JP5008989B2 - Mutual authentication system and mutual authentication method - Google Patents

Mutual authentication system and mutual authentication method Download PDF

Info

Publication number
JP5008989B2
JP5008989B2 JP2007007793A JP2007007793A JP5008989B2 JP 5008989 B2 JP5008989 B2 JP 5008989B2 JP 2007007793 A JP2007007793 A JP 2007007793A JP 2007007793 A JP2007007793 A JP 2007007793A JP 5008989 B2 JP5008989 B2 JP 5008989B2
Authority
JP
Japan
Prior art keywords
information
mobile phone
web
authentication
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007007793A
Other languages
Japanese (ja)
Other versions
JP2008176449A (en
Inventor
雪子 澤谷
山田  明
優 三宅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2007007793A priority Critical patent/JP5008989B2/en
Publication of JP2008176449A publication Critical patent/JP2008176449A/en
Application granted granted Critical
Publication of JP5008989B2 publication Critical patent/JP5008989B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、インターネット接続における相互認証システム及び相互認証方法に関し、特に、キーロガーやフィッシング詐欺による被害を防ぐことができるようにした相互認証システム及び相互認証方法に関する。   The present invention relates to a mutual authentication system and a mutual authentication method for Internet connection, and more particularly to a mutual authentication system and a mutual authentication method capable of preventing damage caused by key loggers and phishing scams.

キーボードからの入力を監視してパスワードを盗用するキーロガーや、正規のサイトを装って偽証サイトに誘導し、暗証番号やクレジットカード番号などを搾取するフィッシング詐欺等、インターネットを利用した各種の詐欺が横行している。そこで、従来より、このような詐欺の被害からユーザを守るための技術が提案されている。   Various scams using the Internet, such as keyloggers that monitor keyboard input and steal passwords, and phishing scams that pretend to be legitimate websites and steal passwords and credit card numbers is doing. Thus, techniques for protecting users from such fraud damage have been proposed.

特許文献1に示されているものは、インターネットに接続している端末に存在するキーロガーやスパイウェアの脅威に対し、物理デバイスとしてあらかじめ電話番号を登録済みの携帯電話機や固定電話機を使用し、コールバックによる利用者確認を行う事で、物理デバイスの特定と利用者の特定をするものであり、「なりすまし」を防御することができる。また、利用者はユーザIDとして電話番号を利用するため、ユーザIDやパスワードを覚える必要が無く、また、ワンタイムパスワードなどの入力の手間が省けるものである。   The device disclosed in Patent Document 1 uses a mobile phone or a fixed phone with a telephone number registered in advance as a physical device to call back a key logger or spyware threat that exists in a terminal connected to the Internet. By confirming the user, the physical device is identified and the user is identified, and "spoofing" can be prevented. Further, since the user uses a telephone number as the user ID, there is no need to memorize the user ID and password, and the time and effort for inputting a one-time password can be saved.

非特許文献1に示されているものは、ユーザのパーソナルコンピュータからのウェブサイトアクセス時に、携帯電話からパーソナルコンピュータを経由して認証要求をウェブサイトに送信して認証を行うものである。認証情報をユーザのパーソナルコンピュータに直接入力しないため、キーロガーのようなスパイウェアによる認証情報の漏洩を防止することができる。また、認証時に携帯電話内でアクセス先が正規のウェブサイトであることを携帯電話キャリアに確認するため、フィッシング詐欺を狙った偽装サイトへの誘導を防止することもできる。   In Non-Patent Document 1, when a website is accessed from a user's personal computer, authentication is performed by transmitting an authentication request from the mobile phone to the website via the personal computer. Since authentication information is not directly input to the user's personal computer, leakage of authentication information by spyware such as a key logger can be prevented. In addition, since the mobile phone carrier confirms that the access destination is a legitimate website in the mobile phone at the time of authentication, it is possible to prevent the user from being directed to a camouflaged site aimed at phishing.

非特許文献2に示されているものは、携帯電話の個体識別番号をカギの代わりにし、認証サーバ上であらかじめ登録された個体識別番号や付加認証条件の確認を行う、認証プラットフォームであり、「登録された携帯電話を持っている」という要素と、「携帯電話から認証条件を入力する」という複合要素によって、本人を確実に認証するものである。非特許文献2に示されるものでは、複製不可能な携帯電話をカギとして認証に利用し、登録された携帯電話そのものを持っていないと認証ができないため、登録者本人以外のなりすましを防ぐことができる。また、パーソナルコンピュータのインターネット上および携帯電話ネットワーク上の2経路に認証データを分散させることで、安全性の向上が図れる。   What is shown in Non-Patent Document 2 is an authentication platform that uses an individual identification number of a mobile phone as a key, and checks an individual identification number and additional authentication conditions registered in advance on an authentication server. The user is surely authenticated by the composite element “has a registered mobile phone” and “input authentication conditions from the mobile phone”. The non-patent document 2 uses a non-replicatable mobile phone as a key for authentication, and since it cannot be authenticated without the registered mobile phone itself, impersonation other than the registered person can be prevented. it can. Further, the security can be improved by distributing the authentication data to two paths on the Internet of the personal computer and on the cellular phone network.

非特許文献3に示されているものは、リモートアクセスやショッピングサイトなどにて認証を行う際、既存の携帯電話を利用し、確実な個人認証を行うシステムであり、ウェブブラウザ上で認証を行う際は、ユーザIDのみを入力、それを受けサーバがユーザIDに対応した携帯電話にダイヤルし、ユーザは、携帯電話からのアナウンスに従い、携帯電話の数字ボタンを押しパスワードを入力し、認証を行うものである。
特開2006−33780号公報 インターネット<URL:http://www.nec.co.jp/press/ja/0610/0203.html> インターネット<URL:http://www.synclock.jp> インターネット<URL:http://www.netmarks.co.jp/newsrelease/060118.html> Non-Patent Document 3 shows a system that uses an existing mobile phone to authenticate personally when authenticating at a remote access or shopping site, and performs authentication on a web browser. When entering the user ID, the server dials the mobile phone corresponding to the user ID, and the user follows the announcement from the mobile phone and presses the numeric button on the mobile phone to enter the password and authenticate. Is.
JP 2006-33780 A Internet <URL: http: // www. nec. co. jp / press / ja / 0610/0203. html> Internet <URL: http: //www.synclock.jp> Internet <URL: http: // www. netmarks. co. jp / newsrelease / 060118. html>

しかしながら、従来のこの種の技術では、クライアント認証のためにユーザがウェブサーバ以外のシステムに、電話番号、電子メールアドレスなどの個人情報を通知する必要があり、プライバシを保つことができないという問題がある。   However, with this type of conventional technology, it is necessary for a user to notify personal information such as a telephone number and an e-mail address to a system other than a web server for client authentication, and privacy cannot be maintained. is there.

また、上述の従来の技術では、携帯電話とユーザパーソナルコンピュータ間で、赤外線通信を行ったり、携帯電話のボタンを使って必要な情報を入力したりする必要があるため、操作が面倒であるという問題点がある。   In addition, in the above-described conventional technology, it is necessary to perform infrared communication between the mobile phone and the user personal computer, or to input necessary information using the buttons of the mobile phone, which is troublesome. There is a problem.

また、上述の従来技術では、携帯電話が電波圏外にある場合や、電波オフモードなどの場合に、携帯電話がユーザ情報を認証システム及びウェブサーバヘ送信することができず、クライアント認証及びサーバ認証ができないという問題がある。   In the above-described conventional technology, the mobile phone cannot transmit user information to the authentication system and the web server when the mobile phone is out of the radio wave range or in the radio wave off mode. There is a problem that can not be.

そこで、本発明は、上述の課題を鑑みてなされたものであり、キーロガーやフィッシング詐欺による被害を防ぐことができると共に、プライバシを保つことができ、また、操作が簡単な相互認証システム及び相互認証方法を提供することを目的とする。   Therefore, the present invention has been made in view of the above-described problems, and can prevent damage caused by key loggers and phishing scams, can maintain privacy, and can be easily operated. It aims to provide a method.

本発明の他の目的は、携帯電話が電波圏外にある場合でも認証が行えるようにした相互認証システム及び相互認証方法を提供することを目的とする。   Another object of the present invention is to provide a mutual authentication system and a mutual authentication method capable of performing authentication even when the mobile phone is outside the radio wave range.

本発明は、上記の課題を解決するために、以下の事項を提案している。
(1)本発明は、クライアント端末と、前記クライアント端末と同一のユーザが保有する携帯電話固有情報が格納された携帯電話端末と、前記携帯電話固有情報とユーザ情報とが格納されたユーザ情報保存部と、認証用の情報が格納された認証用情報保存部とを有するキャリアサーバと、を備え、前記クライアント端末がウェブサーバに認証を求める際に、前記ウェブサーバから前記クライアント端末にウェブ情報を送信し、前記ウェブ情報を前記クライアント端末から前記携帯電話端末に入力し、前記携帯電話端末により、前記ウェブ情報に基づいて、前記ウェブサーバの認証を行い、前記ウェブサーバが正しいことが確認されたら、前記携帯電話端末から前記キャリアサーバに、前記携帯電話固有情報と前記ウェブ情報とを送信し、前記キャリアサーバにより、前記携帯電話固有情報からユーザを特定し、前記認証用情報保存部に記憶されている前記ユーザに対応する認証用情報、前記ウェブ情報とを前記ウェブサーバに送信し、前記ウェブサーバにより、前記ユーザに対応する認証用の情報と、前記ウェブ情報とに基づいてユーザの認証を行うことを特徴とする相互認証システムを提案している。 The present invention proposes the following matters in order to solve the above problems.
(1) The present invention relates to a client terminal, a mobile phone terminal storing mobile phone specific information held by the same user as the client terminal, and a user information storage storing the mobile phone specific information and user information And a carrier server having an authentication information storage unit in which authentication information is stored, and when the client terminal requests authentication from the web server, web information is sent from the web server to the client terminal. And transmitting the web information from the client terminal to the mobile phone terminal, authenticating the web server based on the web information by the mobile phone terminal, and confirming that the web server is correct , Transmitting the mobile phone specific information and the web information from the mobile phone terminal to the carrier server, The Yariasaba, the mobile phone identifies the user from the specific information, the transmitted information for authentication corresponding to the user stored in the authentication information storage section, and said web information to the web server, the web A mutual authentication system has been proposed in which a server authenticates a user based on authentication information corresponding to the user and the web information .

(2)本発明は、(1)の相互認証システムについて、前記ウェブサーバは、前記ウェブ情報をバーコードで送信し、前記クライアント端末に表示されるバーコードを前記携帯電話端末で撮影することにより、前記ウェブ情報を前記携帯電話端末に入力することを特徴とする相互認証システムを提案している。 (2) The present invention, mutual authentication system (1), wherein the web server, the web blanking information transmitted by the bar code is photographed bar code displayed on the client terminal by the mobile phone terminal by proposes a mutual authentication system characterized by inputting the web blanking information to the mobile telephone terminal.

(3)本発明は、クライアント端末と、
前記クライアント端末と同一のユーザが保有する携帯電話固有情報が格納された携帯電話端末と、前記携帯電話固有情報とユーザ情報とが格納されたユーザ情報保存部と、認証用の情報が格納された認証用情報保存部とを有するキャリアサーバと、を備え、前記クライアント端末がウェブサーバに認証を求める際に、前記ウェブサーバから前記クライアント端末にウェブ情報を送信し、前記ウェブ情報を前記クライアント端末から前記携帯電話端末に入力し、前記携帯電話端末により、前記ウェブ情報に基づいて、前記ウェブサーバの認証を行い、前記ウェブサーバが正しいことが確認され、前記携帯電話端末が電波圏外又は電波オフモードのときには、前記携帯電話端末の携帯電話固有情報を暗号化し、前記暗号化された携帯電話固有情報を前記クライアント端末に入力し、前記暗号化された携帯電話固有情報と、前記ウェブ情報を前記クライアント端末から前記キャリアサーバに送信し、前記キャリアサーバにより、前記携帯電話固有情報からユーザを特定し、前記ユーザに対応する認証用情報と、前記ウェブ情報とを前記ウェブサーバに送信し、前記ウェブサーバにより、前記ユーザに対応する認証用情報と、前記ウェブ情報とに基づいてユーザの認証を行うことを特徴とする相互認証システムを提案している。 (3) The present invention provides a client terminal;
A mobile phone terminal storing mobile phone specific information held by the same user as the client terminal, a user information storage unit storing the mobile phone specific information and user information, and authentication information stored A carrier server having an authentication information storage unit, and when the client terminal requests authentication from the web server, the web information is transmitted from the web server to the client terminal, and the web information is transmitted from the client terminal. Input to the mobile phone terminal, and the mobile phone terminal authenticates the web server based on the web information, confirms that the web server is correct, and the mobile phone terminal is out of radio wave range or radio wave off mode. The mobile phone unique information of the mobile phone terminal is encrypted, and the encrypted mobile phone unique information Input to the client terminal, transmit the encrypted mobile phone specific information and the web information from the client terminal to the carrier server, the carrier server to identify the user from the mobile phone specific information, Transmitting authentication information corresponding to a user and the web information to the web server, and authenticating the user by the web server based on the authentication information corresponding to the user and the web information. We have proposed a mutual authentication system.

(4)本発明は、(3)の相互認証システムについて、前記携帯電話端末が電波圏外又は電波オフモードのときには、前記クライアント端末は、入力された固有情報を前記キャリアサーバに送信し、前記キャリアサーバは、前記固有情報を受け取ると、キャリアサーバ情報及び乱数を含む情報を生成し、当該情報をクライアント端末に送信し、前記携帯電話端末は、前記クライアント端末から前記乱数を読み出し、前記乱数を使って、前記携帯電話固有情報をハッシュ関数によりメッセージ認証コードのための鍵付きハッシングを生成することにより前記暗号化を行うことを特徴とする相互認証システムを提案している。 (4) In the mutual authentication system according to (3), when the mobile phone terminal is out of a radio wave range or in a radio wave off mode, the client terminal transmits the input unique information to the carrier server. Upon receiving the unique information, the server generates carrier server information and information including a random number, transmits the information to the client terminal, and the mobile phone terminal reads the random number from the client terminal and uses the random number. Thus, a mutual authentication system is proposed in which the mobile phone unique information is encrypted by generating keyed hashing for a message authentication code using a hash function .

(5)本発明は、クライアント端末と同一のユーザが保有する携帯電話固有情報が格納された携帯電話端末と、前記携帯電話固有情報とユーザ情報とが格納されたユーザ情報保存部と、認証用の情報が格納された認証用情報保存部とを有するキャリアサーバとを用意しておき、前記クライアント端末がウェブサーバに認証を求める際に、前記ウェブサーバから前記クライアント端末にウェブ情報を送信し、前記ウェブ情報を前記クライアント端末から前記携帯電話端末に入力し、前記携帯電話端末により、前記ウェブ情報に基づいて、前記ウェブサーバの認証を行い、前記ウェブサーバが正しいことが確認されたら、前記携帯電話端末から前記キャリアサーバに、前記携帯電話固有情報と前記ウェブ情報とを送信し、前記キャリアサーバにより、前記携帯電話固有情報からユーザを特定し、前記認証用情報保存部に記憶されている前記ユーザに対応する認証用情報と、前記ウェブ情報とを前記ウェブサーバに送信し、前記ウェブサーバにより、前記ユーザに対応する認証用の情報と、前記ウェブ情報とに基づいてユーザの認証を行うことを特徴とする相互認証方法を提案している。 (5) The present invention relates to a mobile phone terminal storing mobile phone specific information held by the same user as the client terminal, a user information storage unit storing the mobile phone specific information and user information, and authentication. A carrier server having an authentication information storage unit in which information is stored, and when the client terminal requests authentication from the web server, the web server transmits web information to the client terminal, The web information is input from the client terminal to the mobile phone terminal, and the mobile phone terminal performs authentication of the web server based on the web information, and if the web server is confirmed to be correct, the mobile phone terminal The mobile phone specific information and the web information are transmitted from the telephone terminal to the carrier server. It identifies the user from the mobile phone-specific information, the transmitted information for authentication corresponding to the user stored in the authentication information storage section, and said web information to the web server, by the web server A mutual authentication method is proposed in which a user is authenticated based on authentication information corresponding to the user and the web information .

(6)本発明は、クライアント端末と同一のユーザが保有する携帯電話固有情報が格納された携帯電話端末と、前記携帯電話固有情報とユーザ情報とが格納されたユーザ情報保存部と、認証用の情報が格納された認証用情報保存部とを有するキャリアサーバとを用意しておき、前記クライアント端末がウェブサーバに認証を求める際に、前記ウェブサーバから前記クライアント端末にウェブ情報を送信し、前記ウェブ情報を前記クライアント端末から前記携帯電話端末に入力し、前記携帯電話端末により、前記ウェブ情報に基づいて、前記ウェブサーバの認証を行い、前記ウェブサーバが正しいことが確認され、前記携帯電話端末が電波圏外又は電波オフモードのときには、前記携帯電話端末の携帯電話固有情報を暗号化し、前記暗号化された携帯電話固有情報を前記クライアント端末に入力し、前記暗号化された携帯電話固有情報と、前記ウェブ情報を前記クライアント端末から前記キャリアサーバに送信し、前記キャリアサーバにより、前記携帯電話固有情報からユーザを特定し、前記ユーザに対応する認証用情報と、前記ウェブ情報とを前記ウェブサーバに送信し、前記ウェブサーバにより、前記ユーザに対応する認証用情報と、前記ウェブ情報とに基づいてユーザの認証を行うことを特徴とする相互認証方法を提案している。
(6) The present invention relates to a mobile phone terminal storing mobile phone specific information held by the same user as the client terminal, a user information storage unit storing the mobile phone specific information and user information, and authentication A carrier server having an authentication information storage unit in which information is stored, and when the client terminal requests authentication from the web server, the web server transmits web information to the client terminal, The web information is input from the client terminal to the mobile phone terminal, and the mobile phone terminal authenticates the web server based on the web information, and the web server is confirmed to be correct. When the terminal is out of radio wave or in radio off mode, the mobile phone specific information of the mobile phone terminal is encrypted and the encrypted Mobile phone specific information is input to the client terminal, the encrypted mobile phone specific information and the web information are transmitted from the client terminal to the carrier server, and the carrier server uses the mobile phone specific information from the user. The authentication information corresponding to the user and the web information are transmitted to the web server, and the web server uses the authentication information corresponding to the user and the web information based on the user information . We have proposed a mutual authentication method characterized by performing authentication.

本発明によれば、クライアント認証を行う際、携帯電話固有情報とウェブサーバ情報を携帯電話端末からキャリアサーバに一度送信し、ウェブサーバが必要とする認証用情報のみをウェブサーバに送るようにしているので、クライアント認証のためにユーザがウェブサーバに対して固有情報を公開する必要がなく、プライバシが保たれるという効果がある。   According to the present invention, when performing client authentication, the mobile phone specific information and the web server information are once transmitted from the mobile phone terminal to the carrier server, and only the authentication information required by the web server is sent to the web server. Therefore, there is an effect that privacy is maintained without requiring the user to disclose specific information to the web server for client authentication.

また、本発明によれば、ウェブサーバの情報を携帯電話端末に送り、更に、キャリアサーバに送って、ウェブサーバが正しいかどうかを判断しているため、フィッシング詐欺を偽ったサイトへの誘導を防止することができるという効果がある。   In addition, according to the present invention, the web server information is sent to the mobile phone terminal, and further sent to the carrier server to determine whether the web server is correct. There is an effect that it can be prevented.

また、本発明によれば、認証の際に、キーボードの入力は行われず、また、クライアント端末に保存された固有の情報を使っていないため、キーロガーのようなスパイウェアによる認証の漏洩を防ぐことができるという効果がある。   Further, according to the present invention, no keyboard input is performed at the time of authentication, and since unique information stored in the client terminal is not used, leakage of authentication by spyware such as a key logger can be prevented. There is an effect that can be done.

また、本発明によれば、ウェブサーバの情報をバーコードでクライアント端末に送り、このバーコードを携帯電話端末で撮影することで、ウェブサーバの情報が携帯電話端末に送られるため、赤外線通信や、携帯電話のボタンを使った操作を行うことなしに、クライアント端末から携帯電話端末にウェブサーバ情報を送ることができるという効果がある。   In addition, according to the present invention, the web server information is sent to the client terminal by a barcode, and the barcode is photographed by the mobile phone terminal, whereby the web server information is sent to the mobile phone terminal. There is an effect that the web server information can be transmitted from the client terminal to the mobile phone terminal without performing an operation using the button of the mobile phone.

また、本発明によれば、携帯電話端末が電波圏外又は電話オフモードのときには、携帯電話端末の携帯電話固有情報を暗号化し、暗号化された携帯電話固有情報をクライアント端末に入力し、暗号化された携帯電話固有情報と、ウェブサーバ情報をクライアント端末から前記キャリアサーバに送信することにより、携帯電話端末が電波圏外のときにも、フィッシング詐欺を偽ったサイトへの誘導の防止や、スパイウェアによる認証の漏洩を防ぐことができるという効果がある。   Further, according to the present invention, when the mobile phone terminal is out of the radio wave range or in the telephone off mode, the mobile phone specific information of the mobile phone terminal is encrypted, and the encrypted mobile phone specific information is input to the client terminal for encryption. By transmitting the mobile phone specific information and web server information from the client terminal to the carrier server, even when the mobile phone terminal is out of the radio wave range, it is possible to prevent the phishing fraud from being guided to the site or by spyware This has the effect of preventing leakage of authentication.

また、本発明によれば、携帯電話端末とクライアント端末との間の通信は、クライアント端末から携帯電話端末が情報を受信する場合は、ウェブサーバから送信され、クライアント端末に表示されるバーコードを携帯電話端末のカメラで撮影して送るようにしているので、赤外線通信や、携帯電話のボタンを使った操作を行う必要がないという効果がある。   Further, according to the present invention, the communication between the mobile phone terminal and the client terminal is performed by displaying a barcode transmitted from the web server and displayed on the client terminal when the mobile phone terminal receives information from the client terminal. Since the image is taken and transmitted by the camera of the mobile phone terminal, there is an effect that it is not necessary to perform an operation using infrared communication or a button of the mobile phone.

また、携帯電話端末がクライアント端末に送信する情報は、送信するべき情報の暗号化しているので、キーロガー等のスパイウェアの被害にあうことがないと共に、ハッシュ値などに置き換えることにより、入力する文字数を少なくすることができるという効果がある。   In addition, since the information that the mobile phone terminal transmits to the client terminal is encrypted information to be transmitted, it does not suffer from spyware such as keyloggers, and the number of characters to be input can be changed by replacing it with a hash value. There is an effect that it can be reduced.

以下、本発明の実施の形態について図面を参照しながら説明する。なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. Note that the constituent elements in the present embodiment can be appropriately replaced with existing constituent elements and the like, and various variations including combinations with other existing constituent elements are possible. Therefore, the description of the present embodiment does not limit the contents of the invention described in the claims.

<第1の実施形態>
図1は、本発明の第1の実施形態のシステム構成を示すものである。図1において、クライアント端末1は、ユーザが保有しているパーソナルコンピュータである。 <First Embodiment>
FIG. 1 shows the system configuration of the first embodiment of the present invention. In FIG. 1, a client terminal 1 is a personal computer owned by a user.

クライアント端末1は、図2に示すように、制御部11と、記憶部12と、入力部13と、表示部14と、通信部15とを備えている。制御部11は、CPU(Central
Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等から構成される。記憶部12は、HDD(Hard Disk Drive)等から構成される。入力部13は、キーボードやマウス等からなる。表示部14は、LCD(Liquid Crystal Display)ディスプレイやCRT(Cathode−Ray Tube)ディスプレイからなる。通信部15は、ネットワーク5と接続するものである。 As illustrated in FIG. 2, the client terminal 1 includes a control unit 11, a storage unit 12, an input unit 13, a display unit 14, and a communication unit 15. The control unit 11 is a CPU (Central
It consists of a processing unit (ROM), a read only memory (ROM), a random access memory (RAM), and the like. The storage unit 12 includes an HDD (Hard Disk Drive) or the like. The input unit 13 includes a keyboard and a mouse. The display unit 14 includes an LCD (Liquid Crystal Display) display or a CRT (Cathode-Ray Tube) display. The communication unit 15 is connected to the network 5.

図1において、携帯電話端末2は、クライアント端末1と同一のユーザが保有しているもので、携帯電話端末2としては、ネットワーク網に接続可能なカメラ付き携帯電話端末が用いられる。   In FIG. 1, a mobile phone terminal 2 is owned by the same user as the client terminal 1, and a mobile phone terminal with a camera that can be connected to a network is used as the mobile phone terminal 2.

携帯電話端末2は、図3に示すように、通信部21と、音声処理部22と、制御部23と、カメラ24と、入力部25と、表示部26とを備えている。また、携帯電話端末2は、カメラ24で撮影された二次元バーコード(QRコード)をデコードするバーコードデコーダ27を有している。更に、携帯電話端末2は、携帯電話固有情報(電話番号、アドレス、サブスクライバID、個体識別番号等)を格納する携帯電話固有情報保存部29と、ウェブサーバ情報保存部30とを有している。   As shown in FIG. 3, the mobile phone terminal 2 includes a communication unit 21, an audio processing unit 22, a control unit 23, a camera 24, an input unit 25, and a display unit 26. Further, the mobile phone terminal 2 has a barcode decoder 27 that decodes a two-dimensional barcode (QR code) photographed by the camera 24. Furthermore, the mobile phone terminal 2 includes a mobile phone specific information storage unit 29 for storing mobile phone specific information (telephone number, address, subscriber ID, individual identification number, etc.) and a web server information storage unit 30. .

図1において、ウェブサーバ3は、ウェブページを提供しているサーバである。ウェブサーバ3は、図4に示すように、ウェブページ情報保存部31と、制御部32と、通信部33と、ユーザ認証部34とを備えている。また、ウェブサーバ3は、認証時に、セッションIDやサーバ情報を二次元バーコードにエンコードして送信するためのバーコードエンコーダ35が設けられる。   In FIG. 1, a web server 3 is a server that provides a web page. As shown in FIG. 4, the web server 3 includes a web page information storage unit 31, a control unit 32, a communication unit 33, and a user authentication unit 34. Further, the web server 3 is provided with a barcode encoder 35 for encoding a session ID and server information into a two-dimensional barcode and transmitting it at the time of authentication.

図1において、キャリアサーバ4は、携帯電話端末2を管理、運営している会社のサーバである。キャリアサーバ4は、図5に示すように、ユーザ情報保存部41と、ウェブサーバ情報保存部42と、認証用情報保存部43と、制御部44と、通信部45とを有している。ユーザ情報保存部41には、ユーザ情報として、ユーザの氏名や、携帯電話固有情報(電話番号、アドレス、サブスクライバID、個体識別番号等)が保存されている。キャリアサーバ4は、携帯電話端末2を管理、運営している会社のサーバであるから、これらの情報は、ユーザが携帯電話端末2を購入する際に取得されている。また、認証用情報保存部43には、ユーザに対応して、クライアント認証用のユーザIDが保存されている。   In FIG. 1, the carrier server 4 is a server of a company that manages and operates the mobile phone terminal 2. As illustrated in FIG. 5, the carrier server 4 includes a user information storage unit 41, a web server information storage unit 42, an authentication information storage unit 43, a control unit 44, and a communication unit 45. The user information storage unit 41 stores the user name and mobile phone specific information (telephone number, address, subscriber ID, individual identification number, etc.) as user information. Since the carrier server 4 is a server of a company that manages and operates the mobile phone terminal 2, these pieces of information are acquired when the user purchases the mobile phone terminal 2. The authentication information storage unit 43 stores a client authentication user ID corresponding to the user.

図1において、ネットワーク5は、例えばインターネット網である。クライアント端末1、ウェブサーバ3、キャリアサーバ4は、ネットワーク5を介して接続される。また、携帯電話端末2は、移動回線網6を介して、ネットワーク5に接続可能とされている。   In FIG. 1, a network 5 is an Internet network, for example. The client terminal 1, the web server 3, and the carrier server 4 are connected via a network 5. Further, the mobile phone terminal 2 can be connected to the network 5 via the mobile network 6.

次に、本発明の第1の実施形態のシステムの処理について、図6のシーケンス図を参照しながら説明する。この実施形態では、携帯電話端末2は、電波圏内にあるものとする。   Next, processing of the system according to the first embodiment of this invention will be described with reference to the sequence diagram of FIG. In this embodiment, it is assumed that the mobile phone terminal 2 is in the radio wave range.

図6において、クライアント端末1がウェブサーバ3に認証を求めてログインする際に、クライアント端末1でウェブサーバ3がアクセスされると(ステップS1)、ウェブサーバ3は、セッションID及びウェブ情報(例えば、ウェブサーバのURL)を含む二次元バーコードを生成し(ステップS2)、この二次元バーコードをクライアント端末1に送信する(ステップS3)。クライアント端末1には、この二次元バーコードが表示される(ステップS4)。   In FIG. 6, when the client terminal 1 logs in to the web server 3 for authentication, the web server 3 is accessed by the client terminal 1 (step S <b> 1). , A URL of the web server) is generated (step S2), and the two-dimensional barcode is transmitted to the client terminal 1 (step S3). The two-dimensional barcode is displayed on the client terminal 1 (step S4).

携帯電話端末2のカメラにより、クライアント端末1に表示された二次元バーコードが撮影されると(ステップS5)、携帯電話端末2は、二次元バーコードをデコードして得られたセッションIDとウェブ情報から、ウェブサーバが正しいかどうかを確認し(ステップS6)、ウェブサーバが正しいことが確認されると、キャリアサーバ4にアクセスし、キャリアサーバ情報要求と、携帯電話固有情報(電話番号、アドレス、サブスクライバID、個体識別番号等)を送信する(ステップS7)。   When the two-dimensional barcode displayed on the client terminal 1 is photographed by the camera of the cellular phone terminal 2 (step S5), the cellular phone terminal 2 uses the session ID and the web obtained by decoding the two-dimensional barcode. From the information, it is confirmed whether the web server is correct (step S6). When the web server is confirmed to be correct, the carrier server 4 is accessed, and the carrier server information request and the mobile phone specific information (phone number, address) , Subscriber ID, individual identification number, etc.) are transmitted (step S7).

キャリアサーバ4は、セッションID及びサーバ情報を受信すると、携帯電話端末2から送られてきた携帯電話端末情報により携帯電話端末を確認し(ステップS8)、携帯電話端末が正しければ、携帯電話端末2に、キャリアサーバ情報を送る(ステップS9)。   When the carrier server 4 receives the session ID and the server information, the carrier server 4 confirms the mobile phone terminal based on the mobile phone terminal information sent from the mobile phone terminal 2 (step S8), and if the mobile phone terminal is correct, the mobile phone terminal 2 The carrier server information is sent to (step S9).

携帯電話端末2は、キャリアサーバ情報によりキャリアサーバを確認し(ステップS10)、キャリアサーバが正しければ、セッションIDとウェブサーバ情報をキャリアサーバ4に送る(ステップS11)。   The mobile phone terminal 2 confirms the carrier server based on the carrier server information (step S10), and if the carrier server is correct, sends the session ID and web server information to the carrier server 4 (step S11).

キャリアサーバ4は、ウェブサーバ3にサーバ情報を要求し(ステップS12)、ウェブサーバ3からサーバ情報が返信されたら(ステップS13)、ウェブサーバが正しいかどうかを確認する(ステップS14)。   The carrier server 4 requests server information from the web server 3 (step S12). When the server information is returned from the web server 3 (step S13), the carrier server 4 checks whether the web server is correct (step S14).

ウェブサーバ3が正しいことが確認されると、ユーザ情報保存部41の携帯電話固有情報を参照してユーザを特定し、ユーザに対応するクライアント認証用のユーザIDを認証用情報保存部43から読み出し(ステップS15)、クライアント認証用のユーザIDと、セッションIDをウェブサーバ3に送信する(ステップS16)。   If the web server 3 is confirmed to be correct, the user is identified by referring to the mobile phone specific information of the user information storage unit 41, and the client authentication user ID corresponding to the user is read from the authentication information storage unit 43. (Step S15), the client authentication user ID and the session ID are transmitted to the web server 3 (Step S16).

ウェブサーバ3は、認証を行い(ステップS17)。認証が成立すると、クライアント端末1にセッションIDを送信し、ログイン認証が行われた旨を通知する(ステップS18)。   The web server 3 performs authentication (step S17). When authentication is established, a session ID is transmitted to the client terminal 1 to notify that login authentication has been performed (step S18).

以上のように、本発明の第1の実施形態では、クライアント端末1の認証をウェブサーバ3でする際に、ウェブサーバ3からクライアント端末1に、二次元バーコードでセッションID及びウェブサーバ情報が送信され、この二次元バーコードが携帯電話端末2で撮影される。そして、携帯電話端末2からキャリアサーバ4に、携帯電話固有情報とウェブサーバ情報が送信され、キャリアサーバ4で、携帯電話固有情報を参照してユーザが特定され、このユーザに対応するクライアント認証用のユーザIDが認証用情報保存部43から読み出され、ウェブサーバ3に送られて、認証が行われる。   As described above, in the first embodiment of the present invention, when the authentication of the client terminal 1 is performed by the web server 3, the session ID and the web server information are transmitted from the web server 3 to the client terminal 1 using a two-dimensional barcode. The two-dimensional barcode is photographed by the mobile phone terminal 2. Then, the mobile phone specific information and the web server information are transmitted from the mobile phone terminal 2 to the carrier server 4, and the carrier server 4 refers to the mobile phone specific information to identify the user, and for client authentication corresponding to this user Are read from the authentication information storage unit 43 and sent to the web server 3 for authentication.

このように、本発明の第1の実施形態では、キャリアサーバ4を介在させ、ウェブサーバ3の認証を行うようにしているため、クライアント認証のためにユーザがウェブサーバに対して、固有情報を公開する必要がなく、プライバシが保たれる効果が期待できる。   As described above, in the first embodiment of the present invention, since the carrier server 4 is interposed and the web server 3 is authenticated, the user provides unique information to the web server for client authentication. There is no need to make it public, and it can be expected that privacy will be maintained.

また、本発明の第1の実施形態では、ウェブサーバの情報を携帯電話端末2に送り、更に、キャリアサーバ4に送って、ウェブサーバが正しいかどうかを判断しているため、フィッシング詐欺を偽ったサイトへの誘導を防止することができる。   In the first embodiment of the present invention, the web server information is sent to the mobile phone terminal 2 and further sent to the carrier server 4 to judge whether the web server is correct. Can be avoided.

また、本発明の第1の実施形態では、認証の際に、キーボードの入力は行われず、また、クライアント端末1に保存された固有の情報を使っていないため、キーロガーのようなスパイウェアによる認証の漏洩を防ぐことができる。   Also, in the first embodiment of the present invention, no keyboard input is performed at the time of authentication, and since unique information stored in the client terminal 1 is not used, authentication by a spyware such as a keylogger is not performed. Leakage can be prevented.

また、本発明の第1の実施形態では、ウェブサーバ3の情報を二次元バーコードでクライアント端末1に送り、この二次元バーコードを携帯電話端末2で撮影することで、ウェブサーバ3の情報が携帯電話端末2に送られる。このため、赤外線通信や、携帯電話のボタンを使った操作を行うことなしに、クライアント端末1から携帯電話端末2にウェブサーバ情報を送ることができる。   In the first embodiment of the present invention, the information of the web server 3 is sent to the client terminal 1 by a two-dimensional barcode and the two-dimensional barcode is photographed by the mobile phone terminal 2, thereby Is sent to the mobile phone terminal 2. For this reason, the web server information can be sent from the client terminal 1 to the mobile phone terminal 2 without performing infrared communication or an operation using the button of the mobile phone.

<第2の実施形態>
図7は、本発明の第2の実施形態のシーケンス図を示すものである。この実施形態は、携帯電話端末が電波圏外又は電波オフモードにある場合に適用される。なお、システムの基本構成については、前述の第1の実施形態と同様である。 <Second Embodiment>
FIG. 7 shows a sequence diagram of the second embodiment of the present invention. This embodiment is applied when the mobile phone terminal is out of the radio wave range or in the radio wave off mode. The basic configuration of the system is the same as that in the first embodiment described above.

図7において、クライアント端末1がウェブサーバ3に認証を求めてログインする際に、クライアント端末1でウェブサーバ3がアクセスされると(ステップS101)、ウェブサーバ3は、セッションID及びウェブ情報(例えば、ウェブサーバのURL)を含む二次元バーコードを生成し(ステップS102)、この二次元バーコードをクライアント端末1に送信する(ステップS103)。クライアント端末1には、この二次元バーコードが表示される(ステップS104)。   In FIG. 7, when the client terminal 1 logs in to the web server 3 for authentication, the client server 1 accesses the web server 3 (step S101). The web server 3 receives the session ID and web information (for example, , The URL of the web server) is generated (step S102), and the two-dimensional barcode is transmitted to the client terminal 1 (step S103). The two-dimensional barcode is displayed on the client terminal 1 (step S104).

携帯電話端末2のカメラにより、クライアント端末1に表示された二次元バーコードが撮影されると(ステップS105)、携帯電話端末2は、二次元バーコードをデコードし、ウェブサーバが正しいかどうかを確認し(ステップS106)、更に、電波圏外(又は電波オフモード)かどうかを確認する(ステップS107)。電波圏外(又は電波オフモード)なら、携帯電話端末2は、キャリアサーバへのアクセス情報を表示する(ステップS108)。なお、電波圏内のときの処理は、前述の第1の実施形態と同様であり、その説明を省略する。   When the two-dimensional barcode displayed on the client terminal 1 is photographed by the camera of the cellular phone terminal 2 (step S105), the cellular phone terminal 2 decodes the two-dimensional barcode and checks whether the web server is correct. It confirms (step S106), and also confirms whether it is out of the radio wave range (or radio wave off mode) (step S107). If it is out of the radio wave range (or radio wave off mode), the cellular phone terminal 2 displays access information to the carrier server (step S108). Note that the processing in the radio wave range is the same as that in the first embodiment described above, and a description thereof will be omitted.

携帯電話端末2に表示されるアクセス情報に従って、クライアント端末1がキャリアサーバ4にアクセスされる。このとき、固有情報(携帯電話番号等の中で、盗聴されても悪用される恐れの少ないもの)がクライアント端末1のキーボードにより入力され(ステップS109)、キャリアサーバ4に送られる(ステップS110)。   According to the access information displayed on the mobile phone terminal 2, the client terminal 1 is accessed to the carrier server 4. At this time, unique information (a mobile phone number or the like that is less likely to be abused even if wiretapped) is input from the keyboard of the client terminal 1 (step S109) and sent to the carrier server 4 (step S110). .

キャリアサーバ4は、クライアント端末1からの固有情報を受け取ると、キャリアサーバ情報及び乱数rを含む二次元バーコードを生成し(ステップS111)、クライアント端末1に送信する(ステップS112)。クライアント端末1には、この二次元バーコードが表示される(ステップS113)。   Upon receiving the unique information from the client terminal 1, the carrier server 4 generates a two-dimensional barcode including the carrier server information and the random number r (step S111) and transmits it to the client terminal 1 (step S112). The two-dimensional barcode is displayed on the client terminal 1 (step S113).

クライアント端末1に表示された二次元バーコードが携帯電話端末2のカメラで撮影されると(ステップS114)、携帯電話端末2は、二次元バーコードをデコードし、キャリアサーバが正しいかどうかを確認(ステップS115)する。キャリアサーバが正しければ、携帯電話端末2は、乱数rを使って、携帯電話端末2の携帯電話固有情報(端末固有番号、サブスクライバID等)をハッシュ関数により暗号化してHMAC(メッセージ認証コードのための鍵付きハッシング:Keyed−Hashing for Message Authentication code)を生成し(ステップS116)、それを携帯電話端末2の画面に表示する(ステップS117)。   When the two-dimensional barcode displayed on the client terminal 1 is photographed by the camera of the cellular phone terminal 2 (step S114), the cellular phone terminal 2 decodes the two-dimensional barcode and confirms whether the carrier server is correct. (Step S115). If the carrier server is correct, the mobile phone terminal 2 uses the random number r to encrypt the mobile phone unique information (terminal unique number, subscriber ID, etc.) of the mobile phone terminal 2 with a hash function and use HMAC (for message authentication code). (Keyed-Hashing for Message Authentication code) is generated (step S116) and displayed on the screen of the mobile phone terminal 2 (step S117).

携帯電話端末2の画面に、HMACの文字が表示されたら、この表示された文字がクライアント端末1のキーボードから入力される(ステップS118)。クライアント端末1に入力されたHMAC(r,携帯電話固有情報)は、ウェブサーバ情報とセッションIDとともに、キャリアサーバ4に送信される(ステップS119)。   When characters of HMAC are displayed on the screen of the mobile phone terminal 2, the displayed characters are input from the keyboard of the client terminal 1 (step S118). The HMAC (r, mobile phone specific information) input to the client terminal 1 is transmitted to the carrier server 4 together with the web server information and the session ID (step S119).

キャリアサーバ4は、HMAC、ウェブサーバ情報の検証を行う(ステップS120)。そして、キャリアサーバ4は、ウェブサーバ3にサーバ情報を要求し(ステップS121)、ウェブサーバ3からサーバ情報が返信されたら(ステップS122)、ウェブサーバが正しいかどうかを確認する(ステップS123)。   The carrier server 4 verifies HMAC and web server information (step S120). Then, the carrier server 4 requests server information from the web server 3 (step S121). When the server information is returned from the web server 3 (step S122), the carrier server 4 checks whether the web server is correct (step S123).

ウェブサーバ3が正しいことが確認されると、ユーザ情報保存部41の携帯電話固有情報を参照してユーザを特定し、ユーザに対応するクライアント認証用のユーザIDを認証用情報保存部43から読み出し(ステップS124)、クライアント認証用のユーザIDと、セッションIDをウェブサーバ3に送信する(ステップS125)。   If the web server 3 is confirmed to be correct, the user is identified by referring to the mobile phone specific information of the user information storage unit 41, and the client authentication user ID corresponding to the user is read from the authentication information storage unit 43. (Step S124), the user ID for client authentication and the session ID are transmitted to the web server 3 (Step S125).

ウェブサーバ3は、認証を行い(ステップS126)。認証が成立すると、クライアント端末1にセッションIDを送信し、ログイン認証が行われた旨を通知する(ステップS127)。   The web server 3 performs authentication (step S126). When authentication is established, a session ID is transmitted to the client terminal 1 to notify that login authentication has been performed (step S127).

このように、本発明の第2の実施形態では、携帯電話端末が電波圏外又は電波オフモードのときには、クライアント端末1でキャリアサーバ4から乱数rを含む二次元バーコードを受け取り、この二次元バーコードを携帯電話端末2で撮影し、携帯電話端末2で、乱数rを用いて、携帯電話固有情報のHMACを生成している。このHMACをクライアント端末1からキャリアサーバ4に送ることにより、キャリアサーバ4に、携帯電話固有情報が送信される。キャリアサーバ4で、この携帯電話固有情報を参照してユーザが特定され、このユーザに対応するクライアント認証用のユーザIDが読み出され、これに基づいて、ウェブサーバ3がアクセスされ、ウェブサーバ3が正しいことが確認されると、キャリアサーバ4からウェブサーバ3にユーザIDとセッションIDが送られ、認証が行われる。これにより、携帯電話端末が電波圏外のときにも、フィッシング詐欺を偽ったサイトへの誘導の防止や、スパイウェアによる認証の漏洩を防ぐことができる。   Thus, in the second embodiment of the present invention, when the mobile phone terminal is out of the radio wave range or in the radio wave off mode, the client terminal 1 receives the two-dimensional barcode including the random number r from the carrier server 4, and this two-dimensional bar code The code is photographed by the mobile phone terminal 2, and the mobile phone terminal 2 generates the HMAC of the mobile phone specific information using the random number r. By sending this HMAC from the client terminal 1 to the carrier server 4, the mobile phone specific information is transmitted to the carrier server 4. The carrier server 4 refers to the mobile phone specific information, identifies the user, reads the user ID for client authentication corresponding to this user, and accesses the web server 3 based on this, and the web server 3 Is confirmed to be correct, the user ID and the session ID are sent from the carrier server 4 to the web server 3 for authentication. As a result, even when the mobile phone terminal is out of the radio wave range, it is possible to prevent the phishing fraud from being guided to a site and to prevent authentication leakage due to spyware.

本発明の第2の実施形態では、携帯電話端末2とクライアント端末1との間の通信は、クライアント端末1から携帯電話端末2が情報を受信する場合は、ウェブサーバ3から送信され、クライアント端末1に表示される二次元バーコードを携帯電話端末2のカメラで撮影して送るようにしているので、赤外線通信や、携帯電話のボタンを使った操作を行う必要がない。また、携帯電話端末2がクライアント端末1に送信する情報は、送信するべき情報の暗号化しているので、キーロガー等のスパイウェアの被害にあうことがないと共に、ハッシュ値などに置き換えることにより、入力する文字数を少なくすることができる。   In the second embodiment of the present invention, communication between the mobile phone terminal 2 and the client terminal 1 is transmitted from the web server 3 when the mobile phone terminal 2 receives information from the client terminal 1, and the client terminal 1 Since the two-dimensional barcode displayed in 1 is photographed and sent by the camera of the mobile phone terminal 2, there is no need to perform infrared communication or operation using the buttons of the mobile phone. Further, since the information to be transmitted from the mobile phone terminal 2 to the client terminal 1 is encrypted, the information to be transmitted is not damaged by spyware such as a key logger, and is input by replacing it with a hash value or the like. The number of characters can be reduced.

以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。   The embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the embodiments, and includes designs and the like that do not depart from the gist of the present invention.

本発明の第1の実施形態の相互認証システムの構成を示すブロック図である。It is a block diagram which shows the structure of the mutual authentication system of the 1st Embodiment of this invention. 本発明の第1の実施形態におけるクライアント端末の説明に用いる機能ブロック図である。It is a functional block diagram used for description of the client terminal in the 1st Embodiment of this invention. 本発明の第1の実施形態における携帯電話端末の説明に用いる機能ブロック図である。It is a functional block diagram used for description of the mobile telephone terminal in the 1st Embodiment of this invention. 本発明の第1の実施形態におけるウェブサーバの説明に用いる機能ブロック図である。It is a functional block diagram used for description of the web server in the 1st Embodiment of this invention. 本発明の第1の実施形態におけるキャリアサーバの説明に用いる機能ブロック図である。It is a functional block diagram used for description of the carrier server in the 1st Embodiment of this invention. 本発明の第1の実施形態の相互認証システムの動作を説明するためのシーケンス図である。It is a sequence diagram for demonstrating operation | movement of the mutual authentication system of the 1st Embodiment of this invention. 本発明の第2の実施形態の相互認証システムの動作を説明するためのシーケンス図である。It is a sequence diagram for demonstrating operation | movement of the mutual authentication system of the 2nd Embodiment of this invention.

符号の説明Explanation of symbols

1:クライアント端末
2:携帯電話端末
3:ウェブサーバ
4:キャリアサーバ
5:ネットワーク
6:移動回線網 1: Client terminal 2: Mobile phone terminal 3: Web server 4: Carrier server 5: Network 6: Mobile network

Claims (6)

クライアント端末と、
前記クライアント端末と同一のユーザが保有する携帯電話固有情報が格納された携帯電話端末と、
前記携帯電話固有情報とユーザ情報とが格納されたユーザ情報保存部と、認証用の情報が格納された認証用情報保存部とを有するキャリアサーバと、を備え、
前記クライアント端末がウェブサーバに認証を求める際に、前記ウェブサーバから前記クライアント端末にウェブ情報を送信し、
前記ウェブ情報を前記クライアント端末から前記携帯電話端末に入力し、
前記携帯電話端末により、前記ウェブ情報に基づいて、前記ウェブサーバの認証を行い、
前記ウェブサーバが正しいことが確認されたら、前記携帯電話端末から前記キャリアサーバに、前記携帯電話固有情報と前記ウェブ情報とを送信し、
前記キャリアサーバにより、前記携帯電話固有情報からユーザを特定し、前記認証用情報保存部に記憶されている前記ユーザに対応する認証用情報、前記ウェブ情報とを前記ウェブサーバに送信し、
前記ウェブサーバにより、前記ユーザに対応する認証用の情報と、前記ウェブ情報とに基づいてユーザの認証を行うことを特徴とする相互認証システム。 A client terminal,
A mobile phone terminal storing mobile phone specific information held by the same user as the client terminal;
A carrier server having a user information storage unit storing the mobile phone specific information and user information, and an authentication information storage unit storing authentication information;
When the client terminal requests authentication from the web server, the web information is transmitted from the web server to the client terminal,
The web information is input from the client terminal to the mobile phone terminal,
The mobile phone terminal performs authentication of the web server based on the web information,
When it is confirmed that the web server is correct, the mobile phone specific information and the web information are transmitted from the mobile phone terminal to the carrier server,
By the carrier server, the mobile phone identifies the user from the specific information, the transmitted information for authentication corresponding to the user stored in the authentication information storage section, and said web information to the web server,
A mutual authentication system , wherein the web server authenticates a user based on authentication information corresponding to the user and the web information . 前記ウェブサーバは、前記ウェブ情報をバーコードで送信し、前記クライアント端末に表示されるバーコードを前記携帯電話端末で撮影することにより、前記ウェブ情報を前記携帯電話端末に入力することを特徴とする請求項1に記載の相互認証システム。   The web server transmits the web information as a barcode, and captures the barcode displayed on the client terminal with the cellular phone terminal, thereby inputting the web information into the cellular phone terminal. The mutual authentication system according to claim 1. クライアント端末と、
前記クライアント端末と同一のユーザが保有する携帯電話固有情報が格納された携帯電話端末と、
前記携帯電話固有情報とユーザ情報とが格納されたユーザ情報保存部と、認証用の情報が格納された認証用情報保存部とを有するキャリアサーバと、を備え、
前記クライアント端末がウェブサーバに認証を求める際に、前記ウェブサーバから前記クライアント端末にウェブ情報を送信し、
前記ウェブ情報を前記クライアント端末から前記携帯電話端末に入力し、
前記携帯電話端末により、前記ウェブ情報に基づいて、前記ウェブサーバの認証を行い、
前記ウェブサーバが正しいことが確認され、前記携帯電話端末が電波圏外又は電波オフモードのときには、
前記携帯電話端末の携帯電話固有情報を暗号化し、
前記暗号化された携帯電話固有情報を前記クライアント端末に入力し、
前記暗号化された携帯電話固有情報と、前記ウェブ情報を前記クライアント端末から前記キャリアサーバに送信し、
前記キャリアサーバにより、前記携帯電話固有情報からユーザを特定し、前記ユーザに対応する認証用情報と、前記ウェブ情報とを前記ウェブサーバに送信し、
前記ウェブサーバにより、前記ユーザに対応する認証用情報と、前記ウェブ情報とに基づいてユーザの認証を行うことを特徴とする相互認証システム。 A client terminal,
A mobile phone terminal storing mobile phone specific information held by the same user as the client terminal;
A carrier server having a user information storage unit storing the mobile phone specific information and user information, and an authentication information storage unit storing authentication information;
When the client terminal requests authentication from the web server, the web information is transmitted from the web server to the client terminal,
The web information is input from the client terminal to the mobile phone terminal,
The mobile phone terminal performs authentication of the web server based on the web information,
When the web server is confirmed to be correct and the mobile phone terminal is out of radio range or in radio off mode,
Encrypt the mobile phone specific information of the mobile phone terminal,
Input the encrypted mobile phone specific information to the client terminal,
Transmitting the encrypted mobile phone specific information and the web information from the client terminal to the carrier server;
The carrier server identifies a user from the mobile phone specific information, sends authentication information corresponding to the user, and the web information to the web server,
A mutual authentication system, wherein the web server authenticates a user based on authentication information corresponding to the user and the web information . 前記携帯電話端末が電波圏外又は電波オフモードのときには、
前記クライアント端末は、入力された固有情報を前記キャリアサーバに送信し、
前記キャリアサーバは、前記固有情報を受け取ると、キャリアサーバ情報及び乱数を含む情報を生成し、当該情報をクライアント端末に送信し、
前記携帯電話端末は、前記クライアント端末から前記乱数を読み出し、前記乱数を使って、前記携帯電話固有情報をハッシュ関数によりメッセージ認証コードのための鍵付きハッシングを生成することにより前記暗号化を行うことを特徴とする請求項3に記載の相互認証システム。 When the mobile phone terminal is out of radio range or in radio off mode,
The client terminal transmits the input unique information to the carrier server,
When the carrier server receives the specific information, the carrier server generates information including carrier server information and a random number, and transmits the information to the client terminal.
The mobile phone terminal performs the encryption by reading the random number from the client terminal and generating the keyed hashing for the message authentication code by using the random number and the mobile phone specific information by a hash function. The mutual authentication system according to claim 3. クライアント端末と同一のユーザが保有する携帯電話固有情報が格納された携帯電話端末と、前記携帯電話固有情報とユーザ情報とが格納されたユーザ情報保存部と、認証用の情報が格納された認証用情報保存部とを有するキャリアサーバとを用意しておき、
前記クライアント端末がウェブサーバに認証を求める際に、
前記ウェブサーバから前記クライアント端末にウェブ情報を送信し、
前記ウェブ情報を前記クライアント端末から前記携帯電話端末に入力し、
前記携帯電話端末により、前記ウェブ情報に基づいて、前記ウェブサーバの認証を行い、
前記ウェブサーバが正しいことが確認されたら、前記携帯電話端末から前記キャリアサーバに、前記携帯電話固有情報と前記ウェブ情報とを送信し、
前記キャリアサーバにより、前記携帯電話固有情報からユーザを特定し、前記認証用情報保存部に記憶されている前記ユーザに対応する認証用情報と、前記ウェブ情報とを前記ウェブサーバに送信し、
前記ウェブサーバにより、前記ユーザに対応する認証用の情報と、前記ウェブ情報とに基づいてユーザの認証を行うことを特徴とする相互認証方法。 A mobile phone terminal storing mobile phone specific information held by the same user as the client terminal, a user information storage unit storing the mobile phone specific information and user information, and an authentication storing authentication information And a carrier server having an information storage unit for
When the client terminal requests authentication from the web server,
Web information is transmitted from the web server to the client terminal,
The web information is input from the client terminal to the mobile phone terminal,
The mobile phone terminal performs authentication of the web server based on the web information,
When it is confirmed that the web server is correct, the mobile phone specific information and the web information are transmitted from the mobile phone terminal to the carrier server,
By the carrier server, the mobile phone identifies the user from the specific information, the transmitted information for authentication corresponding to the user stored in the authentication information storage section, and said web information to the web server,
A mutual authentication method , wherein the web server authenticates a user based on authentication information corresponding to the user and the web information . クライアント端末と同一のユーザが保有する携帯電話固有情報が格納された携帯電話端末と、前記携帯電話固有情報とユーザ情報とが格納されたユーザ情報保存部と、認証用の情報が格納された認証用情報保存部とを有するキャリアサーバとを用意しておき、
前記クライアント端末がウェブサーバに認証を求める際に、前記ウェブサーバから前記クライアント端末にウェブ情報を送信し、
前記ウェブ情報を前記クライアント端末から前記携帯電話端末に入力し、
前記携帯電話端末により、前記ウェブ情報に基づいて、前記ウェブサーバの認証を行い、
前記ウェブサーバが正しいことが確認され、前記携帯電話端末が電波圏外又は電波オフモードのときには、
前記携帯電話端末の携帯電話固有情報を暗号化し、
前記暗号化された携帯電話固有情報を前記クライアント端末に入力し、
前記暗号化された携帯電話固有情報と、前記ウェブ情報を前記クライアント端末から前記キャリアサーバに送信し、
前記キャリアサーバにより、前記携帯電話固有情報からユーザを特定し、前記ユーザに対応する認証用情報と、前記ウェブ情報とを前記ウェブサーバに送信し、
前記ウェブサーバにより、前記ユーザに対応する認証用情報と、前記ウェブ情報とに基づいてユーザの認証を行うことを特徴とする相互認証方法。 A mobile phone terminal storing mobile phone specific information held by the same user as the client terminal, a user information storage unit storing the mobile phone specific information and user information, and an authentication storing authentication information And a carrier server having an information storage unit for
When the client terminal requests authentication from the web server, the web information is transmitted from the web server to the client terminal,
The web information is input from the client terminal to the mobile phone terminal,
The mobile phone terminal performs authentication of the web server based on the web information,
When the web server is confirmed to be correct and the mobile phone terminal is out of radio range or in radio off mode,
Encrypt the mobile phone specific information of the mobile phone terminal,
Input the encrypted mobile phone specific information to the client terminal,
Transmitting the encrypted mobile phone specific information and the web information from the client terminal to the carrier server;
The carrier server identifies a user from the mobile phone specific information, sends authentication information corresponding to the user, and the web information to the web server,
A mutual authentication method, wherein the web server authenticates a user based on authentication information corresponding to the user and the web information .
JP2007007793A 2007-01-17 2007-01-17 Mutual authentication system and mutual authentication method Expired - Fee Related JP5008989B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007007793A JP5008989B2 (en) 2007-01-17 2007-01-17 Mutual authentication system and mutual authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007007793A JP5008989B2 (en) 2007-01-17 2007-01-17 Mutual authentication system and mutual authentication method

Publications (2)

Publication Number Publication Date
JP2008176449A JP2008176449A (en) 2008-07-31
JP5008989B2 true JP5008989B2 (en) 2012-08-22

Family

ID=39703437

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007007793A Expired - Fee Related JP5008989B2 (en) 2007-01-17 2007-01-17 Mutual authentication system and mutual authentication method

Country Status (1)

Country Link
JP (1) JP5008989B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5037238B2 (en) * 2007-06-26 2012-09-26 Kddi株式会社 Mutual authentication system and mutual authentication method
KR101305901B1 (en) * 2012-07-06 2013-09-11 주식회사 더존넥스트 Method and system for authentication

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4319513B2 (en) * 2003-10-16 2009-08-26 株式会社エヌ・ティ・ティ・ドコモ Authentication information providing apparatus and authentication system
JP4631304B2 (en) * 2004-04-22 2011-02-16 日本電気株式会社 Authentication system and authentication method
JP2006048464A (en) * 2004-08-06 2006-02-16 Toshiba Corp Content data distribution system, contents data distribution method, and commodity sales method

Also Published As

Publication number Publication date
JP2008176449A (en) 2008-07-31

Similar Documents

Publication Publication Date Title
US9979720B2 (en) Passwordless strong authentication using trusted devices
JP5258422B2 (en) Mutual authentication system, mutual authentication method and program
US9412283B2 (en) System, design and process for easy to use credentials management for online accounts using out-of-band authentication
US9185096B2 (en) Identity verification
CN101495956B (en) Extended one-time password method and apparatus
KR101214836B1 (en) Authentication method and authentication system
US8868927B1 (en) Method and apparatus for secure data input and output
KR101383761B1 (en) User authentication system and method thereof
JP2007102778A (en) User authentication system and method therefor
JP2007249726A (en) Authentication system
US11245526B2 (en) Full-duplex password-less authentication
US20150312252A1 (en) Method of allowing establishment of a secure session between a device and a server
KR20130131682A (en) Method for web service user authentication
JP2009124311A (en) Mutual authentication system, mutual authentication method, and program
Aravindhan et al. One time password: A survey
US20220116385A1 (en) Full-Duplex Password-less Authentication
Khedr Improved keylogging and shoulder-surfing resistant visual two-factor authentication protocol
Me et al. A mobile based approach to strong authentication on Web
JP5008989B2 (en) Mutual authentication system and mutual authentication method
US20110022844A1 (en) Authentication systems and methods using a packet telephony device
JP6325654B2 (en) Network service providing apparatus, network service providing method, and program
EP2940618A1 (en) Method, system, user equipment and program for authenticating a user
JP5037238B2 (en) Mutual authentication system and mutual authentication method
US20240089249A1 (en) Method and system for verification of identify of a user
Divya et al. An impervious QR-based visual authentication protocols to prevent black-bag cryptanalysis

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090708

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120306

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120522

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120530

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150608

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees