JP2016197767A - Authentication data verification system, device and method using command from communication apparatus - Google Patents
Authentication data verification system, device and method using command from communication apparatus Download PDFInfo
- Publication number
- JP2016197767A JP2016197767A JP2015075688A JP2015075688A JP2016197767A JP 2016197767 A JP2016197767 A JP 2016197767A JP 2015075688 A JP2015075688 A JP 2015075688A JP 2015075688 A JP2015075688 A JP 2015075688A JP 2016197767 A JP2016197767 A JP 2016197767A
- Authority
- JP
- Japan
- Prior art keywords
- command
- authentication data
- data
- received
- nth
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、遠隔に配置したプログラムやデータを利用する際におけるユーザの正当性を検証する認証技術に関する。 The present invention relates to an authentication technique for verifying the legitimacy of a user when using a remotely located program or data.
従来、無線タグ読み取り・書き込み装置、いわゆるリーダライタと、ユーザの所持する携帯端末とを近接させて通信を行うことによって、ユーザが様々なサービスを享受することを可能にする技術が実用化され、盛んに利用されている。この際、提供されるサービスとして、例えば、IC乗車カードによる交通機関の利用、電子マネーによる決済や、電子身分証明等が挙げられる。 Conventionally, wireless tag reading / writing devices, so-called reader / writers, and mobile terminals owned by the user communicate with each other in close proximity to enable technology to enable the user to enjoy various services. It is actively used. At this time, examples of the services provided include use of transportation by an IC boarding card, settlement by electronic money, and electronic identification.
また、最近、このようなサービスを提供するためのアプリケーション・プログラム及びデータを、端末側にではなくサーバ側に持たせる技術も提案されている。 Recently, a technique has been proposed in which an application program and data for providing such a service are provided on the server side instead of on the terminal side.
例えば、特許文献1には、アプリケーションを保持し実行する実行部を有し、リーダライタから携帯端末を中継して受信したコマンドを用いてレスポンスを生成し、携帯端末を中継してリーダライタに送信するSA(Secure Application)サーバが開示されている。ここで、SAサーバは、携帯端末と認証サーバとの間で認証処理を行った際のセキュアIDを用いてユーザデータを特定し、次いで、この特定されたユーザデータを基にして、受信したコマンドに関わるアプリケーションを起動している。
For example,
しかしながら、特許文献1に記載の技術のような従来技術では、サーバに保持されたアプリケーションを利用する際におけるユーザの正当性の検証、といった認証の仕組みは何ら提示されていない。
However, the conventional technique such as the technique described in
例えば、一般的に採用可能な認証方法として、ユーザがサービス利用時に、ユーザ識別子(ID)及びパスワードを入力する方式が挙げられる。しかしながら、リーダライタに携帯端末をかざして利用する形態において、かざす前又はかざした後にユーザIDやパスワードを入力することは、ユーザの利便性を大きく低下させる。 For example, as a generally adoptable authentication method, there is a method in which a user inputs a user identifier (ID) and a password when using a service. However, in a form in which the portable terminal is held over the reader / writer, inputting the user ID or password before or after the holding over greatly reduces the convenience for the user.
また、他の認証方法として、端末に実装したICチップ等のセキュアデバイスに格納した鍵を用いて認証処理を行うことも考えられる。しかしながら、ICチップは一般に、端末に搭載されたソフトウェアと比較して処理能力が低いので、認証のためのデータ生成に時間を要し、全体の処理時間が長くなる。このように、ICチップを用いた認証も、サービスを利用するユーザに不便をかける原因となり得る。 As another authentication method, it is conceivable to perform an authentication process using a key stored in a secure device such as an IC chip mounted on a terminal. However, since an IC chip generally has a lower processing capability than software installed in a terminal, it takes time to generate data for authentication, and the entire processing time becomes longer. In this way, authentication using an IC chip can also cause inconvenience to users who use the service.
そこで、本発明は、サーバ側にアプリケーションを配置した形態において、ユーザの利便性を確保しつつ適切な認証を実施することができるシステム、装置及び方法を提供することを目的とする。 Accordingly, an object of the present invention is to provide a system, an apparatus, and a method capable of performing appropriate authentication while ensuring user convenience in a form in which an application is arranged on the server side.
本発明によれば、通信機器からコマンドを受信して外部へ送信し、当該コマンドを処理してレスポンスを生成可能なアプリケーション処理手段によって生成された当該レスポンスを受信して、この通信機器へ送信可能なユーザ端末を有する認証データ検証システムであって、
本認証データ検証システムは、ユーザ端末によって第1のコマンドの後に受信され送信される第N(Nは2以上の自然数)のコマンドの処理について、受信された第Nのコマンドの送信元を検証する認証データ検証手段を更に有し、
ユーザ端末は、
第Nのコマンドが通信機器から受信された際、第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータに基づく認証データを、第Nのコマンドに対するレスポンスを待って利用することなく生成する認証データ生成手段と、
第Nのコマンドに次いで第(N+1)のコマンドが受信された際、第Nのコマンドの処理について生成された認証データと第(N+1)のコマンドとを、認証データ検証手段に到達するように送信する端末側通信制御手段と
を有し、
認証データ検証手段は、既に受信された第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータに基づいて照合用データを生成し、第(N+1)のコマンドと共に受信された認証データと、当該照合用データとを照合して、第(N+1)のコマンドの送信元を検証する
ことを特徴とする認証データ検証システムが提供される。
According to the present invention, a command can be received from a communication device and transmitted to the outside, and the response generated by an application processing unit capable of processing the command and generating a response can be received and transmitted to the communication device. An authentication data verification system having a user terminal,
The authentication data verification system verifies the transmission source of the received Nth command for the processing of the Nth command (N is a natural number equal to or greater than 2) received and transmitted after the first command by the user terminal. It further has an authentication data verification means,
User terminal
When the Nth command is received from the communication device, the authentication is based on the Nth command or the data related to the Nth command and / or the data generated for the processing of the command received prior to the Nth command. Authentication data generation means for generating data without waiting for a response to the Nth command and using the data;
When the (N + 1) th command is received after the Nth command, the authentication data generated for the processing of the Nth command and the (N + 1) th command are transmitted so as to reach the authentication data verification means Terminal side communication control means for
The authentication data verification means is the verification data based on the Nth command already received or the data related to the Nth command and / or the data generated for the processing of the command received prior to the Nth command. An authentication data verification system characterized by verifying the transmission source of the (N + 1) th command by verifying the authentication data received together with the (N + 1) th command and the verification data. Provided.
この本発明による認証データ検証システムの好適な一実施形態として、認証データ生成手段は、第(N+1)のコマンドを通信機器から受信した際、第(N+1)のコマンドと、第Nのコマンドの処理について生成された認証データとに基づいて認証データを生成し、
認証データ検証手段は、第(N+2)のコマンドの処理について、先に受信された第(N+1)のコマンドと、第Nのコマンドの処理について生成された照合用データとに基づいて照合用データを生成し、第(N+2)のコマンドと共に受信された認証データと、生成した当該照合用データとを照合して、第(N+2)のコマンドの送信元を検証してもよい。
As a preferred embodiment of the authentication data verification system according to the present invention, when the authentication data generating means receives the (N + 1) th command from the communication device, the processing of the (N + 1) th command and the Nth command Generate authentication data based on the authentication data generated for
The authentication data verification means, for the processing of the (N + 2) th command, generates verification data based on the previously received (N + 1) th command and the verification data generated for the processing of the Nth command. The transmission source of the (N + 2) command may be verified by verifying the authentication data generated and received together with the (N + 2) command and the generated verification data.
また、本発明による認証データ検証システムの認証データ検証手段は、第1のコマンドの処理について、乱数を生成して当該乱数に基づいて照合用データを生成し、
本認証データ検証システムは、当該乱数をユーザ端末へ送信するサーバ側通信制御手段を更に有し、
認証データ生成手段は、受信された乱数に基づいて認証データを生成し、
端末側通信制御手段は、第1のコマンドに次いで第2のコマンドを受信した際、乱数に基づく認証データと、第2のコマンドとを認証データ検証手段に到達するように送信し、
認証データ検証手段は、第2のコマンドと共に受信された認証データと、乱数に基づいて生成した照合用データとを照合して、第2のコマンドの送信元を検証する
ことも好ましい。
Further, the authentication data verification means of the authentication data verification system according to the present invention generates a random number for the processing of the first command, generates verification data based on the random number,
The authentication data verification system further includes server side communication control means for transmitting the random number to the user terminal,
The authentication data generation means generates authentication data based on the received random number,
When the terminal side communication control means receives the second command after the first command, the terminal side communication control means transmits the authentication data based on the random number and the second command so as to reach the authentication data verification means,
It is also preferable that the authentication data verifying unit verifies the transmission source of the second command by comparing the authentication data received together with the second command and the verification data generated based on the random number.
さらに、本発明による認証データ検証システムの他の実施形態として、通信機器から受信されるコマンドは、提供されるサービスを識別するサービス識別子を含み、
本認証データ検証システムは、アプリケーション処理手段を包含し、
アプリケーション処理手段は、当該サービス識別子で指定されるサービスを処理する複数のアプリケーションを有し、受信されたコマンドの処理プロセスについて、当該コマンドから抽出されたサービス識別子に係る情報に基づいて、当該コマンドに対するレスポンスを生成するのに使用するアプリケーションを決定することも好ましい。
Furthermore, as another embodiment of the authentication data verification system according to the present invention, the command received from the communication device includes a service identifier for identifying the service to be provided,
The authentication data verification system includes application processing means,
The application processing means has a plurality of applications for processing the service specified by the service identifier, and processes the received command with respect to the command based on information related to the service identifier extracted from the command. It is also preferable to determine the application used to generate the response.
また、本発明による認証データ検証システムの更なる他の実施形態として、本認証データ検証システムは、コマンド処理の開始通知又は第1のコマンドを受信した際、以降のコマンド処理のセッションを特定するためのセッション識別子を生成する処理制御手段を更に有し、
認証データ検証手段は、当該セッション識別子と生成した照合用データとを対応付けて記憶し、
本認証データ検証システムは、当該セッション識別子をユーザ端末へ送信するサーバ側通信制御手段を更に有し、
ユーザ端末は、当該セッション識別子と生成された認証データとを対応付けて記憶するデータ処理手段を更に有し、
端末側通信制御手段は、当該認証データ及び当該コマンドと共に当該セッション識別子を、認証データ検証手段に到達するように送信し、
認証データ検証手段は、受信されたセッション識別子に対応付けられた照合用データと、受信された認証データとを照合して、当該コマンドの送信元を検証することも好ましい。
As still another embodiment of the authentication data verification system according to the present invention, when the authentication data verification system receives a command processing start notification or a first command, it specifies a subsequent command processing session. Further comprising a process control means for generating a session identifier of
The authentication data verification means stores the session identifier and the generated verification data in association with each other,
The authentication data verification system further includes server-side communication control means for transmitting the session identifier to the user terminal,
The user terminal further includes data processing means for storing the session identifier in association with the generated authentication data,
The terminal side communication control means transmits the session identifier together with the authentication data and the command so as to reach the authentication data verification means,
It is also preferable that the authentication data verifying unit verify the transmission source of the command by comparing the verification data associated with the received session identifier with the received authentication data.
さらに、本発明による認証データ検証システムのユーザ端末は、ISO/IEC規格で規定された近距離無線通信方式を用いて、通信機器から当該コマンドを受信し、当該レスポンスを通信機器へ送信することも好ましい。 Further, the user terminal of the authentication data verification system according to the present invention may receive the command from the communication device and transmit the response to the communication device using the short-range wireless communication method defined by the ISO / IEC standard. preferable.
本発明によれば、また、通信機器からコマンドを受信して外部へ送信し、当該コマンドを処理してレスポンスを生成可能なアプリケーション処理手段によって生成された当該レスポンスを受信可能なユーザ端末であって、当該レスポンスをこの通信機器へ送信可能なユーザ端末から送信される通信に係る認証データを検証する認証データ検証装置であって、
ユーザ端末によって第1のコマンドの後に受信され送信される第N(Nは2以上の自然数)のコマンドの処理について、受信された第Nのコマンドの送信元を検証する認証データ検証手段と、
ユーザ端末が第Nのコマンドに次いで第(N+1)のコマンドを通信機器から受信した際に、先に受信された第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータに基づいて生成した認証データであって、第Nのコマンドに対するレスポンスを待って利用することなく生成された認証データを、第(N+1)のコマンドと共に受信可能な装置側通信制御手段と
を有し、
認証データ検証手段は、既に受信された第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータに基づいて照合用データを生成し、第(N+1)のコマンドと共に受信された認証データと、当該照合用データとを照合して、第(N+1)のコマンドの送信元を検証する
ことを特徴とする認証データ検証装置が提供される。
According to the present invention, there is also provided a user terminal capable of receiving a response generated by an application processing unit capable of receiving a command from a communication device and transmitting the command to the outside and processing the command to generate a response. , An authentication data verification device for verifying authentication data related to communication transmitted from a user terminal capable of transmitting the response to the communication device,
Authentication data verification means for verifying the source of the received Nth command for processing of the Nth (N is a natural number of 2 or more) command received and transmitted after the first command by the user terminal;
When the user terminal receives the (N + 1) th command after the Nth command from the communication device, the Nth command or the data related to the Nth command and / or the Nth command received earlier. The authentication data generated based on the data generated for the processing of the command received first, and the authentication data generated without waiting for the response to the Nth command is used as the (N + 1) th command. And a device-side communication control means capable of receiving together,
The authentication data verification means is the verification data based on the Nth command already received or the data related to the Nth command and / or the data generated for the processing of the command received prior to the Nth command. An authentication data verification device characterized by verifying the transmission source of the (N + 1) th command by verifying the authentication data received together with the (N + 1) th command and the verification data. Provided.
本発明によれば、さらに、通信機器からコマンドを受信して外部へ送信し、当該コマンドを処理してレスポンスを生成可能なアプリケーション処理手段によって生成された当該レスポンスを受信して、この通信機器へ送信可能なユーザ端末を有する認証データ検証システムにおける認証データを検証する方法であって、
認証データ検証システムは、ユーザ端末によって第1のコマンドの後に受信され送信される第N(Nは2以上の自然数)のコマンドの処理について、受信された第Nのコマンドの送信元を検証する認証データ検証手段を更に有し、
本方法は、
ユーザ端末が、第Nのコマンドを通信機器から受信した際、第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータに基づく認証データを、第Nのコマンドに対するレスポンスを待って利用することなく生成するステップと、
ユーザ端末が、第Nのコマンドに次いで第(N+1)のコマンドを受信した際、第Nのコマンドの処理について生成された認証データと第(N+1)のコマンドとを、認証データ検証手段に到達するように送信するステップと、
認証データ検証手段が、既に受信された第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータに基づいて照合用データを生成し、第(N+1)のコマンドと共に受信された認証データと、当該照合用データとを照合して、第(N+1)のコマンドの送信元を検証するステップと
を有する認証データ検証方法が提供される。
Further, according to the present invention, a command is received from the communication device and transmitted to the outside, and the response generated by the application processing means capable of processing the command and generating a response is received to the communication device. A method for verifying authentication data in an authentication data verification system having a user terminal capable of transmitting,
The authentication data verification system verifies the source of the received Nth command for processing of the Nth command (N is a natural number of 2 or more) received and transmitted after the first command by the user terminal. A data verification means;
This method
When the user terminal receives the Nth command from the communication device, the Nth command or the data related to the Nth command and / or the data generated for the processing of the command received before the Nth command Generating authentication data based on the above without waiting for a response to the Nth command,
When the user terminal receives the (N + 1) th command after the Nth command, the authentication data generated for the processing of the Nth command and the (N + 1) th command reach the authentication data verification means. And the step of sending
The verification data verifying means is the verification data based on the Nth command already received or the data related to the Nth command and / or the data generated for the processing of the command received prior to the Nth command. The authentication data verification method includes the step of verifying the authentication data received together with the (N + 1) th command and the verification data and verifying the transmission source of the (N + 1) th command Is done.
本発明の認証データ検証システム、装置及び方法によれば、サーバ側にアプリケーションを配置した形態において、ユーザの利便性を確保しつつ適切な認証を実施することができる。 According to the authentication data verification system, apparatus, and method of the present invention, it is possible to perform appropriate authentication while ensuring user convenience in a form in which an application is arranged on the server side.
以下では、本発明の実施形態について、図面を用いて詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[認証データ検証システム]
図1は、本発明による認証データ検証システムの一実施形態を示す模式図である。
[Authentication data verification system]
FIG. 1 is a schematic diagram showing an embodiment of an authentication data verification system according to the present invention.
図1によれば、本実施形態の認証データ検証システムは、
(A)通信機器であるリーダライタ3からコマンドを受信して外部へ送信し、コマンドを処理してレスポンスを生成可能な(図1ではサーバ2内に設置された)アプリケーション処理部によって生成されたレスポンスを受信して、このレスポンスをリーダライタ3へ送信可能な、少なくとも1つの(通常多数の)ユーザ端末1と、
(B)認証・アプリケーション(AP)サーバ2と
を備えている。
According to FIG. 1, the authentication data verification system of this embodiment is
(A) Generated by an application processing unit (installed in the server 2 in FIG. 1) that receives a command from the reader / writer 3 that is a communication device, transmits it to the outside, and processes the command to generate a response. At least one (usually many)
(B) An authentication / application (AP) server 2 is provided.
このうち、認証・APサーバ2は、受信されたコマンドの送信元を検証する認証データ検証装置であるが、本実施形態では、ユーザ端末1からの要求に応じてサービスの処理を実施可能なアプリケーション・プログラム及びデータを搭載したサーバにもなっている。
Among these, the authentication / AP server 2 is an authentication data verification device that verifies the transmission source of the received command. In this embodiment, an application that can execute service processing in response to a request from the
ユーザ端末1は、例えば、無線ICタグを内蔵したスマートフォン、タブレット型コンピュータ又は携帯電話機等の通信情報端末である。ユーザ端末1(無線ICタグ)は、ユーザによりリーダライタ3に近接する、かざされる、当てられる又は載せ置かれることによって、リーダライタ3との間で、NFC(Near Field Communication)に代表されるISO/IEC規格で規定された近距離無線通信を行うことができる。
The
ここで、具体的には、リーダライタ3からユーザ端末1へ指令であるコマンドが送信され、ユーザ端末1からリーダライタ3へ応答としてのレスポンスが返信される。このように両者の間でやり取りされるコマンドやレスポンス等のデータは、APDU(Application Protocol Data Unit)と呼ばれる。
Specifically, a command as a command is transmitted from the reader / writer 3 to the
ユーザ端末1は、さらに、事業者通信網であるアクセスネットワークを介して、又はアクセスネットワークとインターネットとを介して、認証・APサーバ2と通信することもできる。このため、ユーザ端末1は、リーダライタ3から発信されたコマンドを認証・APサーバ2へ送信し、認証・APサーバ2においてこのコマンドに基づいて生成されたレスポンスを受信してリーダライタ3へ送信するといった中継機器としても機能する。
The
ここで、アクセスネットワークは、例えば、LTE(Long Term Evolution)、WiMAX(Worldwide Interoperability for Microwave Access)又は3G(3rd Generation)等の無線事業者通信網とすることができる。また、ユーザ端末1と認証・APサーバ2との間でWi-Fi(登録商標)等の無線LAN(Local Area Network)を介在した通信が行われてもよい。また、プライベートネットワークの介在した通信が行われることも可能である。
Here, the access network may be a wireless carrier communication network such as LTE (Long Term Evolution), WiMAX (Worldwide Interoperability for Microwave Access), or 3G (3rd Generation). Communication between the
このような本認証データ検証システムにおいて、認証・APサーバ2(認証データ検証装置)は、
(C)ユーザ端末1によって第1のコマンドの後に受信され送信される第N(Nは2以上の自然数)のコマンドの処理について、受信された第Nのコマンドの送信元を検証する。
即ち、認証・APサーバ2は、第1のコマンドを受信した後に引き続き受信する第2のコマンド、第3のコマンド、・・・の各々の処理について、受信されたコマンドの送信元が正当なユーザ端末1であるか否かを検証する。
In this authentication data verification system, the authentication / AP server 2 (authentication data verification device)
(C) Regarding the processing of the Nth command (N is a natural number of 2 or more) received and transmitted after the first command by the
That is, for each process of the second command, the third command,... That is received after receiving the first command, the authentication / AP server 2 is a user whose transmission source of the received command is valid. It is verified whether or not it is the
また、これに対し、ユーザ端末1は、
(D)第N(N≧2)のコマンドがリーダライタ3から受信された際、「第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータ」に基づく認証データを、第Nのコマンドに対するレスポンスを待って利用することなく生成し、
(E)第Nのコマンドに次いで第(N+1)のコマンドが受信された際、第Nのコマンドの処理について生成された認証データと第(N+1)のコマンドとを、認証・APサーバ2へ(即ち、認証データ検証装置に到達するように)送信する。
On the other hand, the
(D) When the Nth (N ≧ 2) command is received from the reader / writer 3, “the Nth command or the data related to the Nth command and / or the command received before the Nth command. Authentication data based on the “data generated for the process of” without generating a response to the Nth command and using it,
(E) When the (N + 1) th command is received after the Nth command, the authentication data generated for the processing of the Nth command and the (N + 1) th command are sent to the authentication / AP server 2 ( In other words, it is transmitted so as to reach the authentication data verification device.
次いで、これに対し、認証・APサーバ2は、
(F)「(既に受信された)第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータ」に基づいて照合用データを生成し、第(N+1)のコマンドと共に受信された認証データと、この照合用データとを照合して、第(N+1)のコマンドの送信元を検証する。
Next, the authentication / AP server 2
(F) For verification based on “(Nearly received) Nth command or data relating to Nth command and / or data generated for processing of command received prior to Nth command” Data is generated, and the authentication data received together with the (N + 1) th command is compared with the verification data to verify the transmission source of the (N + 1) th command.
ここで、本システムでの処理の1つの具体例を挙げると、ユーザ端末1は、
(a)第1の(初回の)コマンドをリーダライタ3から受信した際、認証・APサーバ2にコマンド受信を通知し、次いで、レスポンスと共に、サーバ2で生成された乱数をサーバ2から取得して、取得したレスポンスをリーダライタ3へ返信し、
(b)第2の(2回目の)コマンドを受信した際、このコマンドと、取得した乱数に基づいて生成した認証データとをサーバ2に送信して、サーバ2でこの認証データの検証を受け、次いで、レスポンスをサーバ2から取得して、取得したレスポンスをリーダライタ3へ返信し、
(c)第3以降の(3回目以降の)コマンドを受信した際、このコマンドと、ひとつ前に受信したコマンドに基づいて生成した認証データとをサーバ2に送信して、サーバ2でこの認証データの検証を受け、次いで、レスポンスをサーバ2から取得して、取得したレスポンスをリーダライタ3へ返信する。
Here, to give one specific example of processing in this system, the
(A) When the first (first) command is received from the reader / writer 3, the authentication / AP server 2 is notified of the command reception, and then the random number generated by the server 2 is acquired from the server 2 together with the response. And return the acquired response to the reader / writer 3,
(B) When the second (second time) command is received, this command and the authentication data generated based on the acquired random number are transmitted to the server 2, and this authentication data is verified by the server 2. Then, the response is acquired from the server 2 and the acquired response is returned to the reader / writer 3.
(C) When a third or later command (after the third) is received, this command and authentication data generated based on the previous command are transmitted to the server 2, and this authentication is performed by the server 2. After receiving the data verification, a response is acquired from the server 2 and the acquired response is returned to the reader / writer 3.
このように、ユーザ端末1は、リーダライタ3から受信したコマンドを認証・APサーバ2へ送信する際、それ以前に受信していたコマンド若しくはコマンドに係るデータに基づいて又は当該コマンドの処理について予め生成していた認証データを合わせて送信する。ここで、前もっての認証データの生成は、送信したコマンドに対するサーバ2からのレスポンスの待ち時間や、リーダライタ3から次のコマンドを受信するまでの待ち時間に実行することができる。即ち、ユーザ端末1がサーバ2に対し次回のコマンド通知を行う前に、合わせて送信すべき認証データを生成することができる。一方、認証・APサーバ2もコマンドを受信した段階で、それ以前に受信していたコマンド若しくはコマンドに係るデータに基づいて認証用データを生成し終わっている。
As described above, when the
このように、コマンド処理と並行して認証データを準備しておくことによって、本認証データ検証システムにおいては、認証データ生成部113の処理能力が低くても、認証に用いるデータを生成する時間によって本来のコマンド処理が遅延する、といった事態を回避することができる。即ち、認証に用いるデータの生成による全体の処理時間の増大を抑制することが可能となる。これにより、サーバ2側にアプリケーションを配置した形態においても、ユーザの利便性を確保しつつ適切な認証を実施することができるのである。
In this way, by preparing authentication data in parallel with command processing, in this authentication data verification system, even if the processing capacity of the authentication
尚、認証データは、例えば(電子)署名とすることができる。また、上記構成(D)及び(F)における「第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータ」は、例えば、
(a)第Nのコマンドそのものでもよく、
(b)第Nのコマンドに含まれるサービス識別子(ID)等の情報でもよい。または、
(c)第Nのコマンドと、第(N−1)のコマンドの処理について(第(N−1)のコマンドの処理時に)生成された認証データとの両方でもよい。
Note that the authentication data can be, for example, an (electronic) signature. Further, in the configurations (D) and (F), “the Nth command or the data related to the Nth command and / or the data generated for the processing of the command received before the Nth command” For example,
(A) The Nth command itself may be used.
(B) Information such as a service identifier (ID) included in the Nth command may be used. Or
(C) Both the Nth command and the authentication data generated for the processing of the (N-1) th command (during the processing of the (N-1) th command) may be used.
いずれにしても、コマンドは、リーダライタ3とアプリケーションとの間でのみ特定され且つ意味を持つデータであり、また、外部から勝手に生成され得ず且つ改ざんされれば処理が立ち行かなくなるたぐいの信号データである。このような、正常なコマンド処理における通信でやり取りされる信号データに基づいて認証データ及び照合用データを生成することによって、通信の正当性、特にコマンドの送信元の正当性を認証し保証することが可能となる。また、例えば上記(c)のように、第Nのコマンドと、第(N−1)のコマンドの処理について生成された認証データとの両方に基づいて認証データ及び照合用データを生成することによって、個々のコマンドだけではなく一連のコマンドが抜けなく正しい順序で、且つ同一の端末からサーバ2に送信されていること、即ち一連のコマンド処理及び送信元端末の正当性、を認証し保証することもできるのである。 In any case, the command is data that is specified and meaningful only between the reader / writer 3 and the application, and is a signal that cannot be generated from the outside without permission and cannot be processed if tampered. It is data. By authenticating and guaranteeing the legitimacy of communication, in particular the legitimacy of the command source, by generating authentication data and verification data based on signal data exchanged by communication in such normal command processing Is possible. For example, as shown in (c) above, by generating authentication data and verification data based on both the Nth command and the authentication data generated for the processing of the (N-1) command. Authenticate and guarantee that not only individual commands but also a series of commands are transmitted in the correct order without omission and that they are transmitted from the same terminal to the server 2, that is, a series of command processing and the validity of the transmission source terminal. You can also.
[ユーザ端末、認証データ検証装置]
図2は、本発明に係るユーザ端末及び認証データ検証装置の一実施形態における機能構成を示す機能ブロック図である。
[User terminal, authentication data verification device]
FIG. 2 is a functional block diagram showing a functional configuration in an embodiment of the user terminal and the authentication data verification device according to the present invention.
図2によれば、ユーザ端末1は、非接触通信インタフェース101と、端末通信インタフェース102と、タッチパネル・ディスプレイ(TP/DP)103と、プロセッサ・メモリとを有する。ここで、プロセッサ・メモリは、ユーザ端末1のコンピュータを機能させるプログラムを実行することによって、認証データ検証機能の一部を実現させる。
According to FIG. 2, the
さらに、このプロセッサ・メモリは、機能構成部として、非接触通信制御部111と、データ処理部112aを含む端末側の通信制御手段である端末通信制御部112と、認証データ生成部113とを有する。ここで、図2におけるユーザ端末1の機能構成部間を矢印で接続して示した処理の流れは、本発明による認証データ検証方法の一実施形態における一部としても理解される。
Further, the processor memory includes a non-contact
同じく図2によれば、認証データ検証装置である認証・APサーバ2は、サーバ通信インタフェース201と、プロセッサ・メモリとを有する。ここで、プロセッサ・メモリは、認証・APサーバ2のコンピュータを機能させるプログラムを実行することによって、認証データ検証機能の一部を実現させる。
Similarly, according to FIG. 2, the authentication / AP server 2 serving as an authentication data verification apparatus includes a
さらに、このプロセッサ・メモリは、機能構成部として、処理制御部211aを含むサーバ側の通信手段であるサーバ通信制御部211と、乱数生成器212aを含む認証データ検証部212と、サービスID管理部213と、アプリケーション214aを含むアプリケーション処理部214とを有する。ここで、図2における認証・APサーバ2の機能構成部間を矢印で接続して示した処理の流れは、本発明による認証データ検証方法の一実施形態における一部としても理解される。
Further, the processor memory includes a server
同じく図2において、リーダライタ3は、ユーザ端末1の非接触通信インタフェース101との間で、例えばNFCといったISO/IEC規格で規定された近距離無線通信を行う通信機器である。また、この通信を行うことによってユーザ端末1(のユーザ)に向けてサービスを提供するための手段となっている。ここで、非接触通信インタフェース101は、無線ICタグを含み、リーダライタ3からのタグ探索信号(電磁波)を、無線ICタグのアンテナ部を介して受信することができる。次いで、この探索信号の電磁場エネルギーによって、無線ICタグを動作させ、応答をリーダライタ3に返信して、リーダライタとの間でコマンド及びレスポンスの送受信を含む通信を開始してもよい。
In FIG. 2, the reader / writer 3 is a communication device that performs short-range wireless communication defined by the ISO / IEC standard such as NFC with the
また、非接触通信インタフェース101は、リーダライタ3から、サーバ2に搭載されたアプリケーション等によって処理されてレスポンスを生成させるコマンドであって、ユーザに対するサービスを生成するためのコマンドを順次受信する。以下、このうちで最初に受信されるコマンドを第1のコマンドとし、順次受信される順に、第2のコマンド、第3のコマンド、・・・と命名する。尚、受信されるコマンドには、提供されるサービスを識別する、即ちいずれのサービスについての処理であるかを示すサービス識別子(ID)が含まれている。サービスIDは後に、サーバ2において使用するアプリケーションを特定するのに使用される。また、このようなコマンドとして、例えばNFCであれば、ISO/IEC7816−4で規定されるSELECTコマンドを採用することができる。
The
非接触通信制御部111は、非接触通信インタフェース101を介したリーダライタ3との通信において、送受信される信号の制御を行う。
The non-contact
端末通信インタフェース102は、認証・APサーバ2のサーバ通信インタフェース201との間で、携帯電話通信網等のアクセスネットワーク(及びインターネット)を介した通信を行う。
The
端末通信制御部112は、端末通信インタフェース102を介した認証・APサーバ2との通信において、送受信される信号の制御を行う。ここで、端末通信制御部112は、
(a)第1のコマンドに次いで第2のコマンドをリーダライタ3から受信した際、後に説明するように先にサーバ2から受信した乱数に基づいて生成した認証データと、第2のコマンドとを、認証・APサーバ2へ(認証データ検証部212に到達するように)送信するように制御し、
(b)第N(N≧2)のコマンドに次いで第(N+1)のコマンドが受信された際、第Nのコマンドの処理について生成された認証データと第(N+1)のコマンドとを、認証・APサーバ2へ(認証データ検証部212に到達するように)送信するように制御する。
The terminal
(A) When the second command is received from the reader / writer 3 after the first command, the authentication data generated based on the random number previously received from the server 2 and the second command, as will be described later, , Control to transmit to the authentication / AP server 2 (so as to reach the authentication data verification unit 212),
(B) When the (N + 1) th command is received after the Nth (N ≧ 2) command, the authentication data generated for the processing of the Nth command and the (N + 1) th command are Control is performed to transmit to the AP server 2 (so as to reach the authentication data verification unit 212).
また、端末通信制御部112は、データ処理部112aを有する。このデータ処理部112aは、ユーザ端末1を識別するための固有の端末識別子(ID)を保持する。端末IDは後に、コマンドと合わせてサーバ2へ送信され、サーバ2において、使用するアプリケーションの利用者データ保持部のデータを特定し、対応するアプリケーション処理を実行させるのに使用される。
The terminal
データ処理部112aは、さらに、リーダライタ3から受信したコマンドに応じて、サーバ2へ送信するデータを生成する。例えば、上記(a)の場合、乱数に基づいて生成した認証データと、第2のコマンドと、端末IDと、コマンド通知との組を送信データとして生成する。また、上記(b)の場合、第Nのコマンドの処理について生成された認証データと、第(N+1)のコマンドと、端末IDと、コマンド通知との組を送信データとして生成する。データ処理部112aは、また、サーバ2から受信したレスポンスに応じて、リーダライタ3へ送信するデータを生成する。
The
さらに、データ処理部112aは、後に説明するように、サーバ2(処理制御部211a)が第1のコマンドを受信した際に生成したセッション識別子(ID)を、最初に受信するレスポンスと共に受信し、このセッションIDと、受信した際のコマンドの処理について生成された認証データとを対応付けて記憶することも好ましい。また、このセッションIDを生成する実施形態では、データ処理部112aは、上記(b)の場合として、第Nのコマンドの処理について生成された認証データと、第(N+1)のコマンドと、端末IDと、セッションIDと、コマンド通知との組を送信データとして生成し、認証・APサーバ2へ(認証データ検証部212に到達するように)送信させることも好ましい。
Furthermore, as will be described later, the
認証データ生成部113は、
(a)第1のコマンドに対するレスポンスをサーバ2から受信した際に合わせて受信する乱数に基づいて認証データを生成し、
(b)第N(N≧2)のコマンドがリーダライタ3から受信された際、「コマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータ」に基づく認証データを、第Nのコマンドに対するレスポンスを待って利用することなく生成する。
The authentication
(A) generating authentication data based on a random number received when a response to the first command is received from the server 2;
(B) When an Nth (N ≧ 2) command is received from the reader / writer 3, “processing of command or data related to Nth command and / or command received prior to Nth command. The authentication data based on the “generated data” is generated without waiting for a response to the Nth command.
このうち、上記(b)についての好適な実施形態として、認証データ生成部113は、第(N+1)のコマンドをリーダライタ3から受信した際、
(b1)「第(N+1)のコマンド」、又は
(b2)「第(N+1)のコマンド、及び第Nのコマンドの処理について生成された認証データ」
に基づいて認証データを生成することも好ましい。この場合、後に説明するように、サーバ2の認証データ検証部212も、対応する「先に受信された第(N+1)のコマンド」、又は「先に受信された第(N+1)のコマンド、及び第Nのコマンドの処理について生成された照合用データ」に基づいて照合用データを生成することになる。
Among these, as a preferred embodiment of the above (b), when the authentication
(B1) “(N + 1) th command” or (b2) “(N + 1) th command and authentication data generated for processing of Nth command”
It is also preferable to generate authentication data based on the above. In this case, as will be described later, the authentication
ここで、認証データ生成部113は、端末ID毎に異なるように設定された暗号鍵を保持し、この暗号鍵を用いて認証データを生成することも好ましい。例えば、データ処理部112aから認証データ生成要求と、コマンドや先に生成した認証データ等の演算対象データとを受け取った際、この暗号鍵を用い、受け取った演算対象データを入力として認証データとしての署名を生成する。
Here, it is also preferable that the authentication
また、変更態様として、認証データ生成部113で生成される認証データは、「乱数又はコマンド若しくはコマンドに係るデータ」を秘密鍵で暗号化した署名と、対応する公開鍵との組であってもよい。この場合、後に説明するサーバ2の認証データ検証部212は、この署名を生成するのに使用した「乱数又はコマンド若しくはコマンドに係るデータ」に対応したデータを照合用データとして保持しておき、この照合用データと、受信された認証データ(署名及び公開鍵)をこの公開鍵で復号したデータとを照合することによって、認証データを検証することができる。
Further, as a change mode, the authentication data generated by the authentication
また、更なる変更態様として、認証データ生成部113で生成される認証データは、コマンドが受信される度に、毎回、直前にサーバ2から取得された乱数に基づいて生成した署名とすることも可能である。この場合、後に説明するサーバ2の認証データ検証部212は、コマンドが受信される度に自ら生成しユーザ端末1にも渡した乱数に基づいて、照合用データを予め生成して保持しておき、この照合用データと、受信された認証データとを照合することによって、認証データを検証することができる。さらに、認証データ及び照合用データとしては、以上に説明した以外にも、認証に使用可能な種々の情報データが適用可能である。
As a further modification, the authentication data generated by the authentication
TP/DP103は、例えば、ユーザ端末1のユーザに対し、サービスを申し込むための、又はサービスを選択しサービスの提供を受けるためのウェブブラウザ等を表示したり、ユーザによる申し込みの入力操作、又はサービスに係る入力操作等を受け取ったりするためのユーザインタフェースである。
The TP /
同じく図2において、認証・APサーバ2のサーバ通信制御部211は、サーバ通信インタフェース201を介したユーザ端末1との通信において、送受信される信号の制御を行う。
Similarly, in FIG. 2, the server
また、サーバ通信制御部211は、処理制御部211aを有する。この処理制御部211aは、第1のコマンド(又はコマンド処理の開始通知)を受信した際、以降のコマンド処理のセッションを特定するためのセッションIDを生成する。次いで、例えば、第1のコマンドに対するレスポンスをユーザ端末1に送信する際、このセッションIDと、認証データ検証部212で生成した乱数とを合わせて送信させる。
In addition, the server
認証データ検証部212は、処理すべきコマンド毎に送信されてくる認証データが正当か否か、また送信元の端末が正当か否かを検証する。また、認証データ検証部212は、
(a)ユーザ端末1に送信する乱数を生成する乱数生成器212aを有し、受信された第1のコマンドの処理について、処理制御部211aから乱数生成要求を入力した際、乱数を生成し、この乱数に基づいて照合用データを生成し、
(b)受信された第2のコマンドの処理について、先に生成した乱数に基づいて生成した照合用データと、第2のコマンドと共に受信された認証データとを照合して、第2のコマンドの送信元を検証し、さらに、
(c)「第N(N≧2)のコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータ」に基づいて照合用データを生成し、この照合用データと、第(N+1)のコマンドと共に受信された認証データとを照合して、第(N+1)のコマンドの送信元を検証する。
The authentication
(A) having a
(B) Regarding the processing of the received second command, the verification data generated based on the previously generated random number is compared with the authentication data received together with the second command, and the second command Verify the source, and
(C) Collation data based on “Nth (N ≧ 2) command or data relating to Nth command and / or data generated for processing of command received prior to Nth command” And the verification data and the authentication data received together with the (N + 1) th command are verified to verify the transmission source of the (N + 1) th command.
ここで、認証データ検証部212は、認証データ生成部113の保持する暗号鍵と共通しており端末ID毎に異なるように設定された暗号鍵を保持し、この暗号鍵を用いて認証データを生成することも好ましい。
Here, the authentication
ここで、上記(c)における「第N(N≧2)のコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータ」は、ユーザ端末1の認証データ生成部113で認証データを生成する際の演算対象データと対応した形に設定される。例えば、認証データ生成部113において「第(N+1)のコマンド」、又は「第(N+1)のコマンド、及び第Nのコマンドの処理について生成された認証データ」に基づいて認証データが生成された場合、認証データ検証部212は、第(N+2)のコマンドの処理について、先に受信された「第(N+1)のコマンド」、又は「第(N+1)のコマンド、及び第Nのコマンドの処理について生成された照合用データ」に基づいて照合用データを生成し、この照合用データと、第(N+2)のコマンドと共に受信された認証データとを照合して、第(N+2)のコマンドの送信元を検証するのである。
Here, “the Nth (N ≧ 2) command or the data related to the Nth command and / or the data generated for the processing of the command received before the Nth command” in (c) is The authentication
また、認証データ検証部212は、処理制御部211aで生成されたセッションIDと、生成した照合用データとを対応付けて記憶することも好ましい。この場合、認証データ検証部212は、ユーザ端末1から、認証データ及びコマンドと共にセッションIDが送信されてきた際、受信されたセッションIDに対応付けられた照合用データと、受信された認証データとを照合して、受信したコマンドの送信元を検証することができる。
The authentication
サービスID管理部213は、サービスIDとアプリケーションとを対応付けて記憶し管理する。具体的に、ユーザ端末1から受信されたサービスID(又は受信されたコマンドから抽出したサービスID)を処理制御部211aから入力した際、このサービスIDに対応付けられたアプリケーションを特定し、このアプリケーションに係るAP特定情報を処理制御部211aへ出力する。
The service
アプリケーション処理部214は、サービスIDで指定されるサービスを処理する複数のアプリケーション214aを有し、受信されたコマンドの処理プロセスについて、このコマンドから抽出されたサービスIDに係る情報に基づいて、このコマンドに対するレスポンスを生成するのに使用するアプリケーション214aを決定し、このアプリケーション214aを起動させてレスポンスを生成する。
The
ここで、アプリケーション214aは、プログラムと利用者データ保持部とを有する。このうち、プログラムは、コマンドを解釈し、利用者データを参照し、処理を実行して、レスポンスを生成する。利用者データ保持部は、ユーザ毎のデータを、端末IDと対応付けて記憶する。アプリケーション処理部214は、具体的に、処理制御部211aから処理開始通知と端末IDとを入力すると、利用者データ保持部からこの端末IDに対応付けられた利用者データを取り出し、対応するプログラムによる処理を実行して、生成したレスポンスを処理制御部211aへ出力する。
Here, the
[認証データ検証システムの他の実施形態]
図3は、本発明による認証データ検証システムの他の実施形態を示す模式図である。
[Other Embodiments of Authentication Data Verification System]
FIG. 3 is a schematic diagram showing another embodiment of the authentication data verification system according to the present invention.
図3に示した実施形態の認証データ検証システムは、
(a)リーダライタ3との間で通信可能なユーザ端末1と、
(b)アプリケーション(AP)サーバ4との間で通信可能な認証データ検証装置としての認証サーバ25と
を有する。ここで、ユーザ端末1は図2に示したユーザ端末1であり、図2の認証・APサーバ2との間で行うのと同様の通信を、認証サーバ25との間で行うことができる。
The authentication data verification system of the embodiment shown in FIG.
(A) a
(B) It has the authentication server 25 as an authentication data verification apparatus which can communicate with the application (AP) server 4. Here, the
認証サーバ25は、図2の認証・APサーバ2から、アプリケーション処理部214を外部に離隔した形の機能構成を有する。即ち、認証サーバ25は、照合用データを生成し、この照合用データとユーザ端末1から受信した認証データとを照合して認証データ検証を実施する。また、APサーバ4は、この離隔されたアプリケーション処理部214に相当する機能構成を有する。
The authentication server 25 has a functional configuration in which the
本実施形態においては、さらに、アプリケーション処理の要求とともに端末IDやコマンド等が認証サーバ25からAPサーバ4へ送信され、このコマンドに対するレスポンスがAPサーバ4から認証サーバ25へ送信される。これにより、ユーザ端末1から見て、認証サーバ25及びAPサーバ4は、両者を合わせて図2の認証・APサーバ2と同様の機能を果たし、同様の認証処理が行われ、同様のサービスが提供されることになる。尚、APサーバ4は、例えばサービス提供業者毎に複数設置され、各々が認証サーバ25と通信可能となっていてもよい。
In the present embodiment, a terminal ID, a command, and the like are transmitted from the authentication server 25 to the AP server 4 together with a request for application processing, and a response to this command is transmitted from the AP server 4 to the authentication server 25. As a result, when viewed from the
図4は、本発明による認証データ検証システムの更なる他の実施形態を示す模式図である。 FIG. 4 is a schematic diagram showing still another embodiment of the authentication data verification system according to the present invention.
図4に示した実施形態の認証データ検証システムは、
(a)リーダライタ3との間で通信可能なユーザ端末1と、
(b)APサーバ5との間で通信可能な認証データ検証装置としての認証サーバ26と
を有する。ここで、ユーザ端末1は図2に示したユーザ端末1であり、図2の認証・APサーバ2との間で行うのと同様の通信をAPサーバ5との間で行い、特に、認証データに係る情報を、認証サーバ26に到達するように送信することができる。
The authentication data verification system of the embodiment shown in FIG.
(A) a
(B) having an authentication server 26 as an authentication data verification device capable of communicating with the AP server 5; Here, the
APサーバ5は、図2の認証・APサーバ2から、認証データ検証部212を外部に離隔した形の機能構成を有する。即ち、APサーバ5は、サービスID管理部213及びアプリケーション処理部214に相当する機能構成を有し、受信されたコマンドに基づいて対応するアプリケーションを起動させ、レスポンスを生成してユーザ端末1に送信する。また、認証サーバ26は、この離隔された認証データ検証部212に相当する機能構成を有する。即ち、照合用データを生成し、この照合用データとユーザ端末1から受信した認証データとを照合して認証データ検証を実施する。
The AP server 5 has a functional configuration in which the authentication
本実施形態においては、さらに、検証要求とともに認証データやコマンド、さらにはセッションID等がAPサーバ5から認証サーバ26へ送信され、認証データ検証結果が認証サーバ26からAPサーバ5へ送信される。これにより、ユーザ端末1から見て、APサーバ5及び認証サーバ26も、両者を合わせて図2の認証・APサーバ2と同様の機能を果たし、同様の認証処理が行われ、同様のサービスが提供されることになる。また、APサーバ5も、例えばサービス提供業者毎に複数設置され、各々がユーザ端末1及び認証サーバ26と通信可能となっていてもよい。
In the present embodiment, authentication data, a command, a session ID, and the like are transmitted from the AP server 5 to the authentication server 26 together with the verification request, and an authentication data verification result is transmitted from the authentication server 26 to the AP server 5. As a result, when viewed from the
[認証データ検証方法]
図5は、本発明による認証データ検証方法の一実施形態における第1のコマンドに対する処理を示したシーケンス図である。
[Authentication data verification method]
FIG. 5 is a sequence diagram showing processing for the first command in the embodiment of the authentication data verification method according to the present invention.
尚、以下に図5〜図8を用いて説明する実施形態では、認証データ検証手段は認証・APサーバ2に含まれる。しかしながら、認証データ検証手段が認証サーバ25に含まれるような図3の実施形態、及び認証データ検証手段が認証サーバ26に含まれるような図4の実施形態についても、機能構成部間での処理シーケンスは、以下に説明するものと同様にすることができる。また、同じく以下の実施形態では、ユーザ端末1の認証データ生成部113で生成される認証データは、コマンドを演算対象データとし、暗号鍵を用いて生成された署名となっているが、認証データとして署名以外の形式のデータを使用することも可能である。
In the embodiment described below with reference to FIGS. 5 to 8, the authentication data verification means is included in the authentication / AP server 2. However, also in the embodiment of FIG. 3 in which the authentication data verification means is included in the authentication server 25 and the embodiment in FIG. 4 in which the authentication data verification means is included in the authentication server 26, the processing between the functional components is also performed. The sequence can be similar to that described below. Similarly, in the following embodiment, the authentication data generated by the authentication
(S501)ユーザ端末1を近づけられたリーダライタ3は、このユーザ端末1の非接触通信インタフェース101に対し、第1のコマンドを送信する。
ここで、リーダライタ3は、ユーザ端末1を検知したタイミングで即座に第1のコマンドを送信してもよいし、ユーザ端末1の例えばTP/DP103を介して、ユーザによる処理開始要求相当の入力があった場合、その旨の通知を受けて第1のコマンドを送信してもよい。
(S502)非接触インタフェース101は、受信した第1のコマンドをテータ処理部112aへ出力する。
(S503)データ処理部112aは、入力した第1のコマンドからサービスIDを抽出する。
(S501) The reader / writer 3 to which the
Here, the reader / writer 3 may immediately transmit the first command at the timing when the
(S502) The
(S503) The
(S504)データ処理部112aは、処理開始通知とともに、自ら保持する端末IDと、抽出したサービスIDとを、端末通信インタフェース102へ出力する。
(S505、S506)端末通信インタフェース102は、処理開始通知と、端末IDと、サービスIDとを、認証・APサーバ2のサーバ通信インタフェース201へ送信し、サーバ通信インタフェース201は、受信したこれらの情報を処理制御部211aへ出力する。
(S507)処理制御部211aは、処理開始通知を入力した際、この処理のセッションを識別するセッションIDを生成する。
(S504) The
(S505, S506) The
(S507) When the
(S508)処理制御部211aは、取得したサービスIDをサービスID管理部213へ出力して、使用するアプリケーションの情報を要求する。
(S509)サービスID管理部213は、入力したサービスIDに対応したアプリケーション(AP)特定情報を、処理制御部211aへ応答として出力する。
ここで、AP特定情報は、サービスIDで指定されたサービスを処理するためのアプリケーションがいずれであるかを一意に指定する情報であり、URL(Uniform Resource Locator)形式や関数名等の形で出力されてもよい。
(S508) The
(S509) The service
Here, the AP identification information is information that uniquely specifies which application is used to process the service specified by the service ID, and is output in the form of a URL (Uniform Resource Locator) or a function name. May be.
(S510)処理制御部211aは、入力されたAP特定情報と取得した端末IDとを、生成したセッションIDと対応付けて記憶する。
(S511)処理制御部211aは、取得したAP特定情報に基づいて、処理を行うアプリケーション214aを特定し、処理開始通知と共に、端末IDをアプリケーション処理部214へ出力する。
(S512)アプリケーション処理部214は、利用者データ保持部に保持されたデータのうち、入力した端末IDに対応付けられたデータを用いて、特定されたアプリケーション214aによる処理を行い、生成したレスポンスを処理制御部211aへ応答として出力する。
(S510) The
(S511) The
(S512) The
(S513)処理制御部211aは、乱数要求と共に、生成したセッションIDを認証データ検証部212へ出力する。
(S514)認証データ検証部212は、乱数要求に応じ、内部に保持する乱数生成器212を用いて乱数を生成する。さらに、生成した乱数に対し暗号鍵を用いて演算を行い、照合用データを生成する。
(S515)認証データ検証部212は、生成した照合用データと、取得したセッションIDとを紐づけて記憶する。
(S516)認証データ検証部212は、生成した乱数を処理制御部211aへ出力する。
(S513) The
(S514) In response to the random number request, the authentication
(S515) The authentication
(S516) The authentication
(S517)処理制御部211aは、入力された乱数と、取得したレスポンスと、生成したセッションIDとをサーバ通信インタフェース201へ出力する。
(S518、S519)サーバ通信インタフェース201は、乱数と、レスポンスと、セッションIDとを、ユーザ端末1の端末通信インタフェース102へ送信し、端末通信インタフェース102は、受信したこれらの情報をデータ処理部112aへ出力する。
(S520、S521)データ処理部112aは、入力されたレスポンスを非接触通信インタフェース101へ出力し、非接触通信インタフェース101は、リーダライタ3に対し、このレスポンスを(S501で受信した)コマンドに対する応答として送信する。
(S517) The
(S518, S519) The
(S520, S521) The
(S522)データ処理部112aは、一方で、入力された乱数と共に署名要求を認証データ生成部113へ出力する。
(S523、S524)認証データ生成部113は、取得した乱数に対し暗号鍵を用いて演算を行い、署名(認証データ)を生成して、データ処理部112aへ出力する。
(S525)データ処理部112aは、取得した署名と、入力されたセッションIDとを記憶する。
(S522) On the other hand, the
(S523, S524) The authentication
(S525) The
以上の処理シーケンスによって、第1のコマンドに対するレスポンスが生成されてリーダライタ3に返信されるまでの、第1のコマンドについての一連の処理が終了する。ここで、ユーザ端末1のデータ処理部112aには、セッションIDと共に、署名が保存され、一方、認証・APサーバ2には、同じセッションIDに紐づけられた照合用データが保存されている。これらの署名及び照合用データは、続く第2のコマンドに対する処理で利用される。
With the above processing sequence, a series of processing for the first command is completed until a response to the first command is generated and returned to the reader / writer 3. Here, the
尚、図5に示した実施形態では、ユーザ端末1は、処理開始通知に付随する情報として、サービスIDを認証・APサーバ2へ渡している。これへの変更態様として、ユーザ端末1が、サービスIDを包含する第1のコマンドごとサーバ2に送信し、サーバ2の処理制御部211aが、受信された第1のコマンドからサービスIDを抽出して使用してもよい。
In the embodiment shown in FIG. 5, the
また、図5では、認証・APサーバ2の処理制御部211aによる処理開始通知(S511)の後に、認証データ検証部212へ乱数要求(S513)を行っているが、乱数要求のタイミングもこれに限定されるものではない。例えば、処理制御部211aによるセッションIDの生成(S507)の直後から、処理制御部211aによる処理開始通知(S511)の直前までの間に、乱数要求が行われてもよい。
In FIG. 5, a random number request (S513) is made to the authentication
さらに、図5に示した実施形態では、コマンドに対するレスポンスは、アプリケーション214aを格納した認証・APサーバ2において生成される。しかしながら、レスポンスデータが事前に判明している場合、データ処理部112aが、第1のコマンドを受信した際、サーバ2からのレスポンスを待たずに、自らレスポンスを生成して又は予め準備されていたレスポンスを取り出してリーダライタ3に送信することもできる。
Further, in the embodiment shown in FIG. 5, a response to the command is generated in the authentication / AP server 2 storing the
図6は、図5に示した実施形態における第N(N≧2)のコマンドに対する処理を示したシーケンス図である。 FIG. 6 is a sequence diagram showing processing for the Nth (N ≧ 2) command in the embodiment shown in FIG.
(S601)リーダライタ3は、近接しているユーザ端末1の非接触通信インタフェース101に対し、第N(N≧2)のコマンドを送信する。
この第Nのコマンドは、リーダライタ3が、第(N−1)のコマンドに対するレスポンスを受信した後、本セッションでの処理のために引き続き送信するコマンドである。
(S602)非接触インタフェース101は、受信した第Nのコマンドをテータ処理部112aへ出力する。
(S601) The reader / writer 3 transmits an Nth (N ≧ 2) command to the
The Nth command is a command that the reader / writer 3 continues to transmit for processing in this session after receiving a response to the (N-1) th command.
(S602) The
(S603)データ処理部112aは、記憶したセッションID及び署名を取り出す。
ここで、例えばISO/IEC7816−4で規定された論理チャネルに対応する場合、具体的には、コマンドで指定されるチャネル番号に応じて、対象となるサービスIDを判定し、このサービスIDに対応するセッションID及び署名を抽出することになる。また、本ステップにおいて、受信されたのが第2のコマンドである場合、取り出される署名は、乱数に基づいて生成された認証データとなり、受信されたのが第3のコマンド以降のコマンドである場合、取り出される署名は、後に説明するように、この前に受信されたコマンドの処理の際に生成された認証データとなる。即ち、第Nのコマンドを受信した場合、データ処理部112aは、第(N−1)のコマンドの処理の際に生成した署名を取り出す。
(S603) The
Here, for example, when a logical channel specified by ISO / IEC7816-4 is supported, specifically, a target service ID is determined according to a channel number specified by a command, and this service ID is supported. Session ID and signature to be extracted. In this step, when the received command is the second command, the extracted signature is the authentication data generated based on the random number, and the received command is the command after the third command. As will be described later, the extracted signature is authentication data generated during the processing of the previously received command. That is, when the Nth command is received, the
(S604)データ処理部112aは、コマンド通知と共に、取り出したセッションID及び署名と、受信された第Nのコマンドとを、端末通信インタフェース102へ出力する。
(S605)端末通信インタフェース102は、入力されたこれらの情報を、認証・APサーバ2のサーバ通信インタフェース201へ送信する。
(S604) The
(S605) The
(S606)データ処理部112aは、コマンド通知を出力する一方で、署名要求と共に第Nのコマンドを認証データ生成部113へ出力する。
(S607、S608)認証データ生成部113は、取得した第Nのコマンドに対し暗号鍵を用いて演算を行い、署名(認証データ)を生成して、データ処理部112aへ出力する。
(S609)データ処理部112aは、入力された署名を、セッションIDと共に記憶する。
(S606) While outputting the command notification, the
(S607, S608) The authentication
(S609) The
このように、認証データ生成部113は、署名を、第Nのコマンドに対するレスポンスを待って利用することなく生成する。この署名の生成は、例えば、次いで受信される第(N+1)のコマンドの処理の際に、データ処理部112aが署名を取り出す処理(S603)を行うまでに完了され、この処理を行うまでに、生成された署名がデータ処理部112aに記憶されることも好ましい。
As described above, the authentication
(S611)サーバ通信インタフェース201は、受信したコマンド通知と、セッションIDと、署名と、第Nのコマンドとを、処理制御部211aへ出力する。
(S612)処理制御部211aは、検証要求と共に、入力されたセッションIDと、署名と、第Nのコマンドとを認証データ検証部212へ出力する。
(S613)認証データ検証部212は、検証要求に応じ、入力されたセッションIDと紐づけられた照合用データを抽出し、この照合用データと入力された署名とが一致するか否かの検証を行う。
(S614)認証データ検証部212は、署名の検証結果、即ち署名が照合用データと一致したか否かの結果を処理制御部211aへ出力する。
(S611) The
(S612) The
(S613) In response to the verification request, the authentication
(S614) The authentication
(S615、S616)認証データ検証部212は、さらに、さらに、入力された第Nのコマンドに対して暗号鍵で演算を行い、新たな照合用データを生成し、セッションIDと対応付ける照合用データを、この新たな照合用データに更新する。
(S615, S616) The authentication
(S617、S618)処理制御部211aは、受け取った署名検証結果が一致した旨の結果である場合、セッションIDに対応付けて記憶したAP特定情報と、端末IDとを抽出し、コマンド通知と、端末IDと、第Nのコマンドとをアプリケーション処理部214へ出力する。
(S619)アプリケーション処理部214は、端末IDに対応付けられた利用者データ保持部のデータを用いて、アプリケーション214aによる処理を行い、生成したレスポンスを処理制御部211aへ応答として出力する。
(S617, S618) If the received signature verification result is a match, the
(S619) The
(S620、S621)処理制御部211aは、入力されたレスポンスをサーバ通信インタフェース201へ出力し、サーバ通信インタフェース201は、このレスポンスを、ユーザ端末1の端末通信インタフェース102へ送信する。
(S622、S623、S624)端末通信インタフェース102で受信されたレスポンスは、データ処理部112a及び非接触通信インタフェース101を介して、リーダライタ3へ(S601で受信された)第Nのコマンドに対する応答として送信される。
(S620, S621) The
(S622, S623, S624) The response received by the
以上の処理シーケンスによって、第Nのコマンドに対するレスポンスが生成されてリーダライタ3に返信されるまでの、第Nのコマンドについての一連の処理が終了する。ここで、ユーザ端末1のデータ処理部112aには、セッションIDと共に、署名が保存され、一方、認証・APサーバ2には、同じセッションIDに紐づけられた照合用データが保存されている。これらの署名及び照合用データは、続く第(N+1)のコマンドに対する処理で利用される。
With the above processing sequence, a series of processing for the Nth command is completed until a response to the Nth command is generated and returned to the reader / writer 3. Here, the
尚、図6に示した実施形態では、第Nのコマンドの処理について、データ処理部112aは、署名要求と共に第Nのコマンドを認証データ生成部113へ出力し、認証データ生成部113は、この第Nのコマンドに基づいて署名を生成している。これに対する好適な変更態様として、データ処理部112aは、署名要求と共に「第Nのコマンド、及び第(N−1)のコマンドに対する署名」を認証データ生成部113へ出力し、認証データ生成部113は、これらの情報に基づいて署名を生成してもよい。この場合、認証データ検証部212は、検証要求を受け取った際、第Nのコマンドに対して暗号鍵で演算を行う代わりに、「第Nのコマンド、及び第(N−1)のコマンドに対する照合用データ」に対して暗号鍵で演算を行うことで、新たな照合用データを生成することになる。
In the embodiment shown in FIG. 6, for the processing of the Nth command, the
図7は、本発明による認証データ検証方法の他の実施形態における第1のコマンドに対する処理を示したシーケンス図である。また、図8は、図7に示した実施形態における第N(N≧2)のコマンドに対する処理を示したシーケンス図である。 FIG. 7 is a sequence diagram showing a process for a first command in another embodiment of the authentication data verification method according to the present invention. FIG. 8 is a sequence diagram showing processing for the Nth (N ≧ 2) command in the embodiment shown in FIG.
図7及び図8に示した実施形態では、図5及び図6の実施形態で処理制御部211aによって生成され使用されるセッションIDが利用されていない。図5の実施形態では、このセッションIDは、処理制御部211aが端末ID及びAP特定情報を記憶する際の、また、認証データ検証部212が照合用データを記憶する際の識別ラベルの役割を果たしている。また、図6の実施形態では、ユーザ端末1(端末通信インタフェース102)が認証・APサーバ2(サーバ通信インタフェース201)へコマンド通知と共にセッションIDを送信し、認証データ検証部212で署名検証に用いる照合用データを特定するのにセッションIDを利用している。
In the embodiment shown in FIGS. 7 and 8, the session ID generated and used by the
これに対し、図7に示した実施形態では、セッションIDの代わりに、端末IDを利用する。即ち、処理制御部211aは、取得したAP特定情報を記憶する際、このAP特定情報を端末IDに対応付けて記憶する(S709)。また、認証データ検証部212は、生成した照合用データを記憶する際、この照合用データを端末IDに紐づけて記憶する(S714)。ここで、照合用データを端末ID及びサービスIDに紐づけて記憶してもよい。これにより、例えばISO/IEC7816−4で規定された論理チャネルに対応し、照合用データを、コマンドで指定されるチャネル番号に応じたサービスにも対応付けて、より的確な照合処理を行うことが可能となる。
On the other hand, in the embodiment shown in FIG. 7, the terminal ID is used instead of the session ID. That is, when storing the acquired AP specifying information, the
また、図7に示した処理を受けて、図8に示すように、ユーザ端末1(端末通信インタフェース102)は、セッションIDの代わりとして端末ID及びサービスIDを、コマンド通知の送信の度に認証・APサーバ2(サーバ通信インタフェース201)へ送信する(S805)。さらに、処理制御部211aは、検証要求の際、セッションIDの代わりに端末IDを認証データ検証部212へ出力し(S812)、この端末IDに紐づけられた照合用データを用いた検証の結果を、認証データ検証部212から取得する(S813、S814)。ここで、上述したように、照合用データをサービスIDにも紐づけて記憶している場合、処理制御部211aは、検証要求の際、端末IDと共にサービスIDも認証データ検証部212へ出力し(S812)、端末ID及びサービスIDに紐づけられた照合用データを用いた検証の結果を、認証データ検証部212から取得することになる(S813、S814)。
Further, in response to the processing shown in FIG. 7, as shown in FIG. 8, the user terminal 1 (terminal communication interface 102) authenticates the terminal ID and the service ID instead of the session ID every time a command notification is transmitted. Transmit to the AP server 2 (server communication interface 201) (S805). Further, the
このように、図7及び図8に示した実施形態では、セッションIDを生成し使用することなく、図5及び図6の実施形態と同様に、署名の検証処理による遅延といった悪影響を抑制しつつ一連のコマンド処理を適切に実行することが可能となる。尚、図5及び図6の実施形態のようにセッションIDをコマンド処理に用いることによって、正当な端末であるかのように成りすまして当該処理の間に介入しようとする不正行為が、より確実に防止可能となる。 As described above, the embodiment shown in FIGS. 7 and 8 does not generate and use a session ID, and suppresses adverse effects such as a delay due to signature verification processing, as in the embodiments of FIGS. 5 and 6. A series of command processing can be appropriately executed. It should be noted that by using the session ID for command processing as in the embodiment of FIGS. 5 and 6, it is possible to more reliably prevent fraudulent attempts to impersonate a legitimate terminal and intervene during the processing. It becomes possible to prevent.
以上詳細に説明したように、本発明によれば、コマンド処理と並行して予め認証データを準備しておくことによって、認証に用いるデータの生成によって全体の処理時間が増大するといった事態の発生を抑制することができる。これにより、サーバ2側にアプリケーションを配置した形態においても、ユーザの利便性を確保しつつ適切な認証を実施することが可能となる。 As described above in detail, according to the present invention, by preparing authentication data in advance in parallel with command processing, the occurrence of a situation in which the entire processing time is increased due to generation of data used for authentication. Can be suppressed. Thereby, even in the form in which the application is arranged on the server 2 side, it is possible to perform appropriate authentication while ensuring user convenience.
また、正常なコマンド処理における通信でやり取りされる信号に基づいて認証データ及び照合用データを生成するので、通信の正当性、特にコマンドの送信元の正当性を認証し保証することができる。また例えば、受信したコマンドとこれより先に受信されたコマンドの処理について生成されたデータに基づいて認証データ及び照合用データを生成することによって、個々のコマンドだけではなく一連のコマンドが抜けなく正しい順序で、且つ同一の端末からサーバ2に送信されていることを認証し保証することも可能となる。 Further, since authentication data and verification data are generated based on signals exchanged by communication in normal command processing, it is possible to authenticate and guarantee the validity of communication, particularly the validity of the command transmission source. In addition, for example, by generating authentication data and verification data based on the received command and the data generated for the processing of the command received earlier, not only individual commands but also a series of commands are correct without omission. It is also possible to authenticate and guarantee that data is transmitted to the server 2 in order and from the same terminal.
さらに、本発明による認証データ検証システム、装置及び方法では、サービス提供用のアプリケーションをユーザ端末に搭載する必要がない。その結果、例えば処理能力の高いアプリケーション・プログラム及び大容量のデータをサーバ側に多数用意しておき、リーダライタ等にユーザ端末をかざすユーザに対し、適切な認証を実行しつつ、多種多様な又は高度なサービスを提供することも可能となる。 Furthermore, in the authentication data verification system, apparatus, and method according to the present invention, it is not necessary to install a service providing application on the user terminal. As a result, for example, a large number of application programs and large-capacity data having a high processing capacity are prepared on the server side, and various authentications are performed while performing appropriate authentication for a user holding a user terminal over a reader / writer or the like. It is also possible to provide advanced services.
以上に述べた本発明の種々の実施形態について、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。 For the various embodiments of the present invention described above, various changes, modifications, and omissions in the technical idea and scope of the present invention can be easily made by those skilled in the art. The above description is merely an example, and is not intended to be restrictive. The invention is limited only as defined in the following claims and the equivalents thereto.
1 ユーザ端末
101 非接触通信インタフェース
102 端末通信インタフェース
103 TP/DP(タッチパネル・ディスプレイ)
111 非接触通信制御部
112 端末通信制御部
112a データ処理部
113 認証データ生成部
2 認証・APサーバ(認証データ検証装置)
201 サーバ通信インタフェース
211 サーバ通信制御部
211a 処理制御部
212 認証データ検証部
212a 乱数生成器
213 サービスID管理部
214 アプリケーション処理部
214a アプリケーション
25、26 認証サーバ(認証データ検証装置)
3 リーダライタ(通信機器)
4、5 APサーバ
1
111 Non-contact
DESCRIPTION OF
3 Reader / Writer (communication equipment)
4, 5 AP server
Claims (9)
前記認証データ検証システムは、前記ユーザ端末によって第1のコマンドの後に受信され送信される第N(Nは2以上の自然数)のコマンドの処理について、受信された第Nのコマンドの送信元を検証する認証データ検証手段を更に有し、
前記ユーザ端末は、
第Nのコマンドが前記通信機器から受信された際、第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータに基づく認証データを、第Nのコマンドに対するレスポンスを待って利用することなく生成する認証データ生成手段と、
第Nのコマンドに次いで第(N+1)のコマンドが受信された際、第Nのコマンドの処理について生成された認証データと第(N+1)のコマンドとを、前記認証データ検証手段に到達するように送信する端末側通信制御手段と
を有し、
前記認証データ検証手段は、既に受信された第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータに基づいて照合用データを生成し、第(N+1)のコマンドと共に受信された認証データと、当該照合用データとを照合して、第(N+1)のコマンドの送信元を検証する
ことを特徴とする認証データ検証システム。 Authentication having a user terminal capable of receiving a command from a communication device, transmitting the command to the outside, receiving the response generated by an application processing unit capable of processing the command and generating a response, and transmitting the response to the communication device A data verification system,
The authentication data verification system verifies the transmission source of the received Nth command for processing of the Nth command (N is a natural number of 2 or more) received and transmitted after the first command by the user terminal. An authentication data verification means for
The user terminal is
When the Nth command is received from the communication device, based on the Nth command or the data related to the Nth command and / or the data generated for the processing of the command received before the Nth command Authentication data generating means for generating authentication data without waiting for a response to the Nth command and using the authentication data;
When the (N + 1) th command is received after the Nth command, the authentication data generated for the processing of the Nth command and the (N + 1) th command are sent to the authentication data verification means. A terminal side communication control means for transmitting,
The authentication data verification means is for verifying based on the Nth command already received or the data related to the Nth command and / or the data generated for the processing of the command received prior to the Nth command. An authentication data verification system for generating data, verifying the authentication data received together with the (N + 1) th command and the verification data, and verifying the transmission source of the (N + 1) th command .
前記認証データ検証手段は、第(N+2)のコマンドの処理について、先に受信された第(N+1)のコマンドと、第Nのコマンドの処理について生成された照合用データとに基づいて照合用データを生成し、第(N+2)のコマンドと共に受信された認証データと、生成した当該照合用データとを照合して、第(N+2)のコマンドの送信元を検証する
ことを特徴とする請求項1に記載の認証データ検証システム。 The authentication data generation means generates authentication data based on the (N + 1) th command and the authentication data generated for the processing of the Nth command when the (N + 1) th command is received from the communication device. And
For the processing of the (N + 2) -th command, the authentication data verification means performs verification data based on the (N + 1) -th received command and the verification data generated for the processing of the N-th command. The verification data received together with the (N + 2) command and the generated verification data are verified to verify the transmission source of the (N + 2) command. Authentication data verification system described in 1.
前記認証データ検証システムは、当該乱数を前記ユーザ端末へ送信するサーバ側通信制御手段を更に有し、
前記認証データ生成手段は、受信された乱数に基づいて認証データを生成し、
前記端末側通信制御手段は、第1のコマンドに次いで第2のコマンドを受信した際、乱数に基づく認証データと、第2のコマンドとを前記認証データ検証手段に到達するように送信し、
前記認証データ検証手段は、第2のコマンドと共に受信された認証データと、乱数に基づいて生成した照合用データとを照合して、第2のコマンドの送信元を検証する
ことを特徴とする請求項1又は2に記載の認証データ検証システム。 The authentication data verification means generates a random number for the processing of the first command, generates verification data based on the random number,
The authentication data verification system further includes server side communication control means for transmitting the random number to the user terminal,
The authentication data generation means generates authentication data based on the received random number,
When the terminal-side communication control means receives the second command after the first command, the terminal-side communication control means transmits authentication data based on a random number and the second command so as to reach the authentication data verification means,
The authentication data verification unit verifies the transmission source of the second command by comparing authentication data received together with the second command and verification data generated based on a random number. Item 3. An authentication data verification system according to item 1 or 2.
前記認証データ検証システムは、前記アプリケーション処理手段を包含し、
前記アプリケーション処理手段は、当該サービス識別子で指定されるサービスを処理する複数のアプリケーションを有し、受信されたコマンドの処理プロセスについて、当該コマンドから抽出されたサービス識別子に係る情報に基づいて、当該コマンドに対するレスポンスを生成するのに使用するアプリケーションを決定する
ことを特徴とする請求項1から3のいずれか1項に記載の認証データ検証システム。 The command received from the communication device includes a service identifier that identifies the service to be provided;
The authentication data verification system includes the application processing means,
The application processing means has a plurality of applications for processing a service specified by the service identifier, and the command processing process is performed based on information related to the service identifier extracted from the command. The authentication data verification system according to any one of claims 1 to 3, wherein an application used to generate a response to is determined.
前記認証データ検証手段は、当該セッション識別子と生成した照合用データとを対応付けて記憶し、
前記認証データ検証システムは、当該セッション識別子を前記ユーザ端末へ送信するサーバ側通信制御手段を更に有し、
前記ユーザ端末は、当該セッション識別子と生成された認証データとを対応付けて記憶するデータ処理手段を更に有し、
前記端末側通信制御手段は、当該認証データ及び当該コマンドと共に当該セッション識別子を、前記認証データ検証手段に到達するように送信し、
前記認証データ検証手段は、受信されたセッション識別子に対応付けられた照合用データと、受信された認証データとを照合して、当該コマンドの送信元を検証する
ことを特徴とする請求項1から4のいずれか1項に記載の認証データ検証システム。 The authentication data verification system further includes processing control means for generating a session identifier for specifying a session for subsequent command processing when a command processing start notification or first command is received,
The authentication data verification means stores the session identifier and the generated verification data in association with each other,
The authentication data verification system further includes server-side communication control means for transmitting the session identifier to the user terminal,
The user terminal further includes data processing means for storing the session identifier and the generated authentication data in association with each other,
The terminal side communication control means transmits the session identifier together with the authentication data and the command so as to reach the authentication data verification means,
2. The authentication data verifying unit verifies the transmission source of the command by comparing the verification data associated with the received session identifier with the received authentication data. 5. The authentication data verification system according to any one of 4 above.
前記ユーザ端末によって第1のコマンドの後に受信され送信される第N(Nは2以上の自然数)のコマンドの処理について、受信された第Nのコマンドの送信元を検証する認証データ検証手段と、
前記ユーザ端末が第Nのコマンドに次いで第(N+1)のコマンドを前記通信機器から受信した際に、先に受信された第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータに基づいて生成した認証データであって、第Nのコマンドに対するレスポンスを待って利用することなく生成された認証データを、第(N+1)のコマンドと共に受信可能な装置側通信制御手段と
を有し、
前記認証データ検証手段は、既に受信された第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータに基づいて照合用データを生成し、第(N+1)のコマンドと共に受信された認証データと、当該照合用データとを照合して、第(N+1)のコマンドの送信元を検証する
ことを特徴とする認証データ検証装置。 A user terminal that can receive a response generated by an application processing unit that can receive a command from a communication device, transmit the command to the outside, process the command, and generate a response, and send the response to the communication device. An authentication data verification device for verifying authentication data related to communication transmitted from a user terminal capable of transmission,
Authentication data verification means for verifying the transmission source of the received Nth command for processing of the Nth command (N is a natural number of 2 or more) received and transmitted after the first command by the user terminal;
When the user terminal receives the (N + 1) th command from the communication device after the Nth command, the Nth command or the data related to the Nth command and / or the Nth command received earlier Authentication data generated based on data generated for processing of a command received earlier than the authentication data generated without waiting for a response to the Nth command is used as the (N + 1) th authentication data. Device side communication control means capable of receiving together with the command of
The authentication data verification means is for verifying based on the Nth command already received or the data related to the Nth command and / or the data generated for the processing of the command received prior to the Nth command. An authentication data verification device for generating data and verifying the authentication data received together with the (N + 1) th command and the verification data to verify the transmission source of the (N + 1) th command .
前記通信機器から第1のコマンドの後に受信された第N(Nは2以上の自然数)のコマンドを、第Nのコマンドの送信元を検証可能な外部に設けられた認証データ検証手段に到達するように送信する端末側通信制御手段と、
第Nのコマンドが受信された際、第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータに基づく認証データを、第Nのコマンドに対するレスポンスを待って利用することなく生成する認証データ生成手段と
を有し、
前記端末側通信制御手段は、第Nのコマンドに次いで第(N+1)のコマンドが受信された際、第Nのコマンドの処理について生成された認証データと第(N+1)のコマンドとを前記認証データ検証手段に到達するように送信することによって、既に第Nのコマンドを受信した前記認証データ検証手段であって、第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータに基づいて照合用データを生成した前記認証データ検証手段に対し、第(N+1)のコマンドと共に受信させた認証データと当該照合用データとを照合させ、第(N+1)のコマンドの送信元を検証させる
ことを特徴とするユーザ端末。 A user terminal capable of receiving a command from a communication device, transmitting the command to the outside, receiving the response generated by an application processing unit capable of processing the command and generating a response, and transmitting the response to the communication device. ,
The Nth (N is a natural number of 2 or more) command received after the first command from the communication device reaches an authentication data verification means provided outside that can verify the transmission source of the Nth command. Terminal-side communication control means for transmitting
When the Nth command is received, the authentication data based on the Nth command or the data related to the Nth command and / or the data generated for the processing of the command received prior to the Nth command, Authentication data generating means for generating without waiting for a response to the Nth command,
When the (N + 1) th command is received after the Nth command, the terminal side communication control means uses the authentication data generated for the processing of the Nth command and the (N + 1) th command as the authentication data. The authentication data verification unit that has already received the Nth command by transmitting to reach the verification unit, the Nth command or data relating to the Nth command and / or the Nth command. The authentication data verification means that has generated verification data based on the data generated for the processing of the previously received command is used to verify the authentication data received together with the (N + 1) th command and the verification data. A user terminal that verifies the transmission source of the (N + 1) th command.
前記認証データ検証システムは、前記ユーザ端末によって第1のコマンドの後に受信され送信される第N(Nは2以上の自然数)のコマンドの処理について、受信された第Nのコマンドの送信元を検証する認証データ検証手段を更に有し、
前記方法は、
前記ユーザ端末が、第Nのコマンドを前記通信機器から受信した際、第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータに基づく認証データを、第Nのコマンドに対するレスポンスを待って利用することなく生成するステップと、
前記ユーザ端末が、第Nのコマンドに次いで第(N+1)のコマンドを受信した際、第Nのコマンドの処理について生成された認証データと第(N+1)のコマンドとを、前記認証データ検証手段に到達するように送信するステップと、
前記認証データ検証手段が、既に受信された第Nのコマンド若しくは第Nのコマンドに係るデータ及び/又は第Nのコマンドよりも先に受信されたコマンドの処理について生成されたデータに基づいて照合用データを生成し、第(N+1)のコマンドと共に受信された認証データと、当該照合用データとを照合して、第(N+1)のコマンドの送信元を検証するステップと
を有することを特徴とする認証データ検証方法。 Authentication having a user terminal capable of receiving a command from a communication device, transmitting the command to the outside, receiving the response generated by an application processing unit capable of processing the command and generating a response, and transmitting the response to the communication device A method for verifying authentication data in a data verification system, comprising:
The authentication data verification system verifies the transmission source of the received Nth command for processing of the Nth command (N is a natural number of 2 or more) received and transmitted after the first command by the user terminal. An authentication data verification means for
The method
When the user terminal receives the N-th command from the communication device, the N-th command or the data related to the N-th command and / or the processing of the command received before the N-th command is generated. Generating authentication data based on the received data without waiting for a response to the Nth command,
When the user terminal receives the (N + 1) th command after the Nth command, the authentication data generated for the processing of the Nth command and the (N + 1) th command are sent to the authentication data verification means. Sending to reach, and
The authentication data verification means is for verifying based on the Nth command already received or the data related to the Nth command and / or the data generated for the processing of the command received prior to the Nth command. Generating authentication data, verifying the authentication data received together with the (N + 1) th command and the verification data, and verifying the transmission source of the (N + 1) th command. Authentication data verification method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015075688A JP2016197767A (en) | 2015-04-02 | 2015-04-02 | Authentication data verification system, device and method using command from communication apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015075688A JP2016197767A (en) | 2015-04-02 | 2015-04-02 | Authentication data verification system, device and method using command from communication apparatus |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016197767A true JP2016197767A (en) | 2016-11-24 |
Family
ID=57358493
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015075688A Pending JP2016197767A (en) | 2015-04-02 | 2015-04-02 | Authentication data verification system, device and method using command from communication apparatus |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016197767A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11556264B1 (en) | 2021-07-26 | 2023-01-17 | Bank Of America Corporation | Offline data transfer between devices using gestures |
-
2015
- 2015-04-02 JP JP2015075688A patent/JP2016197767A/en active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11556264B1 (en) | 2021-07-26 | 2023-01-17 | Bank Of America Corporation | Offline data transfer between devices using gestures |
| US11914880B2 (en) | 2021-07-26 | 2024-02-27 | Bank Of America Corporation | Offline data transfer between devices using gestures |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10925102B2 (en) | System and method for NFC peer-to-peer authentication and secure data transfer | |
| JP6620168B2 (en) | Dynamic encryption method, terminal, and server | |
| AU2011200445B8 (en) | Method and apparatus for dynamic authentication | |
| EP2890172B1 (en) | Flexible data authentication for an NFC data exchange format NDEF message | |
| EP4081921B1 (en) | Contactless card personal identification system | |
| US9571164B1 (en) | Remote authentication using near field communication tag | |
| CN104885404B (en) | Method for mutual authentication between radio tag and reader | |
| CN105408910A (en) | Systems and methods for authenticating access to operating system by user before the operating system is booted using wireless communication token | |
| WO2015101310A1 (en) | Service processing method, device and system | |
| EP2961094A1 (en) | System and method for generating a random number | |
| CN106548338B (en) | Method and system for transferring resource numerical value | |
| WO2015002271A1 (en) | Device and authentication system | |
| US20170076285A1 (en) | Payment Method and Apparatus and Payment Factor Processing Method and Apparatus | |
| JP2022501873A (en) | Systems and methods for cryptographic authentication of non-contact cards | |
| CN108537532B (en) | Resource transfer method, device and system based on near field communication and electronic equipment | |
| US20200372489A1 (en) | Resource transfer based on near field communication | |
| EP3410332B1 (en) | A system and method for transferring data to an authentication device | |
| US9253628B2 (en) | Method of exchanging data between two electronic entities | |
| CN106685931B (en) | Smart card application management method and system, terminal and smart card | |
| JP2016197767A (en) | Authentication data verification system, device and method using command from communication apparatus | |
| EP3699855A1 (en) | Card issuance and payment system and method | |
| JP2008027381A (en) | Authentication system, authentication server and authentication method | |
| JP7136087B2 (en) | Communication device, information processing device, and data processing system | |
| KR20140007628A (en) | Method for mobile banking of account transfer using security confirmation processing | |
| JP6801448B2 (en) | Electronic information storage media, authentication systems, authentication methods, and authentication application programs |