JP2003345752A - Authentication management server and program - Google Patents
Authentication management server and programInfo
- Publication number
- JP2003345752A JP2003345752A JP2002151144A JP2002151144A JP2003345752A JP 2003345752 A JP2003345752 A JP 2003345752A JP 2002151144 A JP2002151144 A JP 2002151144A JP 2002151144 A JP2002151144 A JP 2002151144A JP 2003345752 A JP2003345752 A JP 2003345752A
- Authority
- JP
- Japan
- Prior art keywords
- user
- service
- information
- management server
- electronic certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims description 24
- 230000004044 response Effects 0.000 claims description 22
- 238000012545 processing Methods 0.000 description 31
- 238000010586 diagram Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、複数のサービス
提供元に対するユーザ認証を代行する認証管理サーバ等
に関する。[0001] 1. Field of the Invention [0002] The present invention relates to an authentication management server for performing user authentication for a plurality of service providers.
【0002】[0002]
【従来の技術】従来、ログイン時における本人確認手段
として、認証機関により発行された電子証明書を用いた
認証が一般的に行われている。例えばユーザが複数のサ
ービス提供元によるサービスを利用するようなシステム
では、ユーザは各サービス提供元に対してそれぞれ電子
証明書を提示して認証を受ける必要がある。この場合、
ユーザは複数のサービス提供元に対して同じ証明書を使
用するか、または、サービス毎に異なる証明書を使用す
ることとなる。2. Description of the Related Art Conventionally, authentication using an electronic certificate issued by a certification authority is generally performed as a means for verifying the identity at the time of login. For example, in a system in which a user uses a service provided by a plurality of service providers, the user needs to present an electronic certificate to each service provider to be authenticated. in this case,
The user uses the same certificate for a plurality of service providers or uses a different certificate for each service.
【0003】[0003]
【発明が解決しようとする課題】上記のようなシステム
では、通常、サービス利用に必要な個人情報(ユーザ情
報)が電子証明書に含まれるが、複数のサービス提供元
に対して同じ証明書を使用する場合、あるサービス提供
元に対してはユーザが開示したくない情報まで提供して
しまう可能性があり、ユーザのプライバシーが保護され
ない虞がある。また、サービス毎に異なる電子証明書を
使用する場合、ユーザは利用するサービス毎に電子証明
書を取得しなければならず煩雑であった。In the above-described system, personal information (user information) necessary for using a service is usually included in an electronic certificate, but the same certificate is provided to a plurality of service providers. When used, there is a possibility that information that the user does not want to disclose may be provided to a certain service provider, and the privacy of the user may not be protected. Further, when a different digital certificate is used for each service, the user has to obtain a digital certificate for each service to be used, which is complicated.
【0004】この発明は、上記実状に鑑みてなされたも
のであり、ユーザのプライバシーを保護することができ
る認証管理サーバ等を提供することを目的とする。ま
た、この発明は、ユーザの利便性を向上することができ
る認証管理サーバ等を提供することを他の目的とする。[0004] The present invention has been made in view of the above situation, and has as its object to provide an authentication management server and the like which can protect the privacy of a user. It is another object of the present invention to provide an authentication management server or the like that can improve the convenience of the user.
【0005】[0005]
【課題を解決するための手段】上記目的を達成するた
め、この発明の第1の観点に係る認証管理サーバは、複
数のサービス提供サーバに接続可能であって、ユーザ端
末からの要求に応じてサービス提供サーバへのログイン
を代行する認証管理サーバであって、ユーザにより指定
されたサービスの情報をユーザ端末から取得する手段
と、前記ユーザにより指定されたサービスへのアカウン
ト登録時にサービス提供サーバに開示するユーザ情報と
してユーザが入力した情報を前記ユーザ端末から取得す
る手段と、前記ユーザ情報に基づく電子証明書の発行を
認証機関に要求して取得し、データベースに登録する手
段と、前記取得した電子証明書を用いて前記ユーザによ
り指定されたサービスへのアカウント登録を行う手段
と、を備えることを特徴とする。In order to achieve the above object, an authentication management server according to a first aspect of the present invention can be connected to a plurality of service providing servers and responds to requests from user terminals. An authentication management server acting as a proxy for logging in to a service providing server, comprising: means for acquiring information of a service specified by a user from a user terminal; and information disclosed to the service providing server when registering an account for the service specified by the user. Means for obtaining from a user terminal information input by a user as user information to be issued, means for requesting and issuing to a certification authority an issuance of an electronic certificate based on the user information, means for registering in a database, Means for registering an account for a service specified by the user using a certificate. To.
【0006】この発明によれば、アカウント登録のため
に各サービス提供側へ開示するユーザ情報(氏名、住
所、年齢等)の内容をユーザがサービス毎に指定するこ
とができるため、自己の情報の開示についてユーザ自身
がコントロールすることができ、ユーザのプライバシー
を保護することができる。また、各サービスへのアカウ
ント登録や、各サービスに提示する電子証明書の取得・
管理を認証管理サーバが行うことにより、ユーザの負荷
が軽減され、システムの利便性を向上することができ
る。According to the present invention, the contents of user information (name, address, age, etc.) to be disclosed to each service provider for account registration can be specified by the user for each service. Disclosure can be controlled by the user himself and the privacy of the user can be protected. In addition, account registration for each service, acquisition and acquisition of digital certificates to be presented for each service
When the management is performed by the authentication management server, the load on the user can be reduced, and the convenience of the system can be improved.
【0007】ユーザにより指定された使用対象の電子証
明書の情報をユーザ端末から受信してもよく、ユーザに
より指定された利用対象のサービスの情報を前記ユーザ
端末から受信してもよく、前記指定された使用対象の電
子証明書を前記データベースから読み出し、当該電子証
明書を用いて、前記指定された利用対象のサービスへロ
グインしてもよい。[0007] Information on the electronic certificate to be used specified by the user may be received from the user terminal, and information on the service to be used specified by the user may be received from the user terminal. The designated electronic certificate for use may be read from the database, and the electronic certificate may be used to log in to the specified service to be used.
【0008】ユーザにより指定されたサービスについ
て、アカウント登録に必要なユーザ情報をサービス提供
サーバに問い合わせる手段と、前記問い合わせ結果に基
づき、前記ユーザについて前記サービスへのアカウント
登録に用いる電子証明書を取得する取得手段と、前記取
得した電子証明書を用いて前記サービスへのアカウント
登録を行う手段と、を備えてもよい。これにより、ユー
ザにとって利便性の高いシステムを実現することができ
る。Means for inquiring a service providing server of user information necessary for account registration for a service designated by the user, and acquiring an electronic certificate used for account registration for the service for the user based on a result of the inquiry. Acquisition means and means for registering an account for the service using the acquired electronic certificate may be provided. This makes it possible to realize a system that is highly convenient for the user.
【0009】前記取得手段は、前記問い合わせ結果が示
すアカウント登録に必要なユーザ情報に適合する電子証
明書が前記ユーザについて登録されているか否かを前記
データベースを参照して判別してもよく、前記適合する
電子証明書が登録されていると判別した場合、当該電子
証明書を前記アカウント登録に用いるものとしてもよ
く、前記適合する電子証明書が登録されていないと判別
した場合、前記アカウント登録に必要なユーザ情報をユ
ーザ端末を介して取得し、取得したユーザ情報に基づく
電子証明書の発行を認証機関に要求し、発行された電子
証明書を前記アカウント登録に用いるものとしてもよ
い。[0009] The acquisition means may determine whether or not an electronic certificate matching user information required for account registration indicated by the inquiry result is registered for the user with reference to the database. If it is determined that a conforming digital certificate is registered, the digital certificate may be used for the account registration.If it is determined that the conforming digital certificate is not registered, the Necessary user information may be acquired via a user terminal, an issuance of an electronic certificate based on the acquired user information may be requested to a certification organization, and the issued electronic certificate may be used for the account registration.
【0010】この発明の第2の観点に係るプログラム
は、コンピュータを、複数のサービス提供サーバに接続
可能であってユーザ端末からの要求に応じてサービス提
供サーバへのログインを代行する認証管理サーバとして
機能させるためのプログラムであって、ユーザにより指
定されたサービスの情報をユーザ端末から受信する手
段、前記ユーザにより指定されたサービスへのアカウン
ト登録時にサービス提供サーバに開示するユーザ情報と
してユーザが入力した情報を前記ユーザ端末から受信す
る受付手段、前記ユーザ情報に基づく電子証明書の発行
を認証機関に要求して取得し、データベースに登録する
手段、前記取得した電子証明書を用いて前記ユーザによ
り指定されたサービスへのアカウント登録を行う手段、
として機能させる。[0010] A program according to a second aspect of the present invention provides a computer as an authentication management server which is connectable to a plurality of service providing servers and which performs login to the service providing server in response to a request from a user terminal. A program for causing a user to receive information of a service specified by a user from a user terminal, wherein the user inputs information as a user information to be disclosed to a service providing server when registering an account for the service specified by the user. Receiving means for receiving information from the user terminal, requesting a certification authority to issue an electronic certificate based on the user information, obtaining the information, registering it in a database, and designating the user using the obtained electronic certificate Means to register an account for the service provided,
Function as
【0011】[0011]
【発明の実施の形態】以下、本発明の実施の形態に係る
ユーザ認証システムについて図面を参照して説明する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, a user authentication system according to an embodiment of the present invention will be described with reference to the drawings.
【0012】図1はこの発明の実施の形態に係るユーザ
認証システムの構成を示す図である。図示するように、
このユーザ認証システムは、ネットワーク10を介して
相互に接続されるユーザ端末11と、認証管理サーバ1
3と、認証局サーバ15と、サービスサーバ17と、を
備えている。FIG. 1 is a diagram showing a configuration of a user authentication system according to an embodiment of the present invention. As shown
The user authentication system includes a user terminal 11 connected to each other via a network 10 and an authentication management server 1
3, a certificate authority server 15, and a service server 17.
【0013】ネットワーク10は、移動体通信網、電話
回線、インターネット等から構成され、ユーザ端末11
と各サーバとの間で情報の送受信を可能とするためのも
のである。The network 10 comprises a mobile communication network, a telephone line, the Internet and the like.
It is for enabling information transmission and reception between the server and each server.
【0014】ユーザ端末11は、携帯端末、携帯電話
機、パーソナルコンピュータ等から構成され、ネットワ
ーク10を介して認証管理サーバ13等との間で通信を
行う。ユーザ端末11は、図示せぬ記憶部に記憶される
動作プログラム等を実行することにより、認証管理サー
バ13を介して各サービスサーバ17による各種サービ
スの提供を受けるための処理等を行う。また、ユーザ端
末11は、WEBページの閲覧、電子メールの送受信等
のインターネットに関する機能を有する。The user terminal 11 includes a portable terminal, a portable telephone, a personal computer, and the like, and communicates with the authentication management server 13 and the like via the network 10. The user terminal 11 executes an operation program and the like stored in a storage unit (not shown) to perform processing for receiving various services provided by the service servers 17 via the authentication management server 13. In addition, the user terminal 11 has functions related to the Internet, such as browsing a web page, sending and receiving electronic mail, and the like.
【0015】また、ユーザ端末11は、SIM(Subscr
iber Identity Module card)と称されるICカード等
の情報記憶媒体が接続可能に構成されている。ICカー
ド等には、ユーザの電子証明書(プライマリID)、秘
密鍵、公開鍵等の情報が記憶可能である。ここで、プラ
イマリIDとは、ユーザが認証管理サーバ13にログイ
ンする際に使用される電子証明書であり、ユーザ端末1
1がユーザの操作に従って認証局サーバ15に要求して
発行を受ける。このプライマリIDはユーザの個人情報
(ユーザ情報)等を証明書内容として含み、例えば図2
に示すように、ユーザの氏名、住所、年齢等のメイン情
報と、ペンネーム、興味分野等の付属情報と、ユーザの
公開鍵等を署名対象の情報とする。ユーザは、このプラ
イマリIDを用いて認証管理サーバ13に対してユーザ
登録を行う。The user terminal 11 is provided with a SIM (Subscr
An information storage medium such as an IC card called an "iber Identity Module card" is connectable. Information such as a user's electronic certificate (primary ID), a secret key, and a public key can be stored in an IC card or the like. Here, the primary ID is an electronic certificate used when a user logs in to the authentication management server 13, and the user terminal 1
1 requests the certificate authority server 15 according to the operation of the user and receives the certificate. The primary ID includes personal information of the user (user information) and the like as certificate contents.
As shown in (1), main information such as a user's name, address, age, etc., attached information such as a pseudonym, a field of interest, etc., and a user's public key and the like are information to be signed. The user performs user registration with the authentication management server 13 using the primary ID.
【0016】認証管理サーバ13は、例えば図3に示す
ように、制御部131と、記憶部132と、通信制御部
133と、を備えるコンピュータ等から構成される。The authentication management server 13 includes, for example, a computer including a control unit 131, a storage unit 132, and a communication control unit 133, as shown in FIG.
【0017】制御部131は、記憶部132に記憶され
る動作プログラム等を実行することにより、要求処理部
131a、ユーザ認証部131b、証明書管理部131
c、サービスIF(インタフェース)部131d、セッ
ション管理部131e、暗号処理部131f等を論理的
に実現する。The control unit 131 executes an operation program and the like stored in the storage unit 132 to execute a request processing unit 131a, a user authentication unit 131b, and a certificate management unit 131.
c, a service IF (interface) unit 131d, a session management unit 131e, an encryption processing unit 131f, and the like are logically realized.
【0018】要求処理部131aは、ユーザ端末11へ
供給する処理画面の生成、ユーザ端末11からの要求受
付等の処理を行う。ユーザ認証部131bは、ユーザ登
録、ログインユーザの認証等の処理を行う。ユーザ登録
処理では、ユーザ端末11からユーザのプライマリID
を取得して、記憶部132に登録する。また、ログイン
ユーザの認証処理では、ユーザ端末11から提示された
プライマリIDを照合することによりログインユーザの
正当性を確認する。The request processing section 131a performs processing such as generating a processing screen to be supplied to the user terminal 11, receiving a request from the user terminal 11, and the like. The user authentication unit 131b performs processes such as user registration and authentication of a login user. In the user registration process, the user terminal 11 sends the user's primary ID
Is acquired and registered in the storage unit 132. In the authentication process of the login user, the validity of the login user is confirmed by checking the primary ID presented from the user terminal 11.
【0019】証明書管理部131cは、ユーザがサービ
スサーバ17にログインする際に使用する電子証明書
(ペルソナID)の発行・管理に関する処理等を行う。
具体的には、ペルソナIDの発行に際し、発行対象の証
明書の内容をユーザに指定させ、その内容の証明書の発
行を認証局サーバ15に要求し、発行されたペルソナI
Dをユーザ毎に記憶部132に記憶する。ペルソナID
は、例えば図4に示すように、プライマリIDと同様に
ユーザ情報等を証明書内容として含み、メイン情報と付
属情報とユーザの公開鍵等を署名対象の情報とする。ペ
ルソナIDのメイン情報は、プライマリIDにおけるメ
イン情報の一部又は全部から構成される。ペルソナID
の情報内容はプライマリIDの情報内容を包含するよう
に広く設定されてもよく、例えば、プライマリIDにお
ける「年齢:25歳」という情報をペルソナIDにおい
て「年齢:18以上」と設定してもよい。また、付属情
報についてはユーザが内容を自由に指定することがで
き、例えばプライマリIDにおける付属情報の内容と異
なっていてもよい。The certificate management unit 131c performs processing related to issuance and management of an electronic certificate (persona ID) used when a user logs in to the service server 17.
Specifically, upon issuance of the persona ID, the content of the certificate to be issued is designated by the user, the issuance of the certificate of the content is requested to the certificate authority server 15, and the issued persona I is issued.
D is stored in the storage unit 132 for each user. Persona ID
As shown in FIG. 4, for example, user information and the like are included in the contents of a certificate as in the case of the primary ID, and the main information, attached information, the user's public key, and the like are used as information to be signed. The main information of the persona ID is composed of part or all of the main information of the primary ID. Persona ID
May be set widely so as to include the information content of the primary ID. For example, the information "age: 25" in the primary ID may be set to "age: 18 or more" in the persona ID. . Further, the user can freely specify the content of the additional information, and may be different from the content of the additional information in the primary ID, for example.
【0020】サービスIF部131dは、ユーザが各サ
ービスサーバ17によるサービスを利用するための処理
等を行う。具体的には、ユーザ認証部131bによるロ
グインユーザの認証完了後、そのユーザについて登録さ
れているペルソナIDから使用対象のペルソナIDをユ
ーザに選択させる。そして、選択されたペルソナIDで
利用可能なサービスのリストをユーザに提示し、利用対
象のサービスを選択させる。そして、選択されたサービ
スを提供するサービスサーバ17に、選択されたペルソ
ナIDを用いてログインする。そして、サービスサーバ
17によりペルソナIDが認証された場合には、サービ
スサーバ17とユーザ端末11の間で送受信データを仲
介することにより、ユーザのサービス利用を可能とす
る。The service IF unit 131d performs processing for the user to use the service provided by each service server 17, and the like. Specifically, after the user authentication unit 131b completes the authentication of the logged-in user, the user is allowed to select a persona ID to be used from the persona IDs registered for the user. Then, a list of services available with the selected persona ID is presented to the user, and a service to be used is selected. Then, the user logs in to the service server 17 that provides the selected service using the selected persona ID. When the persona ID is authenticated by the service server 17, the user can use the service by mediating transmission / reception data between the service server 17 and the user terminal 11.
【0021】また、サービスIF部131dは、ユーザ
から新規サービスの登録要求を受けた場合には、そのサ
ービス提供元のサービスサーバ17に対して、ユーザ登
録に必要なユーザ情報を問い合わせ、そのユーザの既存
のペルソナIDでユーザ登録が可能である場合にはユー
ザ登録を行う。また、既存のペルソナIDではユーザ登
録ができない場合には、ユーザに必要な情報を入力さ
せ、新たなペルソナIDの発行を受けてユーザ登録を行
う。When receiving a request for registration of a new service from the user, the service IF unit 131d inquires of the service server 17 of the service provider for user information necessary for user registration. If user registration is possible with an existing persona ID, user registration is performed. If the user cannot be registered with the existing persona ID, the user is required to input necessary information, and the user is registered upon receiving a new persona ID.
【0022】セッション管理部131eは、ユーザのサ
ービス利用時におけるセッション管理等の処理を行い、
ユーザ端末11との通信と、サービスサーバ17との通
信で、使用するセッションキーの変換等を行う。暗号処
理部131fは、電子署名の確認処理やデータの暗号化
/復号化処理等を行う。The session management unit 131e performs processing such as session management when the user uses the service.
The communication with the user terminal 11 and the communication with the service server 17 convert a session key to be used. The encryption processing unit 131f performs an electronic signature confirmation process, data encryption / decryption process, and the like.
【0023】記憶部132は、制御部131が実行する
動作プログラムや、処理に必要な各種のデータを記憶す
る。また、記憶部132は、各ユーザについての所定情
報を記憶するユーザDB132aを備える。ユーザDB
132aには、例えば、個人情報(氏名、住所、年齢
等)、プライマリID、ペルソナID、各ペルソナID
により利用可能なサービスの情報等がユーザ毎に記憶さ
れる。The storage section 132 stores an operation program executed by the control section 131 and various data necessary for processing. The storage unit 132 includes a user DB 132a that stores predetermined information on each user. User DB
132a, for example, personal information (name, address, age, etc.), primary ID, persona ID, each persona ID
, Information on available services is stored for each user.
【0024】通信制御部133は、ネットワーク10を
介してユーザ端末11、認証局サーバ15、サービスサ
ーバ17等との間でデータ通信を行うためのものであ
る。The communication control unit 133 performs data communication with the user terminal 11, the certificate authority server 15, the service server 17, and the like via the network 10.
【0025】認証局サーバ15は、電子証明書の発行要
求に応じて、受信した署名対象の情報に電子署名を施す
等して電子証明書を生成・発行する。The certificate authority server 15 generates and issues an electronic certificate by, for example, applying an electronic signature to the received information to be signed in response to a request to issue an electronic certificate.
【0026】サービスサーバ17は、例えば図5に示す
ように、制御部171と、記憶部172と、通信制御部
173と、を備えるコンピュータ等から構成される。The service server 17 includes, for example, a computer including a control unit 171, a storage unit 172, and a communication control unit 173, as shown in FIG.
【0027】制御部171は、記憶部172に記憶され
る動作プログラム等を実行することにより、アクセス管
理部171a、要求処理部171b、サービス提供部1
71c、暗号処理部171d等を論理的に実現する。ア
クセス管理部171aは、認証管理サーバ13からのロ
グイン要求に応じて、提示されたペルソナID(電子証
明書)を照合することにより、サービス要求元のユーザ
を確認する処理等を行う。要求処理部171bは、認証
管理サーバ13からの要求を受け付けてサービス提供部
171cに受け渡し、また、サービス提供部171cか
ら処理結果を受け取って認証管理サーバ13に供給する
処理等を行う。サービス提供部171cは、サービス提
供のための処理を行う。暗号処理部171dは、電子署
名の確認処理やデータの暗号化/復号化処理等を行う。The control section 171 executes an operation program and the like stored in the storage section 172 to execute the access management section 171a, the request processing section 171b, and the service providing section 1
71c, the encryption processing unit 171d, and the like are logically realized. In response to the login request from the authentication management server 13, the access management unit 171a performs a process of checking the presented user ID (electronic certificate) to confirm the user of the service request source. The request processing unit 171b receives a request from the authentication management server 13 and transfers it to the service providing unit 171c, and receives a processing result from the service providing unit 171c and supplies the processing result to the authentication management server 13. The service providing unit 171c performs a process for providing a service. The encryption processing unit 171d performs a digital signature confirmation process, a data encryption / decryption process, and the like.
【0028】記憶部172は、制御部171が実行する
動作プログラムや、処理に必要な各種のデータを記憶す
る。また、記憶部172は、登録ユーザのペルソナID
等を登録情報として記憶する。通信制御部173は、ネ
ットワーク10を介して認証管理サーバ13等との間で
データ通信を行うためのものである。The storage section 172 stores an operation program executed by the control section 171 and various data necessary for processing. The storage unit 172 stores the persona ID of the registered user.
Are stored as registration information. The communication control unit 173 is for performing data communication with the authentication management server 13 and the like via the network 10.
【0029】以下に、この実施の形態に係るユーザ認証
システムの動作について本発明の特徴部分を中心に説明
する。Hereinafter, the operation of the user authentication system according to this embodiment will be described focusing on the characteristic portions of the present invention.
【0030】初めに、ユーザが認証管理サーバ13にユ
ーザ登録する場合の処理について図6を参照して説明す
る。まず、ユーザは認証管理サーバ13へのユーザ登録
に使用する電子証明書(プライマリID)を取得するた
め、ユーザ端末11を操作して、認証局サーバ15に対
して電子証明書の発行を要求する(L11)。認証局サ
ーバ15は、ユーザ端末11からの証明書の発行要求に
応じて、ユーザの電子証明書を生成し(L12)、要求
元のユーザ端末11に供給する(L13)。ユーザ端末
11は、発行された電子証明書をICカード等に格納す
る(L14)。First, a process when a user performs user registration in the authentication management server 13 will be described with reference to FIG. First, the user operates the user terminal 11 to request the certificate authority server 15 to issue an electronic certificate to obtain an electronic certificate (primary ID) used for user registration in the authentication management server 13. (L11). The certificate authority server 15 generates a digital certificate of the user in response to the certificate issuance request from the user terminal 11 (L12), and supplies it to the requesting user terminal 11 (L13). The user terminal 11 stores the issued electronic certificate in an IC card or the like (L14).
【0031】次に、ユーザ端末11は、ユーザの操作に
応じて、認証管理サーバ13に対してユーザ登録要求を
送信する(L15)。これに応じて、認証管理サーバ1
3は、所定のユーザ登録処理を行う(L16)。このユ
ーザ登録処理では、例えば、ユーザ端末11にプライマ
リIDを要求して、ICカード等に格納されたプライマ
リIDを取得し、取得したプライマリIDについて、電
子署名を確認等する。そして、証明書の正当性が確認さ
れると、プライマリIDや、プライマリIDに含まれる
ユーザの個人情報(メイン情報、付属情報)等をユーザ
DB132aに記憶して、登録結果をユーザ端末11に
返信し(L17)、ユーザ登録処理を終了する。Next, the user terminal 11 transmits a user registration request to the authentication management server 13 in response to a user operation (L15). In response, the authentication management server 1
3 performs a predetermined user registration process (L16). In this user registration process, for example, a primary ID is requested from the user terminal 11, a primary ID stored in an IC card or the like is acquired, and an electronic signature is confirmed for the acquired primary ID. When the validity of the certificate is confirmed, the primary ID and the personal information (main information and attached information) of the user included in the primary ID are stored in the user DB 132a, and the registration result is returned to the user terminal 11. (L17), and terminates the user registration process.
【0032】次に、サービス利用の際にサービスサーバ
17に提示する電子証明書(ペルソナID)を発行する
処理について図7を参照して説明する。例えばユーザ端
末11は、ユーザの操作に応じて、認証管理サーバ13
に対して電子証明書(ペルソナID)の発行要求を送信
する(L21)。これに応じて、認証管理サーバ13
は、証明書の内容情報を入力させる登録画面をユーザ端
末11に供給する(L22)。ユーザ端末11は、認証
管理サーバ13からの登録画面を表示して、ユーザによ
る証明書の内容情報の入力を受けて、入力された情報を
認証管理サーバ13に送信する(L23)。Next, a process of issuing an electronic certificate (persona ID) to be presented to the service server 17 when using the service will be described with reference to FIG. For example, the user terminal 11 responds to an operation of the user by
A request for issuing an electronic certificate (persona ID) is transmitted to the client (L21). In response, the authentication management server 13
Supplies a registration screen for inputting the content information of the certificate to the user terminal 11 (L22). The user terminal 11 displays the registration screen from the authentication management server 13, receives the content information of the certificate by the user, and transmits the input information to the authentication management server 13 (L23).
【0033】認証管理サーバ13は、ユーザ端末11か
らの入力データの内容をチェックし、新規にキーペア
(秘密鍵と公開鍵)を作成し、入力内容及び作成したキ
ーの片方(公開鍵)を含む証明書のリクエストを生成し
て(L24)、認証局サーバ15に送信する(L2
5)。認証局サーバ15は、認証管理サーバ13から受
信した要求内容をチェックした後、署名対象データに署
名を施す等して、電子証明書(ペルソナID)を作成し
(L26)、認証管理サーバ13に送信する(L2
7)。認証管理サーバ13は、受信したペルソナIDを
ユーザDB132aに登録するとともに(L28)、ペ
ルソナIDの発行が完了したことを示す通知画面をユー
ザ端末11に供給する(L29)。The authentication management server 13 checks the content of the input data from the user terminal 11, creates a new key pair (private key and public key), and includes the input content and one of the created keys (public key). A certificate request is generated (L24) and transmitted to the certificate authority server 15 (L2
5). After checking the contents of the request received from the authentication management server 13, the certificate authority server 15 creates a digital certificate (persona ID) by, for example, applying a signature to the data to be signed (L26). Send (L2
7). The authentication management server 13 registers the received persona ID in the user DB 132a (L28), and supplies a notification screen indicating that the issuance of the persona ID has been completed to the user terminal 11 (L29).
【0034】次に、ユーザが利用したいサービスについ
て認証管理サーバ13がアカウント登録する場合の処理
について図8、図9を参照して説明する。例えば、ユー
ザがユーザ端末11に表示された所定の操作画面におけ
るログインボタンを押下すると、ユーザ端末11はPI
N(Personal Identification Number)入力を要求し
て、PIN入力を受け付ける。そして、入力されたPI
Nを照合することによりユーザの確認を行った後、IC
カードからプライマリIDを読み込み(L31)、認証
管理サーバ13にログイン要求を送信する(L32)。
認証管理サーバ13は、ログイン要求に応答して、プラ
イマリIDを用いてユーザの確認を行い、ユーザ端末1
1との通信で使うセッションキーを生成し(L33)、
ログイン結果とともにユーザ端末11に供給する(L3
4)。ユーザ端末11は、受信したセッションキーを保
持するとともに、ログイン結果を表示する(L35)。Next, a process when the authentication management server 13 registers an account for a service that the user wants to use will be described with reference to FIGS. For example, when the user presses a login button on a predetermined operation screen displayed on the user terminal 11, the user terminal 11
Requests N (Personal Identification Number) input and accepts PIN input. And the input PI
After verifying the user by collating N, the IC
The primary ID is read from the card (L31), and a login request is transmitted to the authentication management server 13 (L32).
The authentication management server 13 confirms the user using the primary ID in response to the login request, and
Generate a session key to be used for communication with L1 (L33),
Supply to the user terminal 11 together with the login result (L3
4). The user terminal 11 holds the received session key and displays the login result (L35).
【0035】次に、ユーザは新規サービスの登録を要求
する旨を入力し、これに応じて、ユーザ端末11は、サ
ービスの登録要求を認証管理サーバ13に送信する(L
36)。認証管理サーバ13は、サービスの登録要求に
応じて、要求されたサービスに対応するサービスサーバ
17に対して、アカウント登録に必要な情報を問い合わ
せる(L37)。サービスサーバ17は、認証管理サー
バ13からの問い合わせに応じて、アカウント登録に必
要なユーザ情報の項目(登録必要項目)の情報を認証管
理サーバ13に送信する(L38)。これに応答して、
認証管理サーバ13は、要求元のユーザについて記憶部
132に登録されているペルソナIDを参照し、それぞ
れに含まれているユーザ情報のデータ項目と、サービス
サーバ17から取得した登録必要項目と、を比較して、
適合するペルソナIDがあるかを判別する(L39)。Next, the user inputs a request to register a new service, and in response, the user terminal 11 transmits a service registration request to the authentication management server 13 (L
36). In response to the service registration request, the authentication management server 13 queries the service server 17 corresponding to the requested service for information necessary for account registration (L37). In response to the inquiry from the authentication management server 13, the service server 17 transmits information on items of user information necessary for account registration (registration required items) to the authentication management server 13 (L38). In response,
The authentication management server 13 refers to the persona IDs registered in the storage unit 132 for the requesting user, and stores the data items of the user information included in each of them and the registration necessary items acquired from the service server 17. Compared to,
It is determined whether there is a matching persona ID (L39).
【0036】この判別において、適合するペルソナID
がある場合、認証管理サーバ13は、該当するペルソナ
IDを抽出し、抽出結果をユーザ端末11に供給して
(L40)、使用対象のペルソナIDをユーザに選択さ
せる(L41)。そして、選択されたペルソナIDを含
むアカウント登録要求をサービスサーバ17に送信する
(L42)。これに応じて、サービスサーバ17はアカ
ウント登録処理を行う(L43)。なお、適合するペル
ソナIDの情報をユーザ端末11に供給した際に、それ
らを使用しない旨の入力があった場合には、認証管理サ
ーバ13は、例えば、ユーザ端末11に要求して、必要
な情報をユーザに入力させ、入力データに基づくペルソ
ナIDの発行を受け、そのペルソナIDを用いてアカウ
ント登録する。In this determination, a suitable persona ID
If there is, the authentication management server 13 extracts the corresponding persona ID, supplies the extraction result to the user terminal 11 (L40), and causes the user to select the persona ID to be used (L41). Then, an account registration request including the selected persona ID is transmitted to the service server 17 (L42). In response, the service server 17 performs an account registration process (L43). Note that, when the information of the matching persona ID is supplied to the user terminal 11 and there is an input indicating that they are not used, the authentication management server 13 requests the user terminal 11, for example, Information is input to the user, a persona ID is issued based on the input data, and an account is registered using the persona ID.
【0037】また、適合するペルソナIDがない場合、
認証管理サーバ13は、例えば不足情報の入力画面をユ
ーザ端末11に供給する等して(L44)、アカウント
登録に必要な情報をユーザ端末11から取得する(L4
5)。そして、取得した情報に基づく新たなペルソナI
Dの発行を認証局サーバ15に要求し(L46)、ペル
ソナIDの発行を受ける(L47)。そして、認証管理
サーバ13は、新たに発行されたペルソナIDを含むア
カウント登録要求をサービスサーバ17に送信する(L
48)。これに応じて、サービスサーバ17は、アカウ
ント登録処理を行う(L49)。If there is no matching persona ID,
The authentication management server 13 obtains information necessary for account registration from the user terminal 11 by, for example, supplying an input screen for insufficient information to the user terminal 11 (L44).
5). Then, a new persona I based on the acquired information
Request issuance of D to the certificate authority server 15 (L46), and issuance of a persona ID is received (L47). Then, the authentication management server 13 transmits an account registration request including the newly issued persona ID to the service server 17 (L
48). In response, the service server 17 performs an account registration process (L49).
【0038】ここで、上述したサービス側へのアカウン
ト登録処理における認証管理サーバ13の動作の詳細を
図10のフローチャートを参照して説明する。まず、認
証管理サーバ13の制御部131は、サービスの登録要
求に応じて、要求されたサービスに対応するサービスサ
ーバ17にアクセスし、アカウント登録に必要な情報を
問い合わせて取得する(ステップS11)。次に、制御
部131は、要求元のユーザについて記憶部132に登
録されているペルソナIDを参照し、それぞれに含まれ
ているユーザ情報のデータ項目と、サービスサーバ17
から取得した登録必要項目と、を比較して(ステップS
12)、既存のペルソナIDのデータ項目が登録必要項
目を満たす場合には(ステップS13)、該当するペル
ソナIDを抽出し、使用対象の候補のペルソナIDの情
報としてユーザ端末11に供給して表示させる(ステッ
プS14)。Here, the details of the operation of the authentication management server 13 in the process of registering an account on the service side will be described with reference to the flowchart of FIG. First, in response to a service registration request, the control unit 131 of the authentication management server 13 accesses the service server 17 corresponding to the requested service and inquires and acquires information necessary for account registration (step S11). Next, the control unit 131 refers to the persona IDs registered in the storage unit 132 for the requesting user, and stores the data items of the user information included in each of the user IDs and the service server 17.
With the registration required items obtained from (step S
12) If the data item of the existing persona ID satisfies the registration required item (step S13), the corresponding persona ID is extracted and supplied to the user terminal 11 as information on the candidate persona ID of the use target and displayed. (Step S14).
【0039】そして、ユーザ端末11から、候補のペル
ソナIDのいずれかが選択された旨の情報を受信した場
合(ステップS15)、制御部131は、選択されたペ
ルソナIDを用いてサービスサーバ17へアカウント登
録要求を送信して、アカウント登録を受ける(ステップ
S16)。Then, when information indicating that one of the candidate persona IDs has been selected is received from the user terminal 11 (step S15), the control unit 131 sends the information to the service server 17 using the selected persona ID. An account registration request is transmitted to receive an account registration (step S16).
【0040】また、ユーザ端末11から、候補のペルソ
ナIDが選択されなかった旨の情報を受信した場合には
(ステップS15)、制御部131は、アカウント登録
に必要な情報の入力画面を供給する等して所定のユーザ
情報をユーザ端末11から取得し、取得した情報に基づ
く電子証明書の発行を認証局サーバ15に要求して、新
たな電子証明書(ペルソナID)の発行を受ける(ステ
ップS17)。そして、発行された電子証明書(ペルソ
ナID)を用いてサービスサーバ17へアカウント登録
要求を送信して、アカウント登録を受ける(ステップS
16)。If information indicating that the candidate persona ID has not been selected is received from the user terminal 11 (step S15), the control unit 131 supplies an input screen for information necessary for account registration. For example, predetermined user information is acquired from the user terminal 11, the issuance of an electronic certificate based on the acquired information is requested to the certificate authority server 15, and a new electronic certificate (persona ID) is issued (step S <b> 1). S17). Then, an account registration request is transmitted to the service server 17 using the issued electronic certificate (persona ID), and the account registration is received (step S).
16).
【0041】また、ステップS13において、既存のペ
ルソナIDのデータ項目よりも、登録必要項目の方が多
い場合には、アカウント登録に必要な情報をユーザ端末
11から取得し、取得した情報に基づく電子証明書の発
行を認証局サーバ15に要求して、新たな電子証明書
(ペルソナID)の発行を受ける(ステップS17)。
そして、発行された電子証明書(ペルソナID)を用い
てサービスサーバ17へアカウント登録要求を送信し
て、アカウント登録を受ける(ステップS16)。In step S13, if there are more items to be registered than the data items of the existing persona ID, the information necessary for account registration is obtained from the user terminal 11, and the electronic information based on the obtained information is obtained. It requests the certificate authority server 15 to issue a certificate and receives a new electronic certificate (personal ID) (step S17).
Then, an account registration request is transmitted to the service server 17 using the issued electronic certificate (persona ID), and the account registration is received (step S16).
【0042】次に、ユーザがサービスを利用する場合の
処理について説明する。まず、ユーザがサービス提供側
のユーザ認証を受けるまでの処理について図11、図1
2を参照して説明する。まず、上記のアカウント登録処
理の場合と同様に、ユーザがユーザ端末11を用いて認
証管理サーバ13にログインする(L51〜L55)。
次に、ユーザはペルソナIDの一覧(ペルソナリスト)
を要求する旨をユーザ端末11に入力し、これに応じ
て、ユーザ端末11は、ユーザのペルソナリストを認証
管理サーバ13に要求する(L56)。認証管理サーバ
13は、ペルソナリストの要求に応じて、そのユーザに
ついて登録されているペルソナIDをユーザDB132
aから読み出し、ペルソナリストを生成してユーザ端末
11に供給して表示させる(L57、L58)。ユーザ
端末11は、表示されたペルソナリストから、使用する
ペルソナIDの選択入力を受け付け、選択されたペルソ
ナIDを認証管理サーバ13に通知する(L59)。Next, processing when a user uses a service will be described. First, a process until the user receives the user authentication of the service providing side will be described with reference to FIGS.
This will be described with reference to FIG. First, as in the case of the account registration process described above, the user logs in to the authentication management server 13 using the user terminal 11 (L51 to L55).
Next, the user lists the persona ID (personalist)
Is input to the user terminal 11, and in response to this, the user terminal 11 requests the user's personalist from the authentication management server 13 (L56). In response to the request from the persona list, the authentication management server 13 stores the persona ID registered for the user in the user DB 132
a), a personalist is generated, supplied to the user terminal 11, and displayed (L57, L58). The user terminal 11 receives a selection input of a persona ID to be used from the displayed persona list, and notifies the authentication management server 13 of the selected persona ID (L59).
【0043】次に、認証管理サーバ13は、ユーザDB
132aを参照して、ユーザにより選択されたペルソナ
IDでユーザ登録がされているサービスを抽出し、抽出
されたサービス一覧をユーザ端末11に供給して表示さ
せる(L60、L61)。ユーザ端末11は、表示され
たサービス一覧から、利用するサービスをユーザに選択
入力させ、選択されたサービスを認証管理サーバ13に
通知する(L62)。認証管理サーバ13は、選択され
たサービスに対応するサービスサーバ17を特定し、ユ
ーザに選択されたペルソナIDを含むログイン要求を送
信する(L63)。サービスサーバ17は、認証管理サ
ーバ13からログイン要求に応じて、受信したペルソナ
IDを照合することによりユーザ確認を行い、認証管理
サーバ13との通信で使うセッションキーを生成し(L
64)、ログイン結果とともに認証管理サーバ13に供
給する(L65)。認証管理サーバ13は、サービスサ
ーバ17から受信したセッションキーを保持し、ログイ
ン結果をユーザ端末11に通知する(L66)。Next, the authentication management server 13 stores the user DB
With reference to 132a, a service registered as a user with the persona ID selected by the user is extracted, and a list of extracted services is supplied to the user terminal 11 and displayed (L60, L61). The user terminal 11 allows the user to select and input a service to be used from the displayed service list, and notifies the authentication management server 13 of the selected service (L62). The authentication management server 13 specifies the service server 17 corresponding to the selected service, and transmits a login request including the selected persona ID to the user (L63). In response to the login request from the authentication management server 13, the service server 17 checks the user by checking the received persona ID, and generates a session key used for communication with the authentication management server 13 (L
64), and supplies it to the authentication management server 13 together with the login result (L65). The authentication management server 13 holds the session key received from the service server 17, and notifies the user terminal 11 of the login result (L66).
【0044】次に、サービス提供側のユーザ認証の完了
後、実際にサービスを受ける場面の処理について、銀行
の融資相談窓口のサービスを利用する場合を例に図13
を参照して説明する。例えば、ユーザはユーザ端末11
に相談内容を入力すると、ユーザ端末11は、ユーザ端
末11と認証管理サーバ13とのセッションキーで入力
データを暗号化して認証管理サーバ13へ送信する(L
71)。認証管理サーバ13は、ユーザ端末11からの
受信データを、ユーザ端末11と認証管理サーバ13と
のセッションキーで復号化した後(L72)、認証管理
サーバ13とサービスサーバ17とのセッションキーで
暗号化してサービスサーバ17へ送信する(L73)。Next, FIG. 13 shows an example in which a service provided by a bank's loan consultation counter is used for processing in a situation where a service is actually received after completion of user authentication on the service providing side.
This will be described with reference to FIG. For example, the user is the user terminal 11
, The user terminal 11 encrypts the input data with the session key between the user terminal 11 and the authentication management server 13 and transmits the data to the authentication management server 13 (L
71). The authentication management server 13 decrypts the data received from the user terminal 11 with the session key between the user terminal 11 and the authentication management server 13 (L72), and then encrypts the data using the session key between the authentication management server 13 and the service server 17. And sends it to the service server 17 (L73).
【0045】サービスサーバ17は、認証管理サーバ1
3からの受信データを、認証管理サーバ13とサービス
サーバ17とのセッションキーで復号化し、処理に必要
な情報(融資相談内容)を抽出する(L74)。そし
て、抽出された情報に基づいて、サービス提供側の担当
者が融資相談に対する返答等をサービスサーバ17へ入
力する(L75)。サービスサーバ17は、入力された
データ認証管理サーバ13とサービスサーバ17とのセ
ッションキーで暗号化して認証管理サーバ13に送信す
る(L76)。The service server 17 is an authentication management server 1
3 is decrypted with the session key between the authentication management server 13 and the service server 17, and information (finance consultation content) necessary for the processing is extracted (L74). Then, based on the extracted information, the person in charge on the service providing side inputs a response to the loan consultation to the service server 17 (L75). The service server 17 encrypts the data with the input session key between the data authentication management server 13 and the service server 17, and transmits the encrypted data to the authentication management server 13 (L76).
【0046】認証管理サーバ13は、サービスサーバ1
7からの受信データを、認証管理サーバ13とサービス
サーバ17とのセッションキーで復号化した後(L7
7)、ユーザ端末11と認証管理サーバ13との間のセ
ッションキーで暗号化してユーザ端末11に送信する
(L78)。ユーザ端末11は、認証管理サーバ13か
らの受信データを、ユーザ端末11と認証管理サーバ1
3とのセッションキーで復号化し(L79)、融資相談
に対する返答を示す情報を表示する。The authentication management server 13 is a service server 1
7 is decrypted with the session key between the authentication management server 13 and the service server 17 (L7
7), encrypt the data with the session key between the user terminal 11 and the authentication management server 13, and transmit the encrypted data to the user terminal 11 (L78). The user terminal 11 transmits the data received from the authentication management server 13 to the user terminal 11 and the authentication management server 1.
3 (L79), and displays information indicating a response to the loan consultation.
【0047】以上説明したように、本発明によれば、ア
カウント登録のために各種サービスへ開示するユーザ情
報の内容をユーザ自身がサービス毎に指定することがで
きるため、自己の情報の開示をユーザ自身がコントロー
ルすることができ、ユーザのプライバシーを保護するこ
とができる。また、各サービスへの登録や、各サービス
に提示する電子証明書の取得・管理を認証管理サーバ1
3が行うことにより、ユーザの負荷が軽減され、システ
ムの利便性を向上することができる。また、仮にユーザ
がサービス側に本当の情報を開示していなくとも、認証
管理サーバ13において身元確認がなされているため、
各サービス側は安心してサービスを提供することができ
る。As described above, according to the present invention, the contents of user information to be disclosed to various services for account registration can be specified by the user himself / herself, so that the disclosure of his / her own information can be performed by the user. You can control yourself and protect your privacy. The authentication management server 1 performs registration for each service and acquisition and management of an electronic certificate to be presented for each service.
By performing 3, the load on the user can be reduced, and the convenience of the system can be improved. Even if the user does not disclose the real information to the service side, since the identity is confirmed in the authentication management server 13,
Each service can provide the service with peace of mind.
【0048】なお、上記説明におけるプライマリID、
ペルソナIDの構成内容は一例であり、これに限定され
ない。また、上記説明では、ユーザのプライマリID、
秘密鍵、公開鍵等をICカードなどの情報記憶媒体に記
憶するようにしているが、これに限定されず、例えば、
ユーザ端末11の記憶部に記憶するようにしてもよい。The primary ID in the above description,
The configuration content of the persona ID is an example, and is not limited to this. In the above description, the primary ID of the user,
Although a secret key, a public key, and the like are stored in an information storage medium such as an IC card, the present invention is not limited to this. For example,
You may make it memorize | store in the memory | storage part of the user terminal 11. FIG.
【0049】また、各装置やDBの構成は、任意に変更
可能である。また、各サーバは、協働して動作する複数
台のコンピュータシステムから構成されてもよく、各サ
ーバの機能を1台のコンピュータシステムで統合して実
現してもよい。The configuration of each device and DB can be arbitrarily changed. Further, each server may be constituted by a plurality of computer systems operating in cooperation with each other, and the functions of each server may be integrated and realized by one computer system.
【0050】なお、この発明のシステムは、専用のシス
テムによらず、通常のコンピュータシステムを用いて実
現可能である。例えば、上述の動作を実行するためのプ
ログラムをコンピュータ読み取り可能な記録媒体(F
D、CD−ROM、DVD等)に格納して配布し、該プ
ログラムをコンピュータにインストールすることによ
り、上述の処理を実行する各サーバ等を構成してもよ
い。また、インターネット等のネットワーク上のサーバ
装置が有するディスク装置に格納しておき、例えば搬送
波に重畳してコンピュータにダウンロード等するように
してもよい。また、上述の機能を、OSが分担又はOS
とアプリケーションの共同により実現する場合等には、
OS以外の部分のみを媒体に格納して配布してもよく、
また、搬送波に重畳してコンピュータにダウンロード等
してもよい。It should be noted that the system of the present invention can be realized using an ordinary computer system without using a dedicated system. For example, a computer readable recording medium (F
D, CD-ROM, DVD, etc.), and the server may be configured to execute the above processing by installing the program on a computer. Alternatively, the program may be stored in a disk device of a server device on a network such as the Internet, and may be superimposed on a carrier wave and downloaded to a computer. In addition, the above functions are shared by the OS or the OS
In the case of realizing by joint application with
Only the parts other than the OS may be stored in the medium and distributed,
Further, it may be superimposed on a carrier wave and downloaded to a computer.
【0051】[0051]
【発明の効果】この発明によれば、アカウント登録のた
めに開示するユーザ情報の内容をユーザ自身がコントロ
ールすることができるため、ユーザのプライバシーを保
護することができる。According to the present invention, the content of the user information disclosed for account registration can be controlled by the user himself / herself, so that the privacy of the user can be protected.
【図1】この発明の実施の形態に係るユーザ認証システ
ムの構成を示す図である。FIG. 1 is a diagram showing a configuration of a user authentication system according to an embodiment of the present invention.
【図2】プライマリIDの構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a configuration of a primary ID.
【図3】図1のユーザ認証システムで使用される認証管
理サーバの構成を示す図である。FIG. 3 is a diagram showing a configuration of an authentication management server used in the user authentication system of FIG. 1;
【図4】ペルソナIDの構成の一例を示す図である。FIG. 4 is a diagram showing an example of a configuration of a persona ID.
【図5】図1のユーザ認証システムで使用されるサービ
スサーバの構成を示す図である。FIG. 5 is a diagram showing a configuration of a service server used in the user authentication system of FIG. 1;
【図6】ユーザが認証管理サーバにユーザ登録する場合
の処理を説明するための図である。FIG. 6 is a diagram for explaining processing when a user performs user registration in the authentication management server;
【図7】サービスサーバに提示する電子証明書(ペルソ
ナID)を発行する処理を説明するための図である。FIG. 7 is a diagram illustrating a process of issuing an electronic certificate (persona ID) to be presented to a service server.
【図8】サービスサーバへアカウント登録する場合の処
理を説明するための図である。FIG. 8 is a diagram illustrating a process when registering an account with a service server.
【図9】サービスサーバへアカウント登録する場合の処
理を説明するための図である。FIG. 9 is a diagram for explaining processing when registering an account with a service server.
【図10】アカウント登録処理における認証管理サーバ
の動作を説明するためのフローチャートである。FIG. 10 is a flowchart illustrating an operation of the authentication management server in the account registration process.
【図11】ユーザがサービス提供側のユーザ認証を受け
るまでの処理を説明するための図である。FIG. 11 is a diagram for explaining processing until the user receives user authentication on the service providing side.
【図12】ユーザがサービス提供側のユーザ認証を受け
るまでの処理を説明するための図である。FIG. 12 is a diagram for explaining processing until a user receives user authentication on a service providing side;
【図13】サービス提供側のユーザ認証の完了後、実際
にサービスを受ける場面の処理を説明するための図であ
る。FIG. 13 is a diagram for explaining processing of a scene where a service is actually received after user authentication on the service providing side is completed.
10 ネットワーク 11 ユーザ端末 13 認証管理サーバ 15 認証局サーバ 17 サービスサーバ 131、171 制御部 132、172 記憶部 133、173 通信制御部 131a 要求処理部 131b ユーザ認証部 131c 証明書管理部 131d サービスIF部 131e セッション管理部 131f 暗号処理部 132a ユーザDB 171a アクセス管理部 171b 要求処理部 171c サービス提供部 171d 暗号処理部 10 Network 11 User terminal 13 Authentication management server 15 Certificate Authority Server 17 Service server 131, 171 control unit 132, 172 storage unit 133, 173 Communication control unit 131a Request processing unit 131b User authentication unit 131c Certificate Management Department 131d Service IF section 131e Session management unit 131f Cryptographic processing unit 132a User DB 171a Access Management Department 171b Request processing unit 171c Service Provider 171d Cryptographic processing unit
───────────────────────────────────────────────────── フロントページの続き (72)発明者 楠田 哲也 東京都江東区豊洲三丁目3番3号 株式会 社エヌ・ティ・ティ・データ内 (72)発明者 宮田 功治 東京都江東区豊洲三丁目3番3号 株式会 社エヌ・ティ・ティ・データ内 (72)発明者 横山 重俊 東京都江東区豊洲三丁目3番3号 株式会 社エヌ・ティ・ティ・データ内 Fターム(参考) 5B085 AA08 AE02 AE09 AE23 BA07 BG02 BG07 5J104 MA01 ────────────────────────────────────────────────── ─── Continuation of front page (72) Inventor Tetsuya Kusuda 3-3-3 Toyosu, Koto-ku, Tokyo Stock Association Inside NTT DATA (72) Inventor Koji Miyata 3-3-3 Toyosu, Koto-ku, Tokyo Stock Association Inside NTT DATA (72) Inventor Shigetoshi Yokoyama 3-3-3 Toyosu, Koto-ku, Tokyo Stock Association Inside NTT DATA F term (reference) 5B085 AA08 AE02 AE09 AE23 BA07 BG02 BG07 5J104 MA01
Claims (5)
って、ユーザ端末からの要求に応じてサービス提供サー
バへのログインを代行する認証管理サーバであって、 ユーザにより指定されたサービスの情報をユーザ端末か
ら取得する手段と、 前記ユーザにより指定されたサービスへのアカウント登
録時にサービス提供サーバに開示するユーザ情報として
ユーザが入力した情報を前記ユーザ端末から取得する手
段と、 前記ユーザ情報に基づく電子証明書の発行を認証機関に
要求して取得し、データベースに登録する手段と、 前記取得した電子証明書を用いて前記ユーザにより指定
されたサービスへのアカウント登録を行う手段と、 を備えることを特徴とする認証管理サーバ。An authentication management server connectable to a plurality of service providing servers and acting as a log-in to the service providing server in response to a request from a user terminal, wherein information on a service designated by a user is stored. A means for acquiring from a user terminal information obtained by a user as user information to be disclosed to a service providing server when registering an account for a service designated by the user; and an electronic device based on the user information. Means for requesting a certificate authority to issue a certificate and acquiring the certificate, and registering the certificate in a database; and means for registering an account for a service specified by the user using the acquired electronic certificate. Characteristic authentication management server.
明書の情報をユーザ端末から受信し、 ユーザにより指
定された利用対象のサービスの情報を前記ユーザ端末か
ら受信し、 前記指定された使用対象の電子証明書を前記データベー
スから読み出し、当該電子証明書を用いて、前記指定さ
れた利用対象のサービスへログインする、 ことを特徴とする請求項1に記載の認証管理サーバ。2. A method for receiving, from a user terminal, information of an electronic certificate to be used specified by a user, receiving information of a service to be used specified by a user from the user terminal, 2. The authentication management server according to claim 1, wherein the electronic certificate is read from the database, and the electronic certificate is used to log in to the specified service to be used. 3.
て、アカウント登録に必要なユーザ情報をサービス提供
サーバに問い合わせる手段と、 前記問い合わせ結果に基づき、前記ユーザについて前記
サービスへのアカウント登録に用いる電子証明書を取得
する取得手段と、 前記取得した電子証明書を用いて前記サービスへのアカ
ウント登録を行う手段と、 を備えることを特徴とする請求項2に記載の認証管理サ
ーバ。3. A means for querying a service providing server for user information necessary for account registration for a service designated by a user, and an electronic certificate used for account registration for the service for the user based on the inquiry result. The authentication management server according to claim 2, further comprising: an obtaining unit configured to obtain the electronic certificate, and a unit configured to perform an account registration for the service using the obtained electronic certificate.
ザ情報に適合する電子証明書が前記ユーザについて登録
されているか否かを前記データベースを参照して判別
し、 前記適合する電子証明書が登録されていると判別した場
合、当該電子証明書を前記アカウント登録に用いるもの
とし、 前記適合する電子証明書が登録されていないと判別した
場合、前記アカウント登録に必要なユーザ情報をユーザ
端末を介して取得し、取得したユーザ情報に基づく電子
証明書の発行を認証機関に要求し、発行された電子証明
書を前記アカウント登録に用いるものとする、 ことを特徴とする請求項3に記載の認証管理サーバ。4. The acquisition means determines whether or not an electronic certificate matching user information required for account registration indicated by the inquiry result has been registered for the user with reference to the database. If it is determined that the electronic certificate to be registered is registered, the digital certificate is used for the account registration. If it is determined that the applicable digital certificate is not registered, a user required for the account registration is determined. Acquiring information via a user terminal, requesting a certification authority to issue an electronic certificate based on the acquired user information, and using the issued electronic certificate for the account registration. Item 4. The authentication management server according to item 3.
バに接続可能であってユーザ端末からの要求に応じてサ
ービス提供サーバへのログインを代行する認証管理サー
バとして機能させるためのプログラムであって、 ユーザにより指定されたサービスの情報をユーザ端末か
ら受信する手段、 前記ユーザにより指定されたサービスへのアカウント登
録時にサービス提供サーバに開示するユーザ情報として
ユーザが入力した情報を前記ユーザ端末から受信する受
付手段、 前記ユーザ情報に基づく電子証明書の発行を認証機関に
要求して取得し、データベースに登録する手段、 前記取得した電子証明書を用いて前記ユーザにより指定
されたサービスへのアカウント登録を行う手段、 として機能させるためのプログラム。5. A program for causing a computer to function as an authentication management server connectable to a plurality of service providing servers and acting as a proxy for logging in to a service providing server in response to a request from a user terminal. Means for receiving, from a user terminal, information of a service specified by the user, receiving means for receiving, from the user terminal, information input by the user as user information to be disclosed to a service providing server when registering an account for the service specified by the user Means for requesting a certification authority to issue an electronic certificate based on the user information and acquiring the request, and registering the request in a database; means for registering an account for a service designated by the user using the acquired electronic certificate A program to function as a,.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002151144A JP2003345752A (en) | 2002-05-24 | 2002-05-24 | Authentication management server and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002151144A JP2003345752A (en) | 2002-05-24 | 2002-05-24 | Authentication management server and program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003345752A true JP2003345752A (en) | 2003-12-05 |
Family
ID=29768819
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002151144A Pending JP2003345752A (en) | 2002-05-24 | 2002-05-24 | Authentication management server and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003345752A (en) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005318269A (en) * | 2004-04-28 | 2005-11-10 | Ntt Docomo Inc | Electronic certificate management system, method and server |
| WO2006132143A1 (en) * | 2005-06-10 | 2006-12-14 | Matsushita Electric Industrial Co., Ltd. | Authentication system, authentication device, terminal, and verifying device |
| WO2007055104A1 (en) * | 2005-11-08 | 2007-05-18 | Matsushita Electric Industrial Co., Ltd. | Authentication system, signature creating device, and signature verifying device |
| JP2007521586A (en) * | 2004-01-14 | 2007-08-02 | ケイティーフリーテル シーオー リミテッド | Authentication mobile terminal, and electronic transaction system and method using the terminal |
| JP2007329951A (en) * | 2007-07-17 | 2007-12-20 | Matsushita Electric Ind Co Ltd | Authentication server, network utilizing terminal, secondary terminal and communication method |
| JP2009116454A (en) * | 2007-11-02 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | User authentication method, terminal device for access, program, and recording medium |
| JP2009205230A (en) * | 2008-02-26 | 2009-09-10 | Nippon Telegr & Teleph Corp <Ntt> | Authentication-authorization system, and authentication-authorization method |
| JP2011145728A (en) * | 2010-01-12 | 2011-07-28 | Nec Corp | Usability evaluation device for business system, usability evaluation method for business system and program |
| JP2016038600A (en) * | 2014-08-05 | 2016-03-22 | 三島信用金庫 | Consultation information collection system and consultation information collection method |
| JP2016224604A (en) * | 2015-05-28 | 2016-12-28 | 株式会社リコー | Information processing system, information processing apparatus, electronic certificate management method, and program |
| JP2022128813A (en) * | 2021-02-24 | 2022-09-05 | 株式会社イセトー | Preliminary input system, provision method of personal information and program |
-
2002
- 2002-05-24 JP JP2002151144A patent/JP2003345752A/en active Pending
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4740879B2 (en) * | 2004-01-14 | 2011-08-03 | ケイティー コーポレーション | Authentication mobile terminal, and electronic transaction system and method using the terminal |
| US9047603B2 (en) | 2004-01-14 | 2015-06-02 | Kt Corporation | Certification mobile terminal and electronic commerce system and method using the same |
| JP2007521586A (en) * | 2004-01-14 | 2007-08-02 | ケイティーフリーテル シーオー リミテッド | Authentication mobile terminal, and electronic transaction system and method using the terminal |
| JP2005318269A (en) * | 2004-04-28 | 2005-11-10 | Ntt Docomo Inc | Electronic certificate management system, method and server |
| US8850210B2 (en) | 2005-06-10 | 2014-09-30 | Panasonic Corporation | Authentication system, authentication device, terminal, and verifying device |
| JP4892478B2 (en) * | 2005-06-10 | 2012-03-07 | パナソニック株式会社 | Authentication system, authentication device, terminal device, and verification device |
| WO2006132143A1 (en) * | 2005-06-10 | 2006-12-14 | Matsushita Electric Industrial Co., Ltd. | Authentication system, authentication device, terminal, and verifying device |
| WO2007055104A1 (en) * | 2005-11-08 | 2007-05-18 | Matsushita Electric Industrial Co., Ltd. | Authentication system, signature creating device, and signature verifying device |
| US8332649B2 (en) | 2005-11-08 | 2012-12-11 | Panasonic Corporation | Authentication system, signature creating device, and signature verifying device |
| JP4876075B2 (en) * | 2005-11-08 | 2012-02-15 | パナソニック株式会社 | Authentication system, signature generation device, signature verification device |
| JP2007329951A (en) * | 2007-07-17 | 2007-12-20 | Matsushita Electric Ind Co Ltd | Authentication server, network utilizing terminal, secondary terminal and communication method |
| JP2009116454A (en) * | 2007-11-02 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | User authentication method, terminal device for access, program, and recording medium |
| JP2009205230A (en) * | 2008-02-26 | 2009-09-10 | Nippon Telegr & Teleph Corp <Ntt> | Authentication-authorization system, and authentication-authorization method |
| JP2011145728A (en) * | 2010-01-12 | 2011-07-28 | Nec Corp | Usability evaluation device for business system, usability evaluation method for business system and program |
| JP2016038600A (en) * | 2014-08-05 | 2016-03-22 | 三島信用金庫 | Consultation information collection system and consultation information collection method |
| JP2016224604A (en) * | 2015-05-28 | 2016-12-28 | 株式会社リコー | Information processing system, information processing apparatus, electronic certificate management method, and program |
| JP2022128813A (en) * | 2021-02-24 | 2022-09-05 | 株式会社イセトー | Preliminary input system, provision method of personal information and program |
| JP7449574B2 (en) | 2021-02-24 | 2024-03-14 | 株式会社イセトー | Pre-input system, personal information provision method and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10594498B2 (en) | Method and service-providing server for secure transmission of user-authenticating information | |
| US6421768B1 (en) | Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment | |
| KR100501095B1 (en) | Terminal communication system | |
| US8756429B2 (en) | Tunable encryption system | |
| US20090077627A1 (en) | Information card federation point tracking and management | |
| US20090077118A1 (en) | Information card federation point tracking and management | |
| US20090178112A1 (en) | Level of service descriptors | |
| US20030005333A1 (en) | System and method for access control | |
| CN101567878B (en) | Method for improving safety of network ID authentication | |
| CA2579948A1 (en) | Online commercial transaction system and method of operation thereof | |
| JP7259971B2 (en) | User credential control system and user credential control method | |
| KR20030074483A (en) | Service providing system in which services are provided from service provider apparatus to service user apparatus via network | |
| JP2003108519A (en) | File transfer system and program | |
| KR20210095093A (en) | Method for providing authentification service by using decentralized identity and server using the same | |
| JP4897503B2 (en) | Account linking system, account linking method, linkage server device | |
| KR102372503B1 (en) | Method for providing authentification service by using decentralized identity and server using the same | |
| WO2006057140A1 (en) | Network access system, method, and storage medium | |
| JP2003345752A (en) | Authentication management server and program | |
| EP1574978A1 (en) | Personal information control system, mediation system, and terminal unit | |
| KR20010036892A (en) | Method for authenticating users using authentication server in internet and method for providing internet service using the same | |
| Corici et al. | Enhancing European interoperability frameworks to leverage mobile cross-border services in Europe | |
| CN108875437A (en) | A kind of ID card information querying method and system | |
| JPH11149502A (en) | Pay contents service providing method and system therefor and storage medium for storing pay contents service providing program and membership managing device and storage medium for storing membership management program | |
| JP6518378B1 (en) | Authentication system, authentication method, and authentication program | |
| Hölzl et al. | Real-world Identification for an Extensible and Privacy-preserving Mobile eID |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050715 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051213 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060418 |