JP2007109122A - Authentication system, authentication method and authentication program - Google Patents

Authentication system, authentication method and authentication program Download PDF

Info

Publication number
JP2007109122A
JP2007109122A JP2005301198A JP2005301198A JP2007109122A JP 2007109122 A JP2007109122 A JP 2007109122A JP 2005301198 A JP2005301198 A JP 2005301198A JP 2005301198 A JP2005301198 A JP 2005301198A JP 2007109122 A JP2007109122 A JP 2007109122A
Authority
JP
Japan
Prior art keywords
authentication
user
terminal
time password
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005301198A
Other languages
Japanese (ja)
Other versions
JP4824986B2 (en
Inventor
Natsuhiko Sakimura
夏彦 崎村
Shin Aoyama
慎 青山
Atsushi Nagashima
淳 永島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2005301198A priority Critical patent/JP4824986B2/en
Publication of JP2007109122A publication Critical patent/JP2007109122A/en
Application granted granted Critical
Publication of JP4824986B2 publication Critical patent/JP4824986B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To ensure higher security by reducing the leakage risk of user ID and password. <P>SOLUTION: An authentication system has a first reception means for receiving from a first terminal 1 a password request including terminal identification information of the first terminal, a password generation means for generating a onetime password for the terminal identification information and storing the generated onetime password in an authentication table in association with the terminal identification information, a password sending means for sending the generated onetime password to the first terminal, a second reception means for receiving from a second terminal 2 a login request including a user ID and a onetime password, and an authentication means for determining whether or not the received onetime password matches the onetime password in association with the user ID stored in the authentication table, and if the onetime passwords match, sending a successful authentication message including the user ID to a business server 5. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、ワンタイムパスワードを用いてユーザの正当性を認証する認証技術に関する。   The present invention relates to an authentication technique for authenticating a user's validity using a one-time password.

近年、フィッシング詐欺に代表される、インターネット上でのユーザIDおよびパスワードの詐取・盗難(identity theft)が問題となっている。そのため、より高いセキュリティを確保し、ユーザの正当性を認証する技術が求められている。例えば、特許文献1には、ワンタイムパスワード(One Time Password)を用いて、ユーザ認証を行うパスワード認証システムが記載されている。
特開2004−240637 In recent years, identity theft of user IDs and passwords on the Internet, represented by phishing scams, has become a problem. For this reason, there is a need for a technique that ensures higher security and authenticates the validity of the user. For example, Patent Literature 1 describes a password authentication system that performs user authentication using a one-time password.
JP 2004-240637 A

特許文献1に記載のパスワード認証システムでは、携帯電話が認証サーバから取得したワンタイムパスワードを用いてユーザ認証を行う。しかしながら、特許文献1では、携帯電話は、ユーザIDを指定して認証サーバにワンタイムパスワードを要求する。そして、認証サーバは、当該ユーザIDに対するワンタイムパスワードを要求元の携帯電話に送信する。すなわち、ユーザIDが漏れた場合には、同時にワンタイムパスワードも漏れたも同義である。   In the password authentication system described in Patent Document 1, the mobile phone performs user authentication using a one-time password acquired from an authentication server. However, in Patent Document 1, the mobile phone specifies a user ID and requests a one-time password from the authentication server. Then, the authentication server transmits a one-time password for the user ID to the requesting mobile phone. That is, when the user ID is leaked, it is synonymous with the leak of the one-time password at the same time.

したがって、悪意のある第三者は、ユーザIDさえ取得できれば、ユーザIDを認証サーバに送ることによってワンタイムパスワードを取得できる。これにより、悪意のある第三者が、不正に取得したユーザIDとワンタイムパスワードを使用して、例えばオンライン口座にログインし、不正な操作を行う可能性がある。   Therefore, a malicious third party can acquire a one-time password by sending the user ID to the authentication server as long as the user ID can be acquired. Accordingly, there is a possibility that a malicious third party logs in, for example, an online account and performs an unauthorized operation using the user ID and the one-time password that are illegally acquired.

本発明は上記事情に鑑みてなされたものであり、本発明の目的は、ユーザIDおよびパスワード双方が同時に漏洩するリスクを軽減し、より高いセキュリティを確保したユーザ認証技術を提供することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a user authentication technique that reduces the risk of both a user ID and a password leaking at the same time and ensures higher security.

上記課題を解決するために、本発明は、例えば、複数の業務サーバのユーザを認証する認証システムであって、第1の端末が有する端末識別情報と、前記業務サーバ内でユーザを識別するユーザIDと、ワンタイムパスワードとを対応付けて記憶する認証テーブルと、前記第1の端末から、当該第1の端末の端末識別情報を含むパスワード要求を受信する第1の受信手段と、前記端末識別情報のワンタイムパスワードを生成し、生成したワンタイムパスワードを当該端末識別情報に対応付けて前記認証テーブルに記憶するパスワード生成手段と、前記生成したワンタイムパスワードを前記第1の端末に送信するパスワード送信手段と、第2の端末からユーザIDおよびワンタイムパスワードを含むログイン要求を受信する第2の受信手段と、受信したワンタイムパスワードと、前記認証テーブルに記憶された前記ユーザIDに対応するワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に前記ユーザIDを含む認証成功メッセージを前記業務サーバに送信する認証手段と、を有する。   In order to solve the above-described problems, the present invention provides an authentication system that authenticates users of a plurality of business servers, for example, and includes terminal identification information included in a first terminal and a user that identifies a user in the business server An authentication table for storing an ID and a one-time password in association with each other; a first receiving means for receiving a password request including terminal identification information of the first terminal from the first terminal; and the terminal identification Password generating means for generating a one-time password of information, storing the generated one-time password in the authentication table in association with the terminal identification information, and a password for transmitting the generated one-time password to the first terminal Transmitting means; second receiving means for receiving a login request including a user ID and a one-time password from the second terminal; It is determined whether or not the received one-time password matches the one-time password corresponding to the user ID stored in the authentication table, and if the one-time password matches, an authentication success message including the user ID Authentication means for transmitting to the business server.

本発明では、ユーザIDおよびパスワードの漏洩リスクを軽減し、より高いセキュリティを確保することができる。   In the present invention, it is possible to reduce the risk of leakage of the user ID and password, and to ensure higher security.

以下、本発明の実施の形態について説明する。   Embodiments of the present invention will be described below.

図1は、本発明の一実施形態が適用された認証システムの全体構成図である。図示する認証システムは、ユーザが携帯する携帯電話(第1の端末)1と、PC(Personal Computer)などの端末(第2の端末)2と、認証PL(presentation layer)サーバ3と、認証BL(business logic layer)サーバ4と、少なくとも1つの業務サーバ5とを有する。携帯電話1と認証PLサーバ3とは、携帯電話網6を介して接続され、端末2と認証PLサーバ3とは、インターネットなどのネットワーク7を介して接続されるものとする。また、認証PLサーバ3と認証BLサーバ4とは、専用線8を介して接続され、認証PLサーバ3と業務サーバ5とは、専用線またはインターネットなどのネットワーク9を介して接続されるものとする。   FIG. 1 is an overall configuration diagram of an authentication system to which an embodiment of the present invention is applied. The illustrated authentication system includes a mobile phone (first terminal) 1 carried by a user, a terminal (second terminal) 2 such as a PC (Personal Computer), an authentication PL (presentation layer) server 3, and an authentication BL. A (business logic layer) server 4 and at least one business server 5 are provided. The mobile phone 1 and the authentication PL server 3 are connected via a mobile phone network 6, and the terminal 2 and the authentication PL server 3 are connected via a network 7 such as the Internet. The authentication PL server 3 and the authentication BL server 4 are connected via a dedicated line 8, and the authentication PL server 3 and the business server 5 are connected via a dedicated line or a network 9 such as the Internet. To do.

本実施形態では、各業務サーバ5が、認証PLサーバ3および認証BLサーバ4を共同利用するものとする。すなわち、認証PLサーバ3および認証BLサーバ4は、ASP(Application Service Provider)であって、各業務サーバ5にユーザ認証機能を提供するものとする。なお、本実施形態では、認証PLサーバ3および認証BLサーバ4を有するが、これらのサーバを統合して1つの認証サーバ(認証装置)としてもよい。   In the present embodiment, it is assumed that each business server 5 jointly uses the authentication PL server 3 and the authentication BL server 4. That is, the authentication PL server 3 and the authentication BL server 4 are ASPs (Application Service Providers) and provide a user authentication function to each business server 5. In the present embodiment, the authentication PL server 3 and the authentication BL server 4 are provided. However, these servers may be integrated into one authentication server (authentication device).

本認証システムのユーザは、少なくとも1つの業務サーバ5が提供するWebサイト(業務システム)のサービスを利用可能なユーザであって、あらかじめ所定の業務サーバ5のWebサイトに登録し、当該Webサイト内でユーザを識別するためのサイトユーザIDを取得しているものとする。   The user of this authentication system is a user who can use the service of the website (business system) provided by at least one business server 5, and is registered in advance on the website of the predetermined business server 5, It is assumed that the site user ID for identifying the user is acquired.

また、ユーザは、携帯電話1を用いて、ワンタイムパスワードを認証PLサーバ3および認証BLサーバ4から取得する。図示する携帯電話1は、ユーザの指示を受け付ける指示受付部11と、認証PLサーバ3から取得した各種の情報・画面を表示する表示部12と、を有する。また、携帯電話1は、図示しないメモリ等の記憶装置に機体識別番号などの携帯電話ID(端末識別情報)が記憶されているものとする。なお、携帯電話IDが記憶されているメモリ等は、携帯電話1から着脱可能なICカードであってもよい。   Further, the user uses the mobile phone 1 to obtain a one-time password from the authentication PL server 3 and the authentication BL server 4. The mobile phone 1 shown in the figure includes an instruction receiving unit 11 that receives a user instruction, and a display unit 12 that displays various types of information and screens acquired from the authentication PL server 3. In addition, the mobile phone 1 is assumed to store a mobile phone ID (terminal identification information) such as a machine identification number in a storage device such as a memory (not shown). The memory or the like in which the mobile phone ID is stored may be an IC card that can be detached from the mobile phone 1.

また、ユーザは、端末2を用いて認証PLサーバ3および認証BLサーバ4にアクセスし、認証BLサーバ4のユーザ認証後に所望の業務サーバ5のWebサイトにログインする。なお、ユーザは、認証PLサーバ3および認証BLサーバ4にアクセスする際に、携帯電話1を用いて取得したワンタイムパスワードを、端末2に入力するものとする。図示する端末2は、ユーザの各種指示を受け付ける指示受付部21と、出力装置に各種の情報・画面を表示する表示部22と、を有する。なお、指示受付部21および表示部22は、Webブラウザと同様の機能を有するものとする。   Further, the user accesses the authentication PL server 3 and the authentication BL server 4 using the terminal 2, and logs in to a desired business server 5 website after the user authentication of the authentication BL server 4. It is assumed that the user inputs the one-time password acquired using the mobile phone 1 to the terminal 2 when accessing the authentication PL server 3 and the authentication BL server 4. The illustrated terminal 2 includes an instruction receiving unit 21 that receives various instructions from the user, and a display unit 22 that displays various information / screens on the output device. In addition, the instruction | indication reception part 21 and the display part 22 shall have a function similar to a web browser.

認証PLサーバ3および認証BLサーバ4は、携帯電話1の要求を受け付けて、ワンタイムパスワードを生成するとともに、端末2から送信されたログイン要求の正当性を認証する。認証PLサーバ3は、図示するように、ユーザ登録受付部31と、パスワード要求受付部32と、ログイン要求受付部33とを有し、携帯電話1および端末2に対する入出力処理を行う。   The authentication PL server 3 and the authentication BL server 4 accept the request from the mobile phone 1, generate a one-time password, and authenticate the validity of the login request transmitted from the terminal 2. As shown in the figure, the authentication PL server 3 includes a user registration receiving unit 31, a password request receiving unit 32, and a login request receiving unit 33, and performs input / output processing for the mobile phone 1 and the terminal 2.

認証BLサーバ4は、ユーザ登録を行う登録部41と、ワンタイムパスワードを生成するパスワード生成部42と、ログイン要求の正当性を認証する認証部43と、認証テーブル44と、を有する。認証テーブル44には、後述するユーザ登録処理により、認証に必要な各種の情報がユーザ毎に登録される。なお、認証テーブル44については後述する。   The authentication BL server 4 includes a registration unit 41 that performs user registration, a password generation unit 42 that generates a one-time password, an authentication unit 43 that authenticates the validity of a login request, and an authentication table 44. In the authentication table 44, various kinds of information necessary for authentication are registered for each user by a user registration process described later. The authentication table 44 will be described later.

業務サーバ5は、例えば、各種銀行、証券会社等の金融機関が所有するシステムであって、オンラインバンキング、オンライントレードなどのWebサイト(業務システム)を端末2に提供する。業務サーバ5は、認証PLサーバ3または端末2からから認証BLサーバ4が認証した認証結果を受け付けるログイン処理部51と、各種の業務サービスを提供する業務処理部52と、ユーザ登録時のチェックを行う登録チェック部53と、ユーザテーブル54とを有する。ユーザテーブル54は、当該業務サーバ5が提供するWebサイトを利用可能なユーザのユーザ情報が設定されたテーブルである。なお、ユーザ情報には、サイトユーザIDとパスワードとが含まれる。   The business server 5 is a system owned by financial institutions such as various banks and securities companies, and provides a web site (business system) such as online banking and online trade to the terminal 2. The business server 5 includes a login processing unit 51 that receives an authentication result authenticated by the authentication BL server 4 from the authentication PL server 3 or the terminal 2, a business processing unit 52 that provides various business services, and checks at the time of user registration. A registration check unit 53 to be performed and a user table 54 are included. The user table 54 is a table in which user information of users who can use the Web site provided by the business server 5 is set. The user information includes a site user ID and a password.

次に、認証BLサーバ4の認証テーブル44について説明する。   Next, the authentication table 44 of the authentication BL server 4 will be described.

図2は、認証テーブル44の一例を示した図である。図示する認証テーブル44は、第1のユーザID441と、PIN(Personl Identification Number)442と、携帯電話ID443、サイトコード446と、第2のユーザID(サイトユーザID)445と、ワンタイムパスワード444と、ワンタイムパスワードの有効期限445とを有する。なお、第1のユーザID441は、本実施形態での認証システム全体で、各ユーザを識別するための識別情報である。PIN442は、ユーザが設定する暗証番号である。携帯電話ID443には、携帯電話1の機体識別番号(または、携帯電話の電話番号)を用いることとする。なお、1人のユーザが、複数の携帯電話1を所有する場合は、1つの第1のユーザID441に対して複数のレコードが登録されるものとする。   FIG. 2 is a diagram illustrating an example of the authentication table 44. The illustrated authentication table 44 includes a first user ID 441, a PIN (Personl Identification Number) 442, a mobile phone ID 443, a site code 446, a second user ID (site user ID) 445, and a one-time password 444. And a one-time password expiration date 445. Note that the first user ID 441 is identification information for identifying each user in the entire authentication system in the present embodiment. The PIN 442 is a password set by the user. As the mobile phone ID 443, the machine identification number of the mobile phone 1 (or the phone number of the mobile phone) is used. When one user owns a plurality of mobile phones 1, a plurality of records are registered for one first user ID 441.

サイトコード446は、各業務サーバ5が提供するWebサイトを識別するための識別情報である。第2のユーザID447は、各Webサイト固有のユーザ識別情報(サイトユーザID)であって、例えば、口座番号やクレジットカード番号などを用いることが考えられる。ワンタイムパスワード444および有効期限445には、パスワード生成部42が生成したワンタイムパスワードおよび有効期限が設定される。   The site code 446 is identification information for identifying a Web site provided by each business server 5. The second user ID 447 is user identification information (site user ID) unique to each Web site. For example, an account number or a credit card number may be used. In the one-time password 444 and the expiration date 445, the one-time password and the expiration date generated by the password generation unit 42 are set.

上記説明した、携帯電話1、端末2、認証PLサーバ3、認証BLサーバ4および業務サーバ5は、いずれも、例えば図3に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。   The mobile phone 1, terminal 2, authentication PL server 3, authentication BL server 4, and business server 5 described above all include a CPU 901, a memory 902, and an external storage device 903 such as an HDD as shown in FIG. In addition, a general-purpose computer system including an input device 904 such as a keyboard and a mouse, an output device 905 such as a display and a printer, and a communication control device 906 for connecting to a network can be used. In this computer system, the CPU 901 executes a predetermined program loaded on the memory 902, thereby realizing each function of each device.

例えば、携帯電話1、端末2、認証PLサーバ3、認証BLサーバ4および業務サーバ5の各機能は、携帯電話1用のプログラムの場合は携帯電話1のCPU901が、端末2用のプログラムの場合は端末2のCPU901が、認証PLサーバ3用のプログラムの場合は認証PLサーバ3のCPU901が、認証BLサーバ4用のプログラムの場合は認証BLサーバ4のCPU901が、そして、業務サーバ5用のプログラムの場合は業務サーバ5のCPU901が、それぞれ実行することにより実現される。なお、認証BLサーバ4の認証テーブル44には、認証BLサーバ4のメモリ902または外部記憶装置903が用いられるものとする。また、業務サーバ5のユーザテーブル54には、業務サーバ5のメモリ902または外部記憶装置903が用いられるものとする。また、入力装置904および出力装置905については、各装置が必要に応じて備えるものとする。   For example, each function of the mobile phone 1, terminal 2, authentication PL server 3, authentication BL server 4, and business server 5 is the case where the CPU 901 of the mobile phone 1 is a program for the terminal 2 in the case of a program for the mobile phone 1. Is the CPU 901 of the terminal 2, the CPU 901 of the authentication PL server 3 if the program is for the authentication PL server 3, the CPU 901 of the authentication BL server 4 if the program is for the authentication BL server 4, and the business server 5. In the case of a program, it is implemented by the CPU 901 of the business server 5 executing it. Note that the authentication table 44 of the authentication BL server 4 uses the memory 902 or the external storage device 903 of the authentication BL server 4. The user table 54 of the business server 5 uses the memory 902 or the external storage device 903 of the business server 5. In addition, regarding the input device 904 and the output device 905, each device is provided as necessary.

次に、ユーザ登録処理について説明する。本実施形態では、ユーザは、まず、認証システムに対するユーザ登録を行ない、その後、所望の業務サーバ5のWebサイト(以下、「サイト」)に対するユーザ登録を行うものとする。   Next, user registration processing will be described. In the present embodiment, it is assumed that the user first performs user registration for the authentication system, and then performs user registration for a desired business server 5 Web site (hereinafter “site”).

図4は、認証システムに対するユーザ登録処理のシーケンス図である。また、図5は、携帯電話1の出力装置に表示される各種画面(画面遷移)の一例を示したものである。   FIG. 4 is a sequence diagram of user registration processing for the authentication system. FIG. 5 shows an example of various screens (screen transitions) displayed on the output device of the mobile phone 1.

携帯電話1は、まず、所定のURL(Uniform Resource Locator)を指定して、認証PLサーバ3にアクセスし、例えば図5に示す登録初期画面51を出力装置に表示する(S11)。そして、携帯電話1の指示受付部11は、ユーザの指示を受け付けて、初期メニュー選択指示を認証PLサーバ3に送信する。認証PLサーバ3のユーザ登録受付部31は、初期メニューの選択指示を受け付けて、初期メニュー画面を携帯電話1に送信する(S12)。   The mobile phone 1 first designates a predetermined URL (Uniform Resource Locator), accesses the authentication PL server 3, and displays, for example, a registration initial screen 51 shown in FIG. 5 on the output device (S11). Then, the instruction receiving unit 11 of the mobile phone 1 receives a user instruction and transmits an initial menu selection instruction to the authentication PL server 3. The user registration receiving unit 31 of the authentication PL server 3 receives an instruction to select an initial menu and transmits an initial menu screen to the mobile phone 1 (S12).

そして、携帯電話1の表示部12は、例えば図5に示す初期メニュー画面52を出力装置に表示する(S13)。なお、図示する初期メニュー画面52には、「新規ユーザ登録」、「サイト登録」および「設定変更」のいずれかを選択するためのラジオボタンと、送信ボタンとが表示されている。ユーザは、入力装置を用いて「新規ユーザ登録」を選択し、送信ボタンをクリックする。   And the display part 12 of the mobile telephone 1 displays the initial menu screen 52 shown, for example in FIG. 5 on an output device (S13). The initial menu screen 52 shown in the figure displays a radio button for selecting one of “new user registration”, “site registration”, and “setting change”, and a send button. The user selects “new user registration” using the input device and clicks the send button.

携帯電話1の指示受付部11は、ユーザが入力した指示を受け付けて、新規ユーザ登録要求を認証PLサーバ3に送信する。認証PLサーバ3のユーザ登録受付部31は、新規ユーザ登録要求を受け付けると、ユーザID入力画面を携帯電話1に送信する(S14)。
そして、携帯電話1の表示部12は、例えば図5に示すユーザID入力画面53を出力装置に表示する(S15)。なお、図示するユーザID入力画面53には、認証システム内で一意に識別可能な第1のユーザIDを入力するユーザID入力欄と送信ボタンとが表示されている。ユーザは、入力装置を用いて第1のユーザIDを入力し、送信ボタンをクリックする。 The instruction receiving unit 11 of the mobile phone 1 receives an instruction input by the user and transmits a new user registration request to the authentication PL server 3. When receiving the new user registration request, the user registration receiving unit 31 of the authentication PL server 3 transmits a user ID input screen to the mobile phone 1 (S14).
And the display part 12 of the mobile telephone 1 displays the user ID input screen 53 shown, for example in FIG. 5 on an output device (S15). In the illustrated user ID input screen 53, a user ID input field for inputting a first user ID uniquely identifiable in the authentication system and a send button are displayed. The user inputs the first user ID using the input device and clicks the send button.

携帯電話1の指示受付部11は、入力された第1のユーザIDを受け付けて、認証PLサーバ3に送信する。認証PLサーバ3のユーザ登録受付部31は、第1のユーザIDを受け付けると、次にPIN入力画面を携帯電話1に送信する(S16)。
そして、携帯電話1の表示部12は、例えば図5に示すPIN入力画面54を出力装置に表示する(S17)。なお、図示するPIN入力画面54には、PIN(暗証番号)入力欄と送信ボタンとが表示されている。ユーザは、入力装置を用いて任意のPINを入力し、送信ボタンをクリックする。携帯電話1の指示受付部11は、入力されたPINを受け付けて、認証PLサーバ3に送信する(S18)。なお、携帯電話1の指示受付部11は、認証PLサーバ3に各種情報を送信する際(S12、S14、S16、S18)、または、PINを送信する際(S18)に、当該携帯電話1のメモリ等に記憶された携帯電話IDを併せて送信するものとする。 The instruction receiving unit 11 of the mobile phone 1 receives the input first user ID and transmits it to the authentication PL server 3. Upon receiving the first user ID, the user registration receiving unit 31 of the authentication PL server 3 next transmits a PIN input screen to the mobile phone 1 (S16).
And the display part 12 of the mobile telephone 1 displays the PIN input screen 54 shown, for example in FIG. 5 on an output device (S17). In the illustrated PIN input screen 54, a PIN (personal identification number) input field and a send button are displayed. The user inputs an arbitrary PIN using the input device and clicks the send button. The instruction receiving unit 11 of the mobile phone 1 receives the input PIN and transmits it to the authentication PL server 3 (S18). The instruction receiving unit 11 of the mobile phone 1 transmits the various information to the authentication PL server 3 (S12, S14, S16, S18) or transmits the PIN (S18). It is assumed that the mobile phone ID stored in the memory or the like is also transmitted.

認証PLサーバ3のユーザ登録受付部31は、S16およびS18で携帯電話1から受信した第1のユーザIDおよびPINと、当該携帯電話1の携帯電話IDと、を含む登録要求を認証BLサーバ4に送信する(S19)。   The user registration accepting unit 31 of the authentication PL server 3 sends a registration request including the first user ID and PIN received from the mobile phone 1 in S16 and S18 and the mobile phone ID of the mobile phone 1 to the authentication BL server 4 (S19).

認証BLサーバ4の登録部41は、登録要求に含まれる第1のユーザID、PINおよび携帯電話IDが設定されたレコードを認証テーブル44(図2参照)に登録する(S20)。そして、登録部41は、登録完了通知を認証PLサーバ3に送信する(S21)。そして、認証PLサーバ3のユーザ登録受付部31は、携帯電話1に登録完了画面を送信する(S22)。そして、携帯電話1の表示部12は、例えば図5に示す登録完了画面55を出力装置に表示する(S23)。   The registration unit 41 of the authentication BL server 4 registers a record in which the first user ID, PIN, and mobile phone ID included in the registration request are set in the authentication table 44 (see FIG. 2) (S20). Then, the registration unit 41 transmits a registration completion notification to the authentication PL server 3 (S21). Then, the user registration receiving unit 31 of the authentication PL server 3 transmits a registration completion screen to the mobile phone 1 (S22). And the display part 12 of the mobile telephone 1 displays the registration completion screen 55 shown, for example in FIG. 5 on an output device (S23).

次に、サイトへのユーザ登録処理について説明する。なお、サイトへのユーザ登録処理には、以下の2つの方法が考えられる。   Next, user registration processing for the site will be described. The following two methods are conceivable for the user registration process for the site.

図6は、第1の方法のサイトへのユーザ登録処理のシーケンス図である。また、図7は、第1の方法を用いた場合の携帯電話1の出力装置に表示される各種画面(画面遷移)の一例を示したものである。   FIG. 6 is a sequence diagram of the user registration process to the site in the first method. FIG. 7 shows an example of various screens (screen transitions) displayed on the output device of the mobile phone 1 when the first method is used.

携帯電話1は、まず、所定のURLを指定して認証PLサーバ3にアクセスし、図7に示す登録初期画面61を出力装置に表示する(S31)。そして、携帯電話1の指示受付部11は、ユーザの指示を受け付けて、初期メニュー選択指示を認証PLサーバ3に送信する。そして、認証PLサーバ3のユーザ登録受付部31は、初期メニュー画面を携帯電話1に送信する(S32)。   The mobile phone 1 first accesses the authentication PL server 3 by specifying a predetermined URL, and displays the registration initial screen 61 shown in FIG. 7 on the output device (S31). Then, the instruction receiving unit 11 of the mobile phone 1 receives a user instruction and transmits an initial menu selection instruction to the authentication PL server 3. Then, the user registration receiving unit 31 of the authentication PL server 3 transmits an initial menu screen to the mobile phone 1 (S32).

そして、携帯電話1の表示部12は、例えば図7に示す初期メニュー画面62を出力装置に表示する(S13)。なお、図示する初期メニュー画面62は、図5の初期メニュー画面52と同様である。ここで、ユーザは、「サイト登録」を選択する。携帯電話1の指示受付部11は、ユーザの指示を受け付けて、サイト登録要求を認証PLサーバ3に送信する。そして、認証PLサーバ3のユーザ登録受付部31は、ユーザID・PIN入力画面を携帯電話1に送信する(S34)。
そして、携帯電話1の表示部12は、例えば図7に示すユーザID・PIN入力画面63を出力装置に表示する(S35)。なお、図示するユーザID・PIN入力画面63には、第1のユーザID入力欄と、PIN入力欄と、送信ボタンと、が表示されている。ユーザは、図5の処理で登録した第1のユーザIDおよびPINを入力する。 And the display part 12 of the mobile telephone 1 displays the initial menu screen 62 shown, for example in FIG. 7 on an output device (S13). The initial menu screen 62 shown is the same as the initial menu screen 52 of FIG. Here, the user selects “site registration”. The instruction receiving unit 11 of the mobile phone 1 receives a user instruction and transmits a site registration request to the authentication PL server 3. Then, the user registration receiving unit 31 of the authentication PL server 3 transmits a user ID / PIN input screen to the mobile phone 1 (S34).
Then, the display unit 12 of the mobile phone 1 displays, for example, the user ID / PIN input screen 63 shown in FIG. 7 on the output device (S35). Note that the user ID / PIN input screen 63 shown in the figure displays a first user ID input field, a PIN input field, and a send button. The user inputs the first user ID and PIN registered in the process of FIG.

携帯電話1の指示受付部11は、第1のユーザIDおよびPINを受け付けて、認証PLサーバ3に送信する(S36)。なお、携帯電話1の指示受付部11は、認証PLサーバ3に各種情報を送信する際、または、S36で第1のユーザIDおよびPINを送信する際に、当該携帯電話1のメモリ等に記憶された携帯電話IDを併せて送信するものとする。   The instruction receiving unit 11 of the mobile phone 1 receives the first user ID and the PIN and transmits them to the authentication PL server 3 (S36). The instruction receiving unit 11 of the mobile phone 1 stores the information in the memory or the like of the mobile phone 1 when transmitting various information to the authentication PL server 3 or when transmitting the first user ID and PIN in S36. The transmitted mobile phone ID is also transmitted.

認証PLサーバ3のユーザ登録受付部31は、受信した第1のユーザID、PINおよび携帯電話IDを含む確認要求を、認証BLサーバ4に送信する(S37)。認証BLサーバ4の登録部41は、確認要求に含まれる第1のユーザID、PINおよび携帯電話IDが、認証テーブル44に存在するか否かを判別する。そして、認証テーブル44に存在する場合、登録部41は、許可通知を認証PLサーバ3に送信する(S37)。   The user registration receiving unit 31 of the authentication PL server 3 transmits a confirmation request including the received first user ID, PIN, and mobile phone ID to the authentication BL server 4 (S37). The registration unit 41 of the authentication BL server 4 determines whether or not the first user ID, PIN, and mobile phone ID included in the confirmation request exist in the authentication table 44. And when it exists in the authentication table 44, the registration part 41 transmits a notice of permission to the authentication PL server 3 (S37).

認証PLサーバ3のユーザ登録受付部31は、許可通知を受け付けると、サイト選択画面を携帯電話1に送信する(S38)。そして、携帯電話1の表示部12は、例えば図7に示すサイト選択画面64を出力装置に表示する(S39)。なお、図示するサイト選択画面64には、いずれかのサイトを選択するためのラジオボタンと、送信ボタンと、が表示されている。ユーザは、いずれかのサイトのラジオボタンを選択する。   When receiving the permission notification, the user registration receiving unit 31 of the authentication PL server 3 transmits a site selection screen to the mobile phone 1 (S38). And the display part 12 of the mobile telephone 1 displays the site selection screen 64 shown, for example in FIG. 7 on an output device (S39). In the illustrated site selection screen 64, a radio button for selecting any one of the sites and a transmission button are displayed. The user selects a radio button of any site.

携帯電話1の指示受付部11は、選択されたサイトのサイトコードを、認証PLサーバ3に送信する。そして、認証PLサーバ3のユーザ登録受付部31は、サイトユーザID入力画面を携帯電話1に送信する(S40)。そして、携帯電話1の表示部12は、例えば図7に示すサイトユーザID入力画面65を出力装置に表示する(S41)。なお、図示するサイトユーザID入力画面65には、サイトユーザID入力欄およびパスワード入力欄と、送信ボタンとが表示されている。   The instruction receiving unit 11 of the mobile phone 1 transmits the site code of the selected site to the authentication PL server 3. And the user registration reception part 31 of the authentication PL server 3 transmits a site user ID input screen to the mobile phone 1 (S40). And the display part 12 of the mobile telephone 1 displays the site user ID input screen 65 shown, for example in FIG. 7 on an output device (S41). In the illustrated site user ID input screen 65, a site user ID input field, a password input field, and a send button are displayed.

ユーザは、サイトユーザID入力欄およびパスワード入力欄に、当該サイトにおいて既に登録済み(取得済み)のサイトユーザID(第2のユーザID)およびパスワードを入力する。なお、ユーザは、本処理を行う前に、あらかじめ所望のサイト(業務サーバ5)にユーザ登録を行っておくものとする。   The user inputs a site user ID (second user ID) and password that have already been registered (acquired) in the site in the site user ID input field and password input field. It is assumed that the user performs user registration in advance on a desired site (business server 5) before performing this processing.

そして携帯電話1の指示受付部11は、ユーザが入力したサイトユーザIDおよびパスワードを、認証PLサーバ3に送信する(S42)。そして、認証PLサーバ3のユーザ登録受付部31は、サイトユーザIDおよびパスワードを受け付けて、これらの情報を含む確認要求を、S40で選択されたサイトコードに対応する業務サーバ5に送信する。業務サーバ5の登録チェック部53は、確認要求に含まれるサイトユーザIDおよびパスワードが、ユーザテーブル54に存在するか否かを判別する。そして、ユーザテーブル54に存在する場合、登録チェック部53は、登録許可通知を認証PLサーバ3に送信する(S43)。なお、認証PLサーバ3のユーザ登録受付部31は、直接、ユーザテーブル54にアクセスし、サイトユーザID等が存在するか否かを判別することとしてもよい。   And the instruction | indication reception part 11 of the mobile telephone 1 transmits the site user ID and password which the user input to the authentication PL server 3 (S42). Then, the user registration receiving unit 31 of the authentication PL server 3 receives the site user ID and password, and transmits a confirmation request including these pieces of information to the business server 5 corresponding to the site code selected in S40. The registration check unit 53 of the business server 5 determines whether or not the site user ID and password included in the confirmation request exist in the user table 54. If it exists in the user table 54, the registration check unit 53 transmits a registration permission notification to the authentication PL server 3 (S43). Note that the user registration receiving unit 31 of the authentication PL server 3 may directly access the user table 54 and determine whether or not a site user ID or the like exists.

登録許可通知を受け付けた場合、認証PLサーバ3のユーザ登録受付部31は、S36で受け付けた第1のユーザIDおよびPINと、S40で受け付けたサイトコードと、S42で受け付けたサイトユーザIDと、当該携帯電話1の携帯電話IDと、を含む登録要求を認証BLサーバ4に送信する(S44)。なお、携帯電話1の指示受付部11は、認証PLサーバ3に各種情報を送信する際に、携帯電話IDを併せて送信するものとする。   When the registration permission notification is received, the user registration receiving unit 31 of the authentication PL server 3 receives the first user ID and PIN received in S36, the site code received in S40, the site user ID received in S42, A registration request including the mobile phone ID of the mobile phone 1 is transmitted to the authentication BL server 4 (S44). In addition, the instruction | indication reception part 11 of the mobile telephone 1 shall transmit mobile telephone ID collectively, when transmitting various information to the authentication PL server 3. FIG.

認証BLサーバ4の登録部41は、登録要求に含まれる第1のユーザID、PINおよび携帯電話IDが設定されたレコードを認証テーブル44から特定し、当該レコードに登録要求に含まれるサイトコードおよびサイトユーザIDを設定する(S45)。そして、登録部41は、登録完了通知を認証PLサーバ3に送信する(S46)。そして、認証PLサーバ3のユーザ登録受付部31は、携帯電話1に登録完了画面を送信する(S47)。そして、携帯電話1の表示部12は、図7に示す登録完了画面66を出力装置に表示する(S48)。   The registration unit 41 of the authentication BL server 4 identifies a record in which the first user ID, PIN, and mobile phone ID included in the registration request are set from the authentication table 44, and includes the site code and the site code included in the registration request in the record. A site user ID is set (S45). Then, the registration unit 41 transmits a registration completion notification to the authentication PL server 3 (S46). Then, the user registration receiving unit 31 of the authentication PL server 3 transmits a registration completion screen to the mobile phone 1 (S47). Then, the display unit 12 of the mobile phone 1 displays a registration completion screen 66 shown in FIG. 7 on the output device (S48).

次に第2の方法のサイトへのユーザ登録処理について説明する。   Next, the user registration process to the site of the second method will be described.

図8は、第2の方法のサイトへのユーザ登録処理のシーケンス図である。また、図9は、第2の方法を用いた場合の携帯電話1の出力装置に表示される各種画面(画面遷移)の一例を示したものである。   FIG. 8 is a sequence diagram of the user registration process to the site in the second method. FIG. 9 shows an example of various screens (screen transitions) displayed on the output device of the mobile phone 1 when the second method is used.

携帯電話1は、所定のURLを指定して、認証PLサーバ3にアクセスし、図7に示す会社毎に作成されたメニュー画面71を出力装置に表示する(S51)。そして、携帯電話1の指示受付部11は、ユーザからサイト登録メニューの選択指示を受け付けて、当該指示を認証PLサーバ3に送信する。認証PLサーバ3のユーザ登録受付部31は、ユーザID・PIN入力画面を携帯電話1に送信する(S52)。
そして、携帯電話1の表示部12は、図9に示すユーザID・PIN入力画面72を出力装置に表示する(S53)。なお、図示するユーザID・PIN入力画面72は、図7のユーザID・PIN入力画面63と同様である。携帯電話1の指示受付部11は、ユーザが入力した第1のユーザIDおよびPINを受け付けて、認証PLサーバ3に送信する(S54)。なお、携帯電話1の指示受付部11は、認証PLサーバ3に各種情報を送信する際、または、S54で第1のユーザIDおよびPINを送信する際に、当該携帯電話1のメモリ等に記憶された携帯電話IDを併せて送信するものとする。 The mobile phone 1 designates a predetermined URL, accesses the authentication PL server 3, and displays the menu screen 71 created for each company shown in FIG. 7 on the output device (S51). Then, the instruction receiving unit 11 of the mobile phone 1 receives an instruction to select a site registration menu from the user, and transmits the instruction to the authentication PL server 3. The user registration receiving unit 31 of the authentication PL server 3 transmits a user ID / PIN input screen to the mobile phone 1 (S52).
The display unit 12 of the mobile phone 1 displays the user ID / PIN input screen 72 shown in FIG. 9 on the output device (S53). The user ID / PIN input screen 72 shown in the figure is the same as the user ID / PIN input screen 63 of FIG. The instruction receiving unit 11 of the mobile phone 1 receives the first user ID and PIN input by the user and transmits them to the authentication PL server 3 (S54). Note that the instruction receiving unit 11 of the mobile phone 1 stores in the memory or the like of the mobile phone 1 when transmitting various information to the authentication PL server 3 or when transmitting the first user ID and PIN in S54. The transmitted mobile phone ID is also transmitted.

認証PLサーバ3のユーザ登録受付部31は、第1のユーザID、PINおよび携帯電話IDを受け付け、これらの情報を含む確認要求を認証BLサーバ4に送信する(S55)。そして、認証BLサーバ4の登録部41は、確認要求に含まれる第1のユーザID、PINおよび携帯電話IDが、認証テーブル44に存在するか否かを判別する。そして、認証テーブル44に存在する場合、登録部41は、許可通知を認証PLサーバ3に送信する(S55)。   The user registration receiving unit 31 of the authentication PL server 3 receives the first user ID, PIN, and mobile phone ID, and transmits a confirmation request including these pieces of information to the authentication BL server 4 (S55). Then, the registration unit 41 of the authentication BL server 4 determines whether or not the first user ID, PIN, and mobile phone ID included in the confirmation request exist in the authentication table 44. And when it exists in the authentication table 44, the registration part 41 transmits a notice of permission to the authentication PL server 3 (S55).

認証PLサーバ3のユーザ登録受付部31は、許可通知を受け付けると、サイトユーザID入力画面を携帯電話1に送信する(S56)。そして、携帯電話1の表示部12は、図9に示すサイトユーザID入力画面73を出力装置に表示する(S57)。なお、図示するサイトユーザID入力画面73は、図7のサイトユーザID入力画面65と同様である。携帯電話1の指示受付部11は、ユーザが入力したサイトユーザIDおよびパスワードを、認証PLサーバ3に送信する(S58)。   When receiving the permission notification, the user registration receiving unit 31 of the authentication PL server 3 transmits a site user ID input screen to the mobile phone 1 (S56). And the display part 12 of the mobile telephone 1 displays the site user ID input screen 73 shown in FIG. 9 on an output device (S57). The site user ID input screen 73 shown is the same as the site user ID input screen 65 of FIG. The instruction receiving unit 11 of the mobile phone 1 transmits the site user ID and password input by the user to the authentication PL server 3 (S58).

なお、これ以降のS59からS64までの処理は、図6で説明したS43からS48までの処理と同様であるため、ここでは説明を省略する。   Note that the subsequent processing from S59 to S64 is the same as the processing from S43 to S48 described with reference to FIG.

次に、ユーザ認証処理について説明する。ユーザ認証処理では、まず、携帯電話1を用いてワンタイムパスワード取得し、その後、端末2から所望のサイトにログインする。   Next, user authentication processing will be described. In the user authentication process, first, a one-time password is acquired using the mobile phone 1, and then a desired site is logged in from the terminal 2.

図10は、ワンタイムパスワード取得処理のシーケンス図である。また、図11は、携帯電話1の出力装置に表示される各種画面(画面遷移)の一例を示したものである。まず、携帯電話1の指示受付部11は、ユーザの指示を受け付けて、所定のURLを指定して認証PLサーバ3にアクセスし、OTP(ワンタイムパスワード)取得メニュー画面を要求する。そして、認証PLサーバ3のパスワード要求受付部32は、携帯電話1からの要求を受け付けて、OTP取得メニュー画面を携帯電話1に送信する(S71)。   FIG. 10 is a sequence diagram of the one-time password acquisition process. FIG. 11 shows an example of various screens (screen transitions) displayed on the output device of the mobile phone 1. First, the instruction receiving unit 11 of the mobile phone 1 receives a user instruction, specifies a predetermined URL, accesses the authentication PL server 3, and requests an OTP (one-time password) acquisition menu screen. And the password request | requirement reception part 32 of the authentication PL server 3 receives the request | requirement from the mobile telephone 1, and transmits an OTP acquisition menu screen to the mobile telephone 1 (S71).

なお、パスワード要求受付部32は、S71において、当該携帯電話1のキャリア種別とIPアドレスとを取得するものとする。そして、パスワード要求受付部32は、図示しないキャリアテーブルを参照し、受信したIPアドレスが、受信したキャリア種別のキャリアがとり得るIPアドレスか否かを判別する。そして、パスワード要求受付部32は、当該キャリアがとり得るIPアドレスの場合にのみ、OTP取得メニュー画面を要求元の携帯電話1に送信し、それ以外の場合はエラーメッセージを携帯電話1に送信する。キャリアテーブルは、キャリア毎に当該キャリアがとり得るIPアドレスが設定されたテーブルであって、認証PLサーバ3のメモリまたは外部記憶装置に記憶されているものとする。   Note that the password request reception unit 32 acquires the carrier type and the IP address of the mobile phone 1 in S71. Then, the password request accepting unit 32 refers to a carrier table (not shown) and determines whether or not the received IP address is an IP address that can be taken by the carrier of the received carrier type. Then, the password request reception unit 32 transmits the OTP acquisition menu screen to the requesting mobile phone 1 only when the IP address that the carrier can take, and otherwise transmits an error message to the mobile phone 1. . The carrier table is a table in which an IP address that the carrier can take is set for each carrier, and is stored in the memory of the authentication PL server 3 or an external storage device.

そして、携帯電話1の表示部12は、例えば図11に示すOTP取得メニュー画面81を出力装置に表示する(S72)。図示するOTP取得メニュー画面81は、ワンタイムパスワードの取得を指示するためのラジオボタンと、送信ボタンとが表示されている。携帯電話1の指示受付部11は、ユーザの指示を受け付けて、パスワード取得要求を認証PLサーバ3に送信する。そして、認証PLサーバ3のパスワード要求受付部32は、PIN入力画面を携帯電話1に送信する(S73)。   And the display part 12 of the mobile telephone 1 displays the OTP acquisition menu screen 81 shown, for example in FIG. 11 on an output device (S72). The illustrated OTP acquisition menu screen 81 displays a radio button for instructing acquisition of a one-time password and a transmission button. The instruction receiving unit 11 of the mobile phone 1 receives a user instruction and transmits a password acquisition request to the authentication PL server 3. Then, the password request reception unit 32 of the authentication PL server 3 transmits a PIN input screen to the mobile phone 1 (S73).

そして、携帯電話1の表示部12は、例えば図11に示すPIN入力画面82を出力装置に表示する(S74)。図示するPIN入力画面は、PIN入力欄と、送信ボタンとが表示されている。ユーザは、PIN入力欄にユーザ登録処理(図4参照)で登録したPINを入力し、送信ボタンをクリックする。そして、携帯電話1の指示受付部11は、入力されたPINと携帯電話IDとを、認証PLサーバ3に送信する(S75)。なお、携帯電話1の指示受付部11は、認証PLサーバ3に各種情報を送信する際、または、S75でPINを送信する際に、当該携帯電話1のメモリ等に記憶された携帯電話IDを併せて送信するものとする。   And the display part 12 of the mobile telephone 1 displays the PIN input screen 82 shown, for example in FIG. 11 on an output device (S74). In the illustrated PIN input screen, a PIN input field and a send button are displayed. The user inputs the PIN registered in the user registration process (see FIG. 4) in the PIN input field and clicks the send button. Then, the instruction receiving unit 11 of the mobile phone 1 transmits the input PIN and mobile phone ID to the authentication PL server 3 (S75). The instruction receiving unit 11 of the mobile phone 1 transmits the mobile phone ID stored in the memory or the like of the mobile phone 1 when transmitting various information to the authentication PL server 3 or when transmitting the PIN in S75. It shall be transmitted together.

認証PLサーバ3のパスワード要求受付部32は、PINおよび携帯電話IDを受け付ける。そして、パスワード要求受付部32は、S71で指定されたURL(または、S75の送信時に指定されたURL)から、サイトコードを特定する。なお、パスワード要求受付部32は、例えば、URLとサイトコードとを対応付けたURLテーブル(不図示)を参照し、サイトコードを特定するものとする。この場合、URLテーブルは、認証PLサーバ3のメモリまたは外部記憶装置に記憶されているものとする。   The password request receiving unit 32 of the authentication PL server 3 receives the PIN and the mobile phone ID. And the password request | requirement reception part 32 specifies a site code from URL (or URL specified at the time of transmission of S75) designated by S71. For example, the password request receiving unit 32 refers to a URL table (not shown) in which a URL and a site code are associated with each other, and identifies the site code. In this case, it is assumed that the URL table is stored in the memory of the authentication PL server 3 or an external storage device.

そして、パスワード要求受付部32は、PIN、携帯電話IDおよびサイトコードとを含むワンタイムパスワード生成要求を、認証BLサーバ4に送信する(S76)。   Then, the password request receiving unit 32 transmits a one-time password generation request including the PIN, the mobile phone ID, and the site code to the authentication BL server 4 (S76).

認証BLサーバ4のパスワード生成部42は、ワンタイムパスワード生成要求を受信し、当該要求で指定されたPIN、携帯電話IDおよびサイトコードを有するレコードが、認証テーブル44に存在するか否かを判別する(S77)。そして、認証テーブル44に存在する場合、パスワード生成部42は、所定のアルゴリズムにより、ワンタイムパスワードを生成する(S78)。なお、パスワード生成部42は、例えば、ワンタイムパスワード生成要求のタイムスタンプ、および当該要求に含まれる携帯電話IDを、認証文字列の「種」としてワンタイムパスワードを生成する。   The password generation unit 42 of the authentication BL server 4 receives the one-time password generation request and determines whether or not a record having the PIN, mobile phone ID, and site code specified in the request exists in the authentication table 44. (S77). If it exists in the authentication table 44, the password generation unit 42 generates a one-time password by a predetermined algorithm (S78). For example, the password generation unit 42 generates a one-time password using the time stamp of the one-time password generation request and the mobile phone ID included in the request as the “seed” of the authentication character string.

そして、パスワード生成部42は、生成したワンタイムパスワードおよび有効期限を、認証テーブル44の対応するレコードに記憶する。なお、パスワード生成部42は、ワンタイムパスワードを生成した時刻から所定の時間(例えば、1分)が経過した時刻を、有効期限として認証テーブル44に設定するものとする。   Then, the password generation unit 42 stores the generated one-time password and expiration date in the corresponding record of the authentication table 44. Note that the password generation unit 42 sets the time when a predetermined time (for example, 1 minute) has elapsed from the time when the one-time password is generated as an expiration date in the authentication table 44.

そして、パスワード生成部42は、生成したワンタイムパスワードを認証PLサーバ3に送信する(S79)。そして、認証PLサーバ3のパスワード要求受付部32は、生成されたワンタイムパスワードを含むワンタイムパスワード表示画面を携帯電話1に送信する(S80)。そして、携帯電話1の表示部12は、例えば図11に示すようなワンタイムパスワード表示画面83を出力装置に表示する(S81)。ユーザは、携帯電話1に表示されたワンタイムパスワードを用いて、次に説明するログイン処理を行う。なお、S77において、対象となるレコードが認証テーブル44に存在しない場合、エラーメッセージが携帯電話1に送信される。   Then, the password generation unit 42 transmits the generated one-time password to the authentication PL server 3 (S79). Then, the password request receiving unit 32 of the authentication PL server 3 transmits a one-time password display screen including the generated one-time password to the mobile phone 1 (S80). Then, the display unit 12 of the mobile phone 1 displays, for example, a one-time password display screen 83 as shown in FIG. 11 on the output device (S81). The user performs a login process described below using the one-time password displayed on the mobile phone 1. In S77, if the target record does not exist in the authentication table 44, an error message is transmitted to the mobile phone 1.

次に、端末2から所定の業務サーバ5のサイト(Webサイト)にログインする際のログイン処理について説明する。なお、ログイン処理には、2つの方式のログイン処理が考えられる。   Next, a login process when logging in to a site (Web site) of a predetermined business server 5 from the terminal 2 will be described. Two types of login processing can be considered as the login processing.

図12は、第1のログイン処理のシーケンス図である。また、図13は、端末2の出力装置に表示される各種画面(画面遷移)の一例を示したものである。まず、端末2の指示受付部21は、ユーザの指示を受け付けて、所定のURLを指定して認証PLサーバ3にアクセスし、ログイン画面を出力装置に表示する(S91)。なお、認証PLサーバ3のログイン要求受付部33は、端末2が指定したURLに基づいてログイン先のサイト(サイトコード)を特定する。そして、ログイン要求受付部33は、特定したサイトのログイン画面(または共通のログイン画面)を端末2に送信する。   FIG. 12 is a sequence diagram of the first login process. FIG. 13 shows an example of various screens (screen transitions) displayed on the output device of the terminal 2. First, the instruction receiving unit 21 of the terminal 2 receives a user instruction, designates a predetermined URL, accesses the authentication PL server 3, and displays a login screen on the output device (S91). The login request receiving unit 33 of the authentication PL server 3 specifies a login destination site (site code) based on the URL specified by the terminal 2. Then, the login request receiving unit 33 transmits a login screen (or a common login screen) of the identified site to the terminal 2.

端末2の表示部22は、例えば図13に示すログイン画面91を、出力装置に表示する。図示するログイン画面91には、サイトユーザID入力欄と、パスワード入力欄と、ワンタイムパスワード入力欄と、ログインボタンと、が表示されている。ユーザは、あらかじめ当該サイト(業務サーバ5)に登録済みのサイトユーザID(第2のユーザID)およびパスワードと、携帯電話1に表示されたワンタイムパスワードと、をログイン画面91に入力する。   The display unit 22 of the terminal 2 displays, for example, a login screen 91 illustrated in FIG. 13 on the output device. On the illustrated login screen 91, a site user ID input field, a password input field, a one-time password input field, and a login button are displayed. The user inputs the site user ID (second user ID) and password registered in advance in the site (business server 5) and the one-time password displayed on the mobile phone 1 on the login screen 91.

そして、端末2の指示受付部21は、サイトユーザID、パスワードおよびワンタイムパスワードを含むログイン要求を、所定のURLを指定して認証PLサーバ3送信する(S92)。   Then, the instruction receiving unit 21 of the terminal 2 transmits a login request including the site user ID, password, and one-time password by designating a predetermined URL and transmitting the authentication PL server 3 (S92).

そして、認証PLサーバ3のログイン要求受付部33は、ログイン要求を受信し、ログイン要求で指定されたURLからサイトコードを特定する。なお、ログイン要求受付部33は、例えば、前述のURLテーブル(不図示)を参照し、サイトコードを特定するものとする。   Then, the login request reception unit 33 of the authentication PL server 3 receives the login request, and specifies the site code from the URL specified by the login request. Note that the login request receiving unit 33 specifies a site code with reference to the above URL table (not shown), for example.

そして、ログイン要求受付部33は、ログイン要求に含まれるサイトユーザIDおよびワンタイムパスワードと、特定したサイトコードとを含む認証要求を、認証BLサーバ4に送信する(S93)。認証BLサーバ4の認証部43は、認証要求を受け付けて、ワンタイムパスワードの認証を行う(S94)。すなわち、認証部43は、サイトユーザIDおよびサイトコードをキーとして、対応するワンタイムパスワードおよび有効期限を、認証テーブル44から特定する。そして、認証部43は、認証要求のワンタイムパスワードと認証テーブル44に記憶されたワンタイムパスワードとが一致するか否かを判別する。また、認証部43は、当該認証BLサーバ4のタイマー機構(不図示)から現在の時刻を取得し、取得した現在の時刻が認証テーブル44に記憶された有効期限を経過していないかを判別する。   Then, the login request reception unit 33 transmits an authentication request including the site user ID and the one-time password included in the login request and the specified site code to the authentication BL server 4 (S93). The authentication unit 43 of the authentication BL server 4 receives the authentication request and authenticates the one-time password (S94). That is, the authentication unit 43 specifies the corresponding one-time password and expiration date from the authentication table 44 using the site user ID and site code as keys. Then, the authentication unit 43 determines whether or not the one-time password in the authentication request matches the one-time password stored in the authentication table 44. Further, the authentication unit 43 acquires the current time from the timer mechanism (not shown) of the authentication BL server 4 and determines whether the acquired current time has passed the expiration date stored in the authentication table 44. To do.

ワンタイムパスワードが一致し、かつ、有効期限内の場合、認証部43は、正当なユーザからのログイン要求であると認証する。この場合、認証部43は、認証に成功した旨を示す認証成功通知を認証PLサーバ3に送信する(S95)。そして、認証PLサーバ3のログイン要求受付部33は、特定したサイトコードに対応する業務サーバ5に、ログイン要求に含まれるサイトユーザIDおよびパスワードを送信する(S96)。   If the one-time passwords match and are within the expiration date, the authentication unit 43 authenticates that the login request is from a valid user. In this case, the authentication unit 43 transmits an authentication success notification indicating that the authentication has succeeded to the authentication PL server 3 (S95). Then, the login request receiving unit 33 of the authentication PL server 3 transmits the site user ID and password included in the login request to the business server 5 corresponding to the identified site code (S96).

業務サーバ5のログイン処理部51は、受信したサイトユーザIDおよびパスワードの認証を行う(S97)。すなわち、ログイン処理部51は、受信したサイトユーザIDおよびパスワードが、ユーザテーブル54に存在する場合、正当なユーザのログイン要求であると判別する。正当なユーザと判別した場合、ログイン処理部51は、当該ユーザのログインを許可し、ログイン完了画面を端末2に送信する(S98)。そして、端末2は、例えば図13に示すログイン完了画面92を、出力装置に表示する(S99)。これにより、ユーザは、業務サーバ5が提供するサイトのサービスを利用することができる。   The login processing unit 51 of the business server 5 authenticates the received site user ID and password (S97). That is, when the received site user ID and password exist in the user table 54, the login processing unit 51 determines that the request is a valid user login request. If it is determined that the user is a valid user, the login processing unit 51 permits the login of the user and transmits a login completion screen to the terminal 2 (S98). And the terminal 2 displays the login completion screen 92 shown, for example in FIG. 13 on an output device (S99). Thereby, the user can use the service of the site provided by the business server 5.

なお、認証BLサーバ4の認証に失敗した場合(S94)、または、業務サーバ5の認証に失敗した場合(S97)には、認証に失敗した旨を示すエラーメッセージが端末2送信される。   Note that when the authentication of the authentication BL server 4 fails (S94) or when the authentication of the business server 5 fails (S97), an error message indicating that the authentication has failed is transmitted to the terminal 2.

図14は、第2のログイン処理のシーケンス図である。   FIG. 14 is a sequence diagram of the second login process.

なお、図14に示すS101からS104の処理は、図12で説明した第1のログイン処理のS91からS94の処理と同様であるため、ここでは説明を省略する。そして、S104において、正当なユーザからのログイン要求であると認証した場合、認証部43は、認証に成功した旨を示す認証成功通知を認証PLサーバ3に送信する(S105)。なお、第2のログイン処理では、認証部43は、認証成功通知として、例えばSAML(Security Assertion Markup Language)などで使用されるアサーション(Assertion)などの認証証明書を発行する。   Note that the processing from S101 to S104 shown in FIG. 14 is the same as the processing from S91 to S94 in the first login processing described with reference to FIG. If it is authenticated in S104 that the request is a login request from a valid user, the authentication unit 43 transmits an authentication success notification indicating that the authentication has been successful to the authentication PL server 3 (S105). In the second login process, the authentication unit 43 issues an authentication certificate such as an assertion used in, for example, SAML (Security Assertion Markup Language) as an authentication success notification.

そして、認証PLサーバ3のログイン要求受付部33は、アサーションを含む認証成功通知を要求元の端末2に送信する(S106)。そして、端末2の指示受付部21は、業務サーバ5にログイン要求のリダイレクトを行う(S107)。なおログイン要求には、サイトユーザID、パスワードおよびアサーションが含まれているものとする。   Then, the login request receiving unit 33 of the authentication PL server 3 transmits an authentication success notification including the assertion to the requesting terminal 2 (S106). Then, the instruction receiving unit 21 of the terminal 2 redirects the login request to the business server 5 (S107). The login request includes the site user ID, password, and assertion.

業務サーバ5のログイン処理部51は、受信したサイトユーザIDおよびパスワードの認証を行う(S108)。すなわち、ログイン処理部51は、受信したサイトユーザIDおよびパスワードが、ユーザテーブル54に存在する場合、正当なユーザのログイン要求であると判別する。正当なユーザと判別した場合、ログイン処理部51は、当該ユーザのログインを許可し、ログイン完了画面を端末2に送信する(S109)。そして、端末2は、例えば図13に示すログイン完了画面92を、出力装置に表示する(S110)。   The login processing unit 51 of the business server 5 authenticates the received site user ID and password (S108). That is, when the received site user ID and password exist in the user table 54, the login processing unit 51 determines that the request is a valid user login request. If it is determined that the user is a valid user, the login processing unit 51 permits the login of the user and transmits a login completion screen to the terminal 2 (S109). And the terminal 2 displays the login completion screen 92 shown, for example in FIG. 13 on an output device (S110).

本実施形態では、ユーザIDおよびパスワードの漏洩リスクを軽減し、より高いセキュリティを確保することができる。すなわち、本実施形態の携帯電話1が認証PLサーバ3に送信するパスワード取得要求は、端末2からWebサイトにログインする際に使用するサイトユーザIDが含まれていない。したがって、仮に、携帯電話1と認証PLサーバ3との間の通信内容が盗聴され、ワンタイムパスワードが漏洩した場合であっても、業務サーバ5のWebサイトにログインすることはできない。したがって、本認証システムでは、第三者の不正なログインを拒否し、より高いセキュリティを確保することができる。   In this embodiment, the risk of leakage of the user ID and password can be reduced, and higher security can be ensured. That is, the password acquisition request transmitted from the mobile phone 1 of the present embodiment to the authentication PL server 3 does not include the site user ID used when logging in to the website from the terminal 2. Therefore, even if the communication content between the mobile phone 1 and the authentication PL server 3 is wiretapped and the one-time password is leaked, it is not possible to log in to the Web site of the business server 5. Therefore, in this authentication system, unauthorized login by a third party can be rejected, and higher security can be ensured.

また、本実施形態では、複数の業務サーバ5が認証PLサーバ3および認証BLサーバ4を共同で利用し、高度なユーザの認証を行う。これにより、業務サーバ5側でのシステム負荷やコストを低減し、より効率の良い認証処理を行うことができる。   In the present embodiment, the plurality of business servers 5 jointly use the authentication PL server 3 and the authentication BL server 4 to perform advanced user authentication. Thereby, the system load and cost on the business server 5 side can be reduced, and more efficient authentication processing can be performed.

なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、認証BLサーバ4の認証テーブル44は、携帯電話1のメールアドレスおよび携帯電話番号を、さらに記憶することとしてもよい。ユーザ登録処理において、認証PLサーバ3は、メールアドレスおよび携帯電話番号の入力画面を携帯電話1に送信し、ユーザがこれらの情報を入力するものとする。この場合、ワンタイムパスワード取得処理(図10参照)において、認証PLサーバ3は、携帯電話1がパスワード取得要求を送信した通信経路(セッション)とは異なる通信経路(電子メール、SMS:Short Message Service))で、生成したワンタイムパスワードを携帯電話1に送信することとしてもよい(S80)。これにより、不正な第三者がなりすましによりワンタイムパスワードを要求した場合であっても、正当なユーザの携帯電話1にワンタイムパスワードを送信することができる。   In addition, this invention is not limited to said embodiment, Many deformation | transformation are possible within the range of the summary. For example, the authentication table 44 of the authentication BL server 4 may further store the mail address and the mobile phone number of the mobile phone 1. In the user registration process, the authentication PL server 3 transmits an e-mail address and mobile phone number input screen to the mobile phone 1, and the user inputs these pieces of information. In this case, in the one-time password acquisition process (see FIG. 10), the authentication PL server 3 uses a communication path (e-mail, SMS: Short Message Service) different from the communication path (session) from which the mobile phone 1 transmitted the password acquisition request. )), The generated one-time password may be transmitted to the mobile phone 1 (S80). Thereby, even if an unauthorized third party requests a one-time password by impersonation, the one-time password can be transmitted to the mobile phone 1 of a legitimate user.

また、本実施形態の認証テーブル44では、認証システム内でユーザを識別するための第1のユーザIDを有する。しかしながら、認証テーブル44は第1のユーザIDを保持しないこととしてもよい。図15は、第1のユーザIDを保持しない場合の、ユーザ登録処理における携帯電話1の画面遷移の一例を示したものである。まず、携帯電話1は、所定のURLを指定して認証PLサーバ3にアクセスして、図示する全体メニュー101を表示する。そして、携帯電話1は、認証PLサーバ3が送信した所定のサイトの初期メニュー102を表示する。そして、携帯電話1は、認証PLサーバ3が送信したユーザID・パスワード入力画面103表示し、ユーザが入力したサイトユーザIDおよびパスワードを認証PLサーバ3に送信する。   Further, the authentication table 44 of the present embodiment has a first user ID for identifying a user in the authentication system. However, the authentication table 44 may not hold the first user ID. FIG. 15 shows an example of screen transition of the mobile phone 1 in the user registration process when the first user ID is not held. First, the mobile phone 1 accesses the authentication PL server 3 by specifying a predetermined URL, and displays the entire menu 101 shown in the figure. Then, the cellular phone 1 displays the initial menu 102 of the predetermined site transmitted by the authentication PL server 3. Then, the mobile phone 1 displays the user ID / password input screen 103 transmitted by the authentication PL server 3 and transmits the site user ID and password input by the user to the authentication PL server 3.

認証PLサーバ3は、受信したサイトユーザIDおよびパスワードを所定の業務サーバ5に送信する。そして、業務サーバ5はサイトユーザIDおよびパスワードがユーザテーブル54に存在するか否かを確認し、確認結果を認証PLサーバ3に送信する。ユーザテーブル54に存在する場合、認証PLサーバ3は、図示するPIN入力画面104を携帯電話1に送信する。携帯電話1は、PIN入力画面104を表示し、ユーザが入力したPINを認証PLサーバ3に送信する。そして、認証PLサーバ3は、携帯電話1から送信されたサイトユーザID、PIN、携帯電話IDなどを認証BLサーバ4に送信し、認証BLサーバ4はこれらの情報を認証テーブル44に登録する。そして、認証PLサーバ3は、図示する登録完了画面105を携帯電話1に送信する。   The authentication PL server 3 transmits the received site user ID and password to a predetermined business server 5. Then, the business server 5 confirms whether or not the site user ID and password exist in the user table 54, and transmits the confirmation result to the authentication PL server 3. If it exists in the user table 54, the authentication PL server 3 transmits the illustrated PIN input screen 104 to the mobile phone 1. The mobile phone 1 displays a PIN input screen 104 and transmits the PIN input by the user to the authentication PL server 3. Then, the authentication PL server 3 transmits the site user ID, PIN, mobile phone ID, and the like transmitted from the mobile phone 1 to the authentication BL server 4, and the authentication BL server 4 registers these information in the authentication table 44. Then, the authentication PL server 3 transmits a registration completion screen 105 shown in the figure to the mobile phone 1.

本発明の一実施形態が適用された認証システムの全体構成を示す図である。1 is a diagram illustrating an overall configuration of an authentication system to which an embodiment of the present invention is applied. 認証テーブルの一例を示す図である。It is a figure which shows an example of an authentication table. 各装置のハードウェア構成例を示す図である。It is a figure which shows the hardware structural example of each apparatus. 認証システムへのユーザ登録処理のシーケンス図である。It is a sequence diagram of a user registration process to the authentication system. 図4の処理における携帯電話の画面遷移の一例である。It is an example of the screen transition of the mobile telephone in the process of FIG. サイトへのユーザ登録処理の第1のシーケンス図である。It is a 1st sequence diagram of a user registration process to a site. 図6の処理における携帯電話の画面遷移の一例である。It is an example of the screen transition of the mobile telephone in the process of FIG. サイトへのユーザ登録処理の第2のシーケンス図である。It is a 2nd sequence diagram of the user registration process to a site. 図8の処理における携帯電話の画面遷移の一例である。It is an example of the screen transition of the mobile telephone in the process of FIG. ワンタイムパスワードの取得処理のシーケンス図である。It is a sequence diagram of the acquisition process of a one-time password. 図10の処理における携帯電話の画面遷移の一例である。It is an example of the screen transition of the mobile telephone in the process of FIG. ログイン処理の第1のシーケンス図である。It is a 1st sequence diagram of a login process. 図12の処理における端末の画面遷移の一例である。It is an example of the screen transition of the terminal in the process of FIG. ログイン処理の第2のシーケンス図である。It is a 2nd sequence diagram of a login process. ユーザ登録処理の画面遷移の一例である。It is an example of the screen transition of a user registration process.

符号の説明Explanation of symbols

1:携帯電話、11:指示受付部、12:表示部、2:端末、21:指示受付部、22:表示部、3:認証PLサーバ、31:ユーザ登録受付部、32:パスワード要求受付部、33:ログイン要求受付部、4:認証BLサーバ、41:登録部、42:パスワード生成部、43:認証部、44:認証テーブル、5:業務サーバ、51:ログイン処理部、52:業務処理部、53:登録チェック部、54:ユーザテーブル   1: mobile phone, 11: instruction receiving unit, 12: display unit, 2: terminal, 21: instruction receiving unit, 22: display unit, 3: authentication PL server, 31: user registration receiving unit, 32: password request receiving unit 33: login request reception unit, 4: authentication BL server, 41: registration unit, 42: password generation unit, 43: authentication unit, 44: authentication table, 5: business server, 51: login processing unit, 52: business processing Part 53: Registration check part 54: User table

Claims (6)

複数の業務サーバのユーザを認証する認証システムであって、
第1の端末が有する端末識別情報と、前記業務サーバ内でユーザを識別するユーザIDと、ワンタイムパスワードとを対応付けて記憶する認証テーブルと、
前記第1の端末から、当該第1の端末の端末識別情報を含むパスワード要求を受信する第1の受信手段と、
前記端末識別情報のワンタイムパスワードを生成し、生成したワンタイムパスワードを当該端末識別情報に対応付けて前記認証テーブルに記憶するパスワード生成手段と、
前記生成したワンタイムパスワードを前記第1の端末に送信するパスワード送信手段と、
第2の端末からユーザIDおよびワンタイムパスワードを含むログイン要求を受信する第2の受信手段と、
受信したワンタイムパスワードと、前記認証テーブルに記憶された前記ユーザIDに対応するワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に前記ユーザIDを含む認証成功メッセージを前記業務サーバに送信する認証手段と、を有すること
を特徴とする認証システム。 An authentication system for authenticating users of multiple business servers,
An authentication table that stores terminal identification information of the first terminal, a user ID that identifies the user in the business server, and a one-time password in association with each other;
First receiving means for receiving a password request including terminal identification information of the first terminal from the first terminal;
Password generating means for generating a one-time password of the terminal identification information, and storing the generated one-time password in the authentication table in association with the terminal identification information;
Password transmitting means for transmitting the generated one-time password to the first terminal;
Second receiving means for receiving a login request including a user ID and a one-time password from a second terminal;
It is determined whether or not the received one-time password matches the one-time password corresponding to the user ID stored in the authentication table, and if the one-time password matches, an authentication success message including the user ID Authentication means for transmitting the message to the business server. 請求項1記載の認証システムであって、
前記第1の端末から、当該第1の端末の端末識別情報と、ユーザIDとを含むユーザ登録要求を受け付ける登録受付手段と、
前記ユーザ登録要求に含まれるユーザIDが、所定の業務サーバに登録済みの場合、前記登録受付手段が受け付けた端末識別情報およびユーザIDを前記認証テーブルに登録する登録手段と、を有すること
を特徴とする認証システム。 The authentication system according to claim 1,
Registration accepting means for accepting a user registration request including terminal identification information of the first terminal and a user ID from the first terminal;
Registration means for registering the terminal identification information and the user ID received by the registration receiving means in the authentication table when the user ID included in the user registration request has already been registered in a predetermined business server. Authentication system. 少なくとも1つの業務サーバと、認証装置とを有する認証システムであって、
前記認証装置は、
第1の端末が有する端末識別情報と、前記業務サーバ内でユーザを識別するユーザIDと、ワンタイムパスワードとを対応付けて記憶する認証テーブルと、
前記第1の端末から、当該第1の端末の端末識別情報を含むパスワード要求を受信する第1の受信手段と、
前記端末識別情報のワンタイムパスワードを生成し、生成したワンタイムパスワードを当該端末識別情報に対応付けて前記認証テーブルに記憶するパスワード生成手段と、
前記生成したワンタイムパスワードを前記第1の端末に送信するパスワード送信手段と、
第2の端末からユーザIDおよびワンタイムパスワードを含むログイン要求を受信する第2の受信手段と、
受信したワンタイムパスワードと、前記認証テーブルに記憶された前記ユーザIDに対応するワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に前記ユーザIDを含む認証成功メッセージを所定の業務サーバに送信する認証手段と、を有し、
前記業務サーバ各々は、
当該業務サーバを利用可能なユーザ情報が登録されたユーザテーブルと、
前記認証装置から前記認証成功メッセージを受信し、当該認証成功メッセージに含まれるユーザIDが前記ユーザテーブルに存在する場合、前記第2の端末のログイン要求を許可するログイン処理部と、を有すること
を特徴とする認証システム。 An authentication system having at least one business server and an authentication device,
The authentication device
An authentication table that stores terminal identification information of the first terminal, a user ID that identifies the user in the business server, and a one-time password in association with each other;
First receiving means for receiving a password request including terminal identification information of the first terminal from the first terminal;
Password generating means for generating a one-time password of the terminal identification information and storing the generated one-time password in the authentication table in association with the terminal identification information;
Password transmitting means for transmitting the generated one-time password to the first terminal;
Second receiving means for receiving a login request including a user ID and a one-time password from a second terminal;
It is determined whether or not the received one-time password matches the one-time password corresponding to the user ID stored in the authentication table, and if the one-time password matches, an authentication success message including the user ID And authentication means for transmitting to a predetermined business server,
Each of the business servers
A user table in which user information that can use the business server is registered;
A login processing unit that receives the authentication success message from the authentication device and permits a login request of the second terminal when the user ID included in the authentication success message is present in the user table; A featured authentication system. 少なくとも1つの業務サーバと、認証装置とを有する認証システムであって、
前記認証装置は、
第1の端末が有する端末識別情報と、前記業務サーバ内でユーザを識別するユーザIDと、ワンタイムパスワードとを対応付けて記憶する認証テーブルと、
前記第1の端末から、当該第1の端末の端末識別情報を含むパスワード要求を受信する第1の受信手段と、
前記端末識別情報のワンタイムパスワードを生成し、生成したワンタイムパスワードを当該端末識別情報に対応付けて前記認証テーブルに記憶するパスワード生成手段と、
前記生成したワンタイムパスワードを前記第1の端末に送信するパスワード送信手段と、
第2の端末からユーザIDおよびワンタイムパスワードを含むログイン要求を受信する第2の受信手段と、
受信したワンタイムパスワードと、前記認証テーブルに記憶された前記ユーザIDに対応するワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に前記ユーザIDを含む認証成功メッセージを前記第2の端末に送信する認証手段と、を有し、
前記業務サーバ各々は、
当該業務サーバを利用可能なユーザ情報が登録されたユーザテーブルと、
前記第2の端末から前記認証成功メッセージを受信し、当該認証成功メッセージに含まれるユーザIDが前記ユーザテーブルに存在する場合、前記第2の端末のログイン要求を許可するログイン処理部と、を有すること
を特徴とする認証システム。 An authentication system having at least one business server and an authentication device,
The authentication device
An authentication table for storing terminal identification information of the first terminal, a user ID for identifying a user in the business server, and a one-time password;
First receiving means for receiving a password request including terminal identification information of the first terminal from the first terminal;
Password generating means for generating a one-time password of the terminal identification information, and storing the generated one-time password in the authentication table in association with the terminal identification information;
Password transmitting means for transmitting the generated one-time password to the first terminal;
Second receiving means for receiving a login request including a user ID and a one-time password from a second terminal;
It is determined whether or not the received one-time password matches the one-time password corresponding to the user ID stored in the authentication table, and if the one-time password matches, an authentication success message including the user ID Authentication means for transmitting to the second terminal,
Each of the business servers
A user table in which user information that can use the business server is registered;
A login processing unit that receives the authentication success message from the second terminal and permits a login request of the second terminal when a user ID included in the authentication success message exists in the user table; An authentication system characterized by this. 認証システムが行う、複数の業務サーバのユーザを認証する認証方法であって、
前記認証システムは、
第1の端末が有する端末識別情報と、前記業務サーバ内でユーザを識別するユーザIDと、ワンタイムパスワードとを対応付けて記憶する認証テーブルと、処理部と、を有し、
前記処理部は、
前記第1の端末から、当該第1の端末の端末識別情報を含むパスワード要求を受信する第1の受信ステップと、
前記端末識別情報のワンタイムパスワードを生成し、生成したワンタイムパスワードを当該端末識別情報に対応付けて前記認証テーブルに記憶するパスワード生成ステップと、
前記生成したワンタイムパスワードを前記第1の端末に送信するパスワード送信ステップと、
第2の端末からユーザIDおよびワンタイムパスワードを含むログイン要求を受信する第2の受信ステップと、
受信したワンタイムパスワードと、前記認証テーブルに記憶された前記ユーザIDに対応するワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に前記ユーザIDを含む認証成功メッセージを前記業務サーバに送信する認証ステップと、を行うこと
を特徴とする認証方法。 An authentication method performed by an authentication system to authenticate users of a plurality of business servers,
The authentication system includes:
An authentication table that stores terminal identification information included in the first terminal, a user ID that identifies the user in the business server, and a one-time password, and a processing unit;
The processor is
A first receiving step of receiving a password request including terminal identification information of the first terminal from the first terminal;
Generating a one-time password of the terminal identification information, and storing the generated one-time password in the authentication table in association with the terminal identification information;
A password transmission step of transmitting the generated one-time password to the first terminal;
A second receiving step of receiving a login request including a user ID and a one-time password from a second terminal;
It is determined whether or not the received one-time password matches the one-time password corresponding to the user ID stored in the authentication table, and if the one-time password matches, an authentication success message including the user ID And an authentication step of transmitting to the business server. 認証システムが実行する、複数の業務サーバのユーザを認証する認証プログラムであって、
前記認証システムは、
第1の端末が有する端末識別情報と、前記業務サーバ内でユーザを識別するユーザIDと、ワンタイムパスワードとを対応付けて記憶する認証テーブルと、処理部と、を有し、
前記処理部に、
前記第1の端末から、当該第1の端末の端末識別情報を含むパスワード要求を受信する第1の受信ステップと、
前記端末識別情報のワンタイムパスワードを生成し、生成したワンタイムパスワードを当該端末識別情報に対応付けて前記認証テーブルに記憶するパスワード生成ステップと、
前記生成したワンタイムパスワードを前記第1の端末に送信するパスワード送信ステップと、
第2の端末からユーザIDおよびワンタイムパスワードを含むログイン要求を受信する第2の受信ステップと、
受信したワンタイムパスワードと、前記認証テーブルに記憶された前記ユーザIDに対応するワンタイムパスワードとが一致するか否かを判別し、ワンタイムパスワードが一致した場合に前記ユーザIDを含む認証成功メッセージを前記業務サーバに送信する認証ステップと、を実行させること
を特徴とする認証プログラム。 An authentication program executed by an authentication system for authenticating users of a plurality of business servers,
The authentication system includes:
An authentication table that stores terminal identification information included in the first terminal, a user ID that identifies the user in the business server, and a one-time password, and a processing unit;
In the processing unit,
A first receiving step of receiving a password request including terminal identification information of the first terminal from the first terminal;
Generating a one-time password of the terminal identification information, and storing the generated one-time password in the authentication table in association with the terminal identification information;
A password transmission step of transmitting the generated one-time password to the first terminal;
A second receiving step of receiving a login request including a user ID and a one-time password from a second terminal;
It is determined whether or not the received one-time password matches the one-time password corresponding to the user ID stored in the authentication table, and if the one-time password matches, an authentication success message including the user ID An authentication step of transmitting the message to the business server.
JP2005301198A 2005-10-17 2005-10-17 Authentication system, authentication method, and authentication program Expired - Fee Related JP4824986B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005301198A JP4824986B2 (en) 2005-10-17 2005-10-17 Authentication system, authentication method, and authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005301198A JP4824986B2 (en) 2005-10-17 2005-10-17 Authentication system, authentication method, and authentication program

Publications (2)

Publication Number Publication Date
JP2007109122A true JP2007109122A (en) 2007-04-26
JP4824986B2 JP4824986B2 (en) 2011-11-30

Family

ID=38034932

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005301198A Expired - Fee Related JP4824986B2 (en) 2005-10-17 2005-10-17 Authentication system, authentication method, and authentication program

Country Status (1)

Country Link
JP (1) JP4824986B2 (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008287461A (en) * 2007-05-17 2008-11-27 Nomura Research Institute Ltd Authentication apparatus, authentication system, authentication method, and authentication program
JP2009043066A (en) * 2007-08-09 2009-02-26 Sony Corp Information processing system, information processing apparatus and method, and program
JP2011521484A (en) * 2008-01-07 2011-07-21 トラストシード エスアーエス Signature method and apparatus
JP2011188421A (en) * 2010-03-11 2011-09-22 Kddi Corp System and method for input support for mobile terminal
JP2013143005A (en) * 2012-01-11 2013-07-22 Aos Technologies Kk Short message settlement system
JP2014002435A (en) * 2012-06-15 2014-01-09 Digital Forest Inc Authentication code issuing system and authentication system
JP2014508334A (en) * 2010-12-15 2014-04-03 シマンテック コーポレーション Automatic user authentication, online checkout and electronic payment via mobile communication device with imaging system
JP6080282B1 (en) * 2016-08-23 2017-02-15 株式会社ショーケース・ティービー Authentication processing system, authentication auxiliary server, and web display program
JP2017102842A (en) * 2015-12-04 2017-06-08 大日本印刷株式会社 Personal identification system, personal identification information output system, authentication server, personal identification method, personal identification information output method, and program

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000010927A (en) * 1998-06-25 2000-01-14 Nec Yonezawa Ltd Authentication system and device
JP2002032692A (en) * 2000-07-17 2002-01-31 Pioneer Electronic Corp Method for providing information service
JP2002259254A (en) * 2001-02-27 2002-09-13 Casio Soft Co Ltd System and method for authenticating terminal, information providing device and program
JP2003242115A (en) * 2002-02-15 2003-08-29 Matsushita Electric Ind Co Ltd Http certification method, and server device
JP2004013591A (en) * 2002-06-07 2004-01-15 Matsushita Electric Ind Co Ltd Service user authentication system in shared terminal
JP2004240637A (en) * 2003-02-05 2004-08-26 Toukei Computer Co Ltd Password authentication system
JP2005149239A (en) * 2003-11-17 2005-06-09 Nec Corp User authentication system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000010927A (en) * 1998-06-25 2000-01-14 Nec Yonezawa Ltd Authentication system and device
JP2002032692A (en) * 2000-07-17 2002-01-31 Pioneer Electronic Corp Method for providing information service
JP2002259254A (en) * 2001-02-27 2002-09-13 Casio Soft Co Ltd System and method for authenticating terminal, information providing device and program
JP2003242115A (en) * 2002-02-15 2003-08-29 Matsushita Electric Ind Co Ltd Http certification method, and server device
JP2004013591A (en) * 2002-06-07 2004-01-15 Matsushita Electric Ind Co Ltd Service user authentication system in shared terminal
JP2004240637A (en) * 2003-02-05 2004-08-26 Toukei Computer Co Ltd Password authentication system
JP2005149239A (en) * 2003-11-17 2005-06-09 Nec Corp User authentication system

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008287461A (en) * 2007-05-17 2008-11-27 Nomura Research Institute Ltd Authentication apparatus, authentication system, authentication method, and authentication program
JP2009043066A (en) * 2007-08-09 2009-02-26 Sony Corp Information processing system, information processing apparatus and method, and program
JP2011521484A (en) * 2008-01-07 2011-07-21 トラストシード エスアーエス Signature method and apparatus
JP2014078964A (en) * 2008-01-07 2014-05-01 Trustseed Sas Signing method and signing device
JP2016048930A (en) * 2008-01-07 2016-04-07 トラストシード エスアーエス Signature method and device
JP2011188421A (en) * 2010-03-11 2011-09-22 Kddi Corp System and method for input support for mobile terminal
JP2014508334A (en) * 2010-12-15 2014-04-03 シマンテック コーポレーション Automatic user authentication, online checkout and electronic payment via mobile communication device with imaging system
JP2013143005A (en) * 2012-01-11 2013-07-22 Aos Technologies Kk Short message settlement system
JP2014002435A (en) * 2012-06-15 2014-01-09 Digital Forest Inc Authentication code issuing system and authentication system
JP2017102842A (en) * 2015-12-04 2017-06-08 大日本印刷株式会社 Personal identification system, personal identification information output system, authentication server, personal identification method, personal identification information output method, and program
JP6080282B1 (en) * 2016-08-23 2017-02-15 株式会社ショーケース・ティービー Authentication processing system, authentication auxiliary server, and web display program
JP2018032150A (en) * 2016-08-23 2018-03-01 株式会社ショーケース・ティービー Authentication processing system, authentication auxiliary server, and web display program

Also Published As

Publication number Publication date
JP4824986B2 (en) 2011-11-30

Similar Documents

Publication Publication Date Title
JP4889395B2 (en) Authentication system, authentication method, and authentication program
JP4755866B2 (en) Authentication system, authentication server, authentication method, and authentication program
JP4824986B2 (en) Authentication system, authentication method, and authentication program
US9923876B2 (en) Secure randomized input
US8510811B2 (en) Network transaction verification and authentication
KR101148627B1 (en) Method and apparatus for preventing phishing attacks
KR101019458B1 (en) Extended one­time password method and apparatus
US8666904B2 (en) System and method for trusted embedded user interface for secure payments
US8495720B2 (en) Method and system for providing multifactor authentication
JP5462021B2 (en) Authentication system, authentication method, and authentication program
US8051465B1 (en) Mitigating forgery of electronic submissions
JP4960738B2 (en) Authentication system, authentication method, and authentication program
JP4913624B2 (en) Authentication system and authentication method
JP7202500B1 (en) Information processing device, information processing method, and program
JP5175490B2 (en) Authentication device, authentication system, authentication method, and authentication program
JP5317795B2 (en) Authentication system and authentication method
JP4914725B2 (en) Authentication system, authentication program
JP2011164837A (en) Authentication system and authentication method
JP7247416B1 (en) Information processing device, information processing method, and program
JP7271779B1 (en) Information processing device, information processing method, and program
KR20070076576A (en) Processing method for approving payment
KR20070076575A (en) Method for processing user authentication
KR20070077481A (en) Process server for relaying user authentication
KR20070077483A (en) Payment processing method
KR20070076578A (en) Program recording medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081007

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110520

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110524

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110725

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110830

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110909

R150 Certificate of patent or registration of utility model

Ref document number: 4824986

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140916

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees