terminal transmits the public key transmitted by the key generation device to a subscriber identifier issuing device.
証システムにおいて、 情報端末の公開鍵と秘密鍵とを生成し、該生成された公
開鍵と秘密鍵とを所定の記録媒体へ記録する鍵記録装置
をさらに備え、 前記情報端末の公開鍵送信手段は、前記鍵記録装置によ
り所定の記録媒体へ記録された公開鍵を読取り、該公開
鍵を加入者識別子発行装置へ送信することを特徴とする
認証システム。6. The authentication system according to claim 1, wherein a public key and a secret key of the information terminal are generated, and the generated public key and secret key are recorded in a predetermined recording medium. A public key transmitting means of the information terminal reads the public key recorded in a predetermined recording medium by the key recording device, and transmits the public key to the subscriber identifier issuing device. Characteristic authentication system.
証システムにおいて、 前記加入者識別子発行手段が発行する加入者識別子は、
情報端末をインターネット上で特定可能かつ公開可能な
識別子であることを特徴とする認証システム。7. The authentication system according to claim 1, wherein the subscriber identifier issued by the subscriber identifier issuing means is:
An authentication system characterized by being an identifier that can identify and publish an information terminal on the Internet.
を発行する加入者識別子発行装置および該加入者の公開
鍵を登録する公開鍵登録装置が該通信網を介して接続さ
れた認証システムにおける該通信網の加入者側の情報端
末であって、該加入者識別子は該情報端末の電話番号に
基づくものであり、 該情報端末の公開鍵と秘密鍵とを生成する鍵生成手段
と、 前記鍵生成手段により生成された公開鍵を加入者識別子
発行装置へ送信する公開鍵送信手段とを備え、該通信網
が接続したインターネットを介して加入者識別子に基づ
く認証を外部と行うことを特徴とする情報端末。8. An authentication system in which a subscriber identifier issuing device for issuing a subscriber identifier for identifying a subscriber of a communication network and a public key registration device for registering the public key of the subscriber are connected via the communication network. An information terminal on the subscriber side of the communication network in which the subscriber identifier is based on the telephone number of the information terminal, and key generation means for generating a public key and a secret key of the information terminal, Public key transmission means for transmitting the public key generated by the key generation means to the subscriber identifier issuing device, and performing authentication based on the subscriber identifier via the Internet connected to the communication network to the outside. And information terminal.
録した加入者識別子記録部と、 前記鍵生成手段により生成された秘密鍵を記録した秘密
鍵記録部と、 前記加入者識別子記録部に記録された加入者識別子を、
通信網が接続したインターネット上のウェブ・サーバ側
へ送信する手段と、 前記ウェブ・サーバ側から送信された所定の符号を前記
秘密鍵記録部に記録された秘密鍵で暗号化し、該暗号化
された符号を該ウェブ・サーバ側へ送信する暗号化符号
送信手段とをさらに備えたことを特徴とする情報端末。9. The information terminal according to claim 8, wherein a subscriber identifier recording unit that records a subscriber identifier transmitted from the subscriber identifier issuing device, and a secret that records a secret key generated by the key generation means. A key recording unit, a subscriber identifier recorded in the subscriber identifier recording unit,
A means for transmitting to the web server side on the internet connected to the communication network, and a predetermined code transmitted from the web server side is encrypted by the secret key recorded in the secret key recording section, and the encrypted An information terminal further comprising: an encrypted code transmitting means for transmitting the encoded code to the web server side.
加入者の公開鍵を登録する公開鍵登録装置が該通信網を
介して接続された認証システムにおける加入者の識別子
を発行する加入者識別子発行装置であって、 公開鍵を送信した情報端末の電話番号の認証を行う電話
番号認証手段と、 前記電話番号認証手段により電話番号が認証された情報
端末について、該電話番号に基づき加入者識別子を発行
する加入者識別子発行手段と、 前記電話番号認証手段により電話番号が認証された情報
端末の公開鍵と前記加入者識別子発行手段により発行さ
れた加入者識別子とを含む加入者公開鍵情報を公開鍵登
録装置へ送信する加入者公開鍵情報送信手段とを備え、
前記加入者識別子発行手段により発行された加入者識別
子を情報端末側へ送信することを特徴とする加入者識別
子発行装置。10. A subscriber who issues an identifier of a subscriber in an authentication system to which an information terminal on the subscriber side of a communication network and a public key registration device for registering the public key of the subscriber are connected via the communication network. An identifier issuing device, a telephone number authenticating means for authenticating a telephone number of an information terminal that has transmitted a public key, and an information terminal whose telephone number is authenticated by the telephone number authenticating means, based on the telephone number Subscriber public key information including subscriber identifier issuing means for issuing an identifier, a public key of the information terminal whose telephone number is authenticated by the telephone number authenticating means, and a subscriber identifier issued by the subscriber identifier issuing means And a subscriber public key information transmitting means for transmitting to the public key registration device,
A subscriber identifier issuing device, which transmits the subscriber identifier issued by the subscriber identifier issuing means to the information terminal side.
加入者を識別する加入者識別子を発行する加入者識別子
発行装置が該通信網を介して接続された認証システムに
おける加入者の公開鍵を登録する公開鍵登録装置であっ
て、 加入者識別子発行装置から送信された電話番号が認証さ
れた情報端末の公開鍵と加入者識別子とを含む加入者公
開鍵情報を登録する加入者公開鍵情報登録手段と、 前記加入者公開鍵情報登録手段により登録された加入者
公開鍵情報がインターネット上に公開可能に記録された
加入者公開鍵情報記録部とを備え、該通信網が接続した
インターネット上のウェブ・サーバ側から送信された加
入者識別子に対応する公開鍵を前記加入者公開鍵情報記
録部から得て該ウェブ・サーバ側へ送信することを特徴
とする公開鍵登録装置。11. A public key of a subscriber in an authentication system in which an information terminal on the subscriber side of a communication network and a subscriber identifier issuing device for issuing a subscriber identifier for identifying the subscriber are connected via the communication network. Which is a public key registration device for registering subscriber public key information including the public key and subscriber identifier of the information terminal of which the telephone number transmitted from the subscriber identifier issuing device has been authenticated. An internet to which the communication network is connected, comprising an information registering means and a subscriber public key information recording section in which the subscriber public key information registered by the subscriber public key information registering means is releasably recorded on the internet. Public key registration, characterized in that the public key corresponding to the subscriber identifier transmitted from the above web server side is obtained from the subscriber public key information recording section and transmitted to the web server side. Location.
者を識別する加入者識別子を発行する加入者識別子発行
装置および該加入者の公開鍵を登録する公開鍵登録装置
が該通信網を介して接続されたシステムにおける認証方
法であって、 情報端末の公開鍵と秘密鍵とを生成する鍵生成ステップ
と、 前記鍵生成ステップにより生成された公開鍵を情報端末
から加入者識別子発行装置へ送信する公開鍵送信ステッ
プと、 前記公開鍵送信ステップにより公開鍵を送信した情報端
末の電話番号の認証を加入者識別子発行装置が行う電話
番号認証ステップと、 前記電話番号認証ステップにより電話番号が認証された
情報端末について、該電話番号に基づき加入者識別子発
行装置が加入者識別子を発行する加入者識別子発行ステ
ップと、 前記電話番号認証ステップにより電話番号が認証された
情報端末の公開鍵と前記加入者識別子発行ステップによ
り発行された加入者識別子とを含む加入者公開鍵情報を
加入者識別子発行装置から公開鍵登録装置へ送信する加
入者公開鍵情報送信ステップと、 前記加入者公開鍵情報送信ステップにより公開鍵登録装
置へ送信された加入者公開鍵情報を加入者公開鍵情報登
録部へ登録する加入者公開鍵情報登録ステップと、 前記加入者識別子発行ステップにより発行された加入者
識別子を加入者識別子発行装置から情報端末側へ送信す
る加入者識別子送信ステップと、 該通信網が接続したインターネットを介して、情報端末
が前記加入者識別子送信ステップにより送信された加入
者識別子に基づく認証を外部と行う認証ステップとを備
えたことを特徴とする認証方法。12. An information terminal on the subscriber side of a communication network, a subscriber identifier issuing device for issuing a subscriber identifier for identifying the subscriber, and a public key registration device for registering the public key of the subscriber are the communication network. A method for authenticating in a system connected via a key generation step of generating a public key and a secret key of an information terminal, and a public key generated by the key generation step from the information terminal to a subscriber identifier issuing device. A public key transmitting step for transmitting to the public key transmitting step, a telephone number authenticating step in which the subscriber identifier issuing device authenticates the telephone number of the information terminal that transmitted the public key in the public key transmitting step, and a telephone number in the telephone number authenticating step. A subscriber identifier issuing step for the subscriber identifier issuing device to issue a subscriber identifier based on the telephone number for the authenticated information terminal; Subscribe to send subscriber public key information including the public key of the information terminal whose telephone number has been authenticated in step and the subscriber identifier issued in the subscriber identifier issuing step from the subscriber identifier issuing device to the public key registration device. A public key information transmission step, a subscriber public key information registration step of registering the subscriber public key information transmitted to the public key registration device in the subscriber public key information transmission step in a subscriber public key information registration section, A subscriber identifier transmitting step of transmitting the subscriber identifier issued by the subscriber identifier issuing step from the subscriber identifier issuing device to the information terminal side, and the information terminal via the Internet connected to the communication network An authentication step of externally performing authentication based on the subscriber identifier transmitted by the identifier transmitting step. Method.
識別子を、情報端末から通信網が接続したインターネッ
ト上のウェブ・サーバへ送信する情報端末側加入者識別
子送信ステップと、 前記情報端末側加入者識別子送信ステップにより送信さ
れた加入者識別子を、ウェブ・サーバから前記公開鍵登
録装置へ送信するウェブ・サーバ側加入者識別子送信ス
テップと、 前記ウェブ・サーバ側加入者識別子送信ステップにより
送信された加入者識別子に対応する公開鍵を、加入者公
開鍵情報登録部から得て公開鍵登録装置からウェブ・サ
ーバへ送信する公開鍵登録装置側送信ステップと、 生成された所定の符号をウェブ・サーバから情報端末へ
送信する符号送信ステップと、 前記符号送信ステップにより送信された所定の符号を前
記鍵生成ステップにより生成された秘密鍵で暗号化し、
該暗号化された符号をウェブ・サーバへ送信する暗号化
符号送信ステップと、 前記暗号化符号送信ステップによりウェブ・サーバへ送
信された暗号化された符号を、公開鍵登録装置からウェ
ブ・サーバへ送信された情報端末の公開鍵で復号化する
復号化ステップと、 前記符号送信ステップにより情報端末へ送信された符号
と前記復号化ステップにより復号化された符号とが等し
い場合、該情報端末の確認を行うステップとを備えたこ
とを特徴とする認証方法。13. The authentication method according to claim 12, wherein in the authenticating step, the subscriber identifier transmitted in the subscriber identifier transmitting step is transmitted from an information terminal to a web server on the Internet connected to a communication network. An information terminal side subscriber identifier transmitting step, and a web server side subscriber identifier transmitting step of transmitting the subscriber identifier transmitted in the information terminal side subscriber identifier transmitting step from a web server to the public key registration device. And public key registration in which the public key corresponding to the subscriber identifier transmitted in the web server side subscriber identifier transmitting step is obtained from the subscriber public key information registration unit and transmitted from the public key registration device to the web server. The device side transmission step and the code transmission step for transmitting the generated predetermined code from the web server to the information terminal. And flop, encrypts predetermined code transmitted by said code transmission step with the private key generated by the key generating step,
An encrypted code transmitting step of transmitting the encrypted code to the web server, and the encrypted code transmitted to the web server in the encrypted code transmitting step from the public key registration device to the web server. Decoding step of decoding with the transmitted public key of the information terminal, and if the code transmitted to the information terminal in the code transmitting step and the code decoded in the decoding step are the same, confirmation of the information terminal An authentication method comprising the step of:
者識別子発行装置および該加入者の公開鍵を登録する公
開鍵登録装置が該通信網を介して接続された認証システ
ムにおける該通信網の加入者側の情報端末であって、該
加入者識別子は該情報端末の電話番号に基づくものであ
る情報端末で、 該情報端末の公開鍵と秘密鍵とを生成する鍵生成手段、 前記鍵生成手段により生成された公開鍵を加入者識別子
発行装置へ送信する公開鍵送信手段、 該通信網が接続したインターネットを介して加入者識別
子に基づく認証を外部と行う手段として機能させるため
のプログラム。14. A computer is connected to a subscriber identifier issuing device for issuing a subscriber identifier for identifying a subscriber of a communication network and a public key registration device for registering a public key of the subscriber via the communication network. An information terminal on the subscriber side of the communication network in the authentication system, wherein the subscriber identifier is based on the telephone number of the information terminal, and generates a public key and a secret key of the information terminal. Key generating means, public key transmitting means for transmitting the public key generated by the key generating means to the subscriber identifier issuing device, means for externally performing authentication based on the subscriber identifier via the Internet connected to the communication network Program to function as.
て、 加入者識別子発行装置から送信された加入者識別子を記
録した加入者識別子記録部と、 前記鍵生成手段により生成された秘密鍵を記録した秘密
鍵記録部と、 前記加入者識別子記録部に記録された加入者識別子を、
通信網が接続したインターネット上のウェブ・サーバ側
へ送信する手段と、 前記ウェブ・サーバ側から送信された所定の符号を前記
秘密鍵記録部に記録された秘密鍵で暗号化し、該暗号化
された符号を該ウェブ・サーバ側へ送信する暗号化符号
送信手段とをさらに備えたことを特徴とするプログラ
ム。15. The program according to claim 14, wherein the subscriber identifier recording unit records the subscriber identifier transmitted from the subscriber identifier issuing device, and the secret key records the secret key generated by the key generation means. A recording unit, a subscriber identifier recorded in the subscriber identifier recording unit,
A means for transmitting to the web server side on the internet connected to the communication network, and a predetermined code transmitted from the web server side is encrypted by the secret key recorded in the secret key recording section, and the encrypted And a cryptographic code transmitting means for transmitting the encoded code to the web server side.
登録する公開鍵登録装置が該通信網を介して接続された
認証システムにおける加入者の識別子を発行する加入者
識別子発行装置で、 公開鍵を送信した情報端末の電話番号の認証を行う電話
番号認証手段、 前記電話番号認証手段により電話番号が認証された情報
端末について、該電話番号に基づき加入者識別子を発行
する加入者識別子発行手段、 前記電話番号認証手段により電話番号が認証された情報
端末の公開鍵と前記加入者識別子発行手段により発行さ
れた加入者識別子とを含む加入者公開鍵情報を公開鍵登
録装置へ送信する加入者公開鍵情報送信手段、 前記加入者識別子発行手段により発行された加入者識別
子を情報端末側へ送信する手段として機能させるための
プログラム。16. An information terminal on the side of a subscriber of a communication network and a public key registration device for registering the public key of the subscriber are connected to the computer via the communication network to issue an identifier of the subscriber in the authentication system. In the subscriber identifier issuing device, the telephone number authenticating means for authenticating the telephone number of the information terminal that has transmitted the public key, the information terminal whose telephone number is authenticated by the telephone number authenticating means, the subscriber based on the telephone number Subscriber identifier issuing means for issuing an identifier, subscriber public key information including a public key of the information terminal whose telephone number is authenticated by the telephone number authenticating means and a subscriber identifier issued by the subscriber identifier issuing means Subscriber public key information transmitting means for transmitting to the public key registration device, and means for transmitting the subscriber identifier issued by the subscriber identifier issuing means to the information terminal side. Program to function.
加入者識別子を発行する加入者識別子発行装置が該通信
網を介して接続された認証システムにおける加入者の公
開鍵を登録する公開鍵登録装置で、 加入者識別子発行装置から送信された電話番号が認証さ
れた情報端末の公開鍵と加入者識別子とを含む加入者公
開鍵情報を、インターネット上に公開可能に記録された
加入者公開鍵情報記録部に登録する加入者公開鍵情報登
録手段、 該通信網が接続したインターネット上のウェブ・サーバ
側から送信された加入者識別子に対応する公開鍵を前記
加入者公開鍵情報記録部から得て該ウェブ・サーバ側へ
送信する手段として機能させるためのプログラム。17. A subscriber in an authentication system in which a computer is connected to an information terminal on the subscriber side of a communication network and a subscriber identifier issuing device for issuing a subscriber identifier for identifying the subscriber through the communication network. The public key registration device for registering the public key of the subscriber public key information including the public key and the subscriber identifier of the information terminal whose telephone number has been authenticated transmitted from the subscriber identifier issuing device is published on the Internet. Subscriber public key information registration means for registering in the subscriber public key information recording section recorded as possible, the public key corresponding to the subscriber identifier transmitted from the web server side on the Internet to which the communication network is connected, A program to be obtained from the subscriber public key information recording unit and to function as a means for transmitting to the web server side.
載のプログラムを記録したコンピュータ読取り可能な記
録媒体。18. A computer-readable recording medium in which the program according to any one of claims 14 to 17 is recorded.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001253539A JP2003069560A (en) | 2001-08-23 | 2001-08-23 | Authentication system, information terminal, subscriber identifier issuing device, public key registering device, authentication method, program, and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001253539A JP2003069560A (en) | 2001-08-23 | 2001-08-23 | Authentication system, information terminal, subscriber identifier issuing device, public key registering device, authentication method, program, and storage medium |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003069560A true JP2003069560A (en) | 2003-03-07 |
Family
ID=19081850
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001253539A Pending JP2003069560A (en) | 2001-08-23 | 2001-08-23 | Authentication system, information terminal, subscriber identifier issuing device, public key registering device, authentication method, program, and storage medium |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003069560A (en) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007519307A (en) * | 2003-11-26 | 2007-07-12 | インターナショナル・ビジネス・マシーンズ・コーポレーション | System, method, and service for distributing and playing multimedia content on physical media |
| JP2007520011A (en) * | 2004-02-02 | 2007-07-19 | サムスン エレクトロニクス カンパニー リミテッド | Data recording and playback method under domain management system |
| JP2009141674A (en) * | 2007-12-06 | 2009-06-25 | Nippon Telegr & Teleph Corp <Ntt> | Id-based encryption system and method |
| US7996322B2 (en) | 2003-10-01 | 2011-08-09 | Samsung Electronics Co., Ltd. | Method of creating domain based on public key cryptography |
| WO2013036010A1 (en) * | 2011-09-05 | 2013-03-14 | 주식회사 케이티 | Certification method using an embedded uicc certificate, provisioning and mno changing methods using the certification method, embedded uicc therefor, mno system, and recording medium |
| WO2014068862A1 (en) | 2012-10-31 | 2014-05-08 | Sony Corporation | Information processing apparatus, information processing system, information processing method and computer program |
| JP2016063533A (en) * | 2014-09-16 | 2016-04-25 | キーパスコ アーベーKeypasco AB | Network authentication method for electronic transactions |
| US9451459B2 (en) | 2011-09-05 | 2016-09-20 | Kt Corporation | Certification method using an embedded UICC certificate, provisioning and MNO changing methods using the certification method, embedded UICC therefor, MNO system, and recording medium |
| CN113486323A (en) * | 2021-07-07 | 2021-10-08 | 公安部交通管理科学研究所 | Electronic identification personalized issuing method and system for electric bicycle |
-
2001
- 2001-08-23 JP JP2001253539A patent/JP2003069560A/en active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7996322B2 (en) | 2003-10-01 | 2011-08-09 | Samsung Electronics Co., Ltd. | Method of creating domain based on public key cryptography |
| JP2007519307A (en) * | 2003-11-26 | 2007-07-12 | インターナショナル・ビジネス・マシーンズ・コーポレーション | System, method, and service for distributing and playing multimedia content on physical media |
| JP4750038B2 (en) * | 2003-11-26 | 2011-08-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | System, method, and service for distributing and playing multimedia content on physical media |
| JP2007520011A (en) * | 2004-02-02 | 2007-07-19 | サムスン エレクトロニクス カンパニー リミテッド | Data recording and playback method under domain management system |
| US7802312B2 (en) | 2004-02-02 | 2010-09-21 | Samsung Electronics Co., Ltd. | Method of recording and/or reproducing data under control of domain management system |
| JP2009141674A (en) * | 2007-12-06 | 2009-06-25 | Nippon Telegr & Teleph Corp <Ntt> | Id-based encryption system and method |
| WO2013036010A1 (en) * | 2011-09-05 | 2013-03-14 | 주식회사 케이티 | Certification method using an embedded uicc certificate, provisioning and mno changing methods using the certification method, embedded uicc therefor, mno system, and recording medium |
| US9451459B2 (en) | 2011-09-05 | 2016-09-20 | Kt Corporation | Certification method using an embedded UICC certificate, provisioning and MNO changing methods using the certification method, embedded UICC therefor, MNO system, and recording medium |
| WO2014068862A1 (en) | 2012-10-31 | 2014-05-08 | Sony Corporation | Information processing apparatus, information processing system, information processing method and computer program |
| EP2805284A1 (en) * | 2012-10-31 | 2014-11-26 | Sony Corporation | Information processing apparatus, information processing system, information processing method and computer program |
| US9807071B2 (en) | 2012-10-31 | 2017-10-31 | Sony Corporation | Information processing apparatus, information processing system, information processing method and computer program |
| JP2016063533A (en) * | 2014-09-16 | 2016-04-25 | キーパスコ アーベーKeypasco AB | Network authentication method for electronic transactions |
| CN113486323A (en) * | 2021-07-07 | 2021-10-08 | 公安部交通管理科学研究所 | Electronic identification personalized issuing method and system for electric bicycle |
| CN113486323B (en) * | 2021-07-07 | 2023-05-12 | 公安部交通管理科学研究所 | Personalized issuing method and system for electronic identification of electric bicycle |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1701295B (en) | Method and system for a single-sign-on access to a computer grid | |
| AU2006298507B2 (en) | Method and arrangement for secure autentication | |
| US8595816B2 (en) | User authentication system and method for the same | |
| JP5027227B2 (en) | Method and apparatus for an authentication procedure in a communication network | |
| US7225337B2 (en) | Cryptographic security method and electronic devices suitable therefor | |
| CN107690771B (en) | Method, device and system for certificate management | |
| US7509119B2 (en) | Authentication method and device in a telecommunication network using a portable device | |
| JP2010259074A (en) | Secure session set up based on wireless application protocol | |
| WO2007099608A1 (en) | Authentication system, ce device, mobile terminal, key certificate issuing station, and key certificate acquisition method | |
| US20050257058A1 (en) | Communication apparatus and authentication apparatus | |
| KR20020081269A (en) | Method for issuing an electronic identity | |
| JP5468138B2 (en) | Entity authentication method for introducing online third-party devices | |
| CN101242269B (en) | Mobile communication terminal, service provider terminal, system and method for subscribing telecommunication service | |
| JP2003069560A (en) | Authentication system, information terminal, subscriber identifier issuing device, public key registering device, authentication method, program, and storage medium | |
| JP2009118110A (en) | Method and system for provisioning meta data of authentication system, its program and recording medium | |
| EP1514446B1 (en) | Self-registration method and automatic issue of digital certificates and related network architecture implementing such method | |
| KR20030005986A (en) | Method for the process of certification using mobile communication devices with the function of wireless certification(digital signature) | |
| Yeun et al. | Secure m-commerce with WPKI | |
| KR100629450B1 (en) | Method and System for User Authentication by Using Certificate Stored in Mobile Phone in Wired and Wireless Intergrated Internet Environment | |
| Halonen | Authentication and authorization in mobile environment | |
| US20040133784A1 (en) | Cryptographic signing in small devices | |
| JP3374716B2 (en) | Information transmission / reception control method having user authentication function and recording medium recording the method | |
| KR200375171Y1 (en) | Mobile Communication Devices for Using Unique IP Address as Certification Information | |
| JP2023073844A (en) | Authentication system, authentication terminal, and authentication program | |
| KR20040044430A (en) | Method for the process of certification using mobile communication devices with the function of wireless certification(digital signature) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050301 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050614 |