JP2008040908A - シード配布システム、携帯端末、シード配布プログラムおよびシード配布方法 - Google Patents
シード配布システム、携帯端末、シード配布プログラムおよびシード配布方法 Download PDFInfo
- Publication number
- JP2008040908A JP2008040908A JP2006216177A JP2006216177A JP2008040908A JP 2008040908 A JP2008040908 A JP 2008040908A JP 2006216177 A JP2006216177 A JP 2006216177A JP 2006216177 A JP2006216177 A JP 2006216177A JP 2008040908 A JP2008040908 A JP 2008040908A
- Authority
- JP
- Japan
- Prior art keywords
- seed
- user
- passcode
- generating
- generated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【解決手段】シード配布システムは、パスコード生成のための元となるシードを生成し、生成されたシードをユーザと対応付け、配布サーバに生成されたシードを記憶し、配布サーバにアクセスするための情報を対応付けられているユーザが所有する携帯端末に送信し、携帯端末はその情報を受信し、受信した情報に応じて、前記配布サーバへアクセスし、対応するシードを取得し、取得したシードを、内蔵している耐タンパー性を有しているICカードに格納する。
【選択図】図1
Description
認証のために、正規の利用者であることを証明するパスワードが利用される。パスワードとして、ワンタイムパスワード(使い捨てパスワード)と呼ばれるものがある。これは、使用者側が携帯可能な小型装置(ワンタイムパスワード生成器、一般的にはトークンと呼ばれる)を所持し、その小型装置には例えば60秒ごとに切り替わる6桁のパスワードが表示される。ログインするシステム側にも同様のプログラムでパスワードが共有される。もし、ネットワーク経由でパスワードが盗み見られたとしても、パスワードがすぐに変わる(パスワードの使い捨てができる)ので高い安全性を確保することができる。
この一定秒数ごとに切り替わるパスワードは、シード(シード、種、乱数の素)を元にしてある一定のアルゴリズムによって生成される。
しかしながら、前述した従来の技術では、シードの安全な配布、特に通信回線を介した安全な配布ができないという問題点があった。
本発明は、このような従来の技術が有する問題点に着目してなされたもので、操作者にとって簡便な操作で、シードの安全な配布をすることができるようにしたシード配布システム、操作者にとって簡便な操作で、シードの安全な配布を受けることができるようにした携帯端末、操作者にとって簡便な操作で、コンピュータにシードの安全な配布をさせることができるようにしたシード配布プログラムおよび操作者にとって簡便な操作で、シードの安全な配布をすることができるようにしたシード配布方法を提供することを目的としている。
[1] パスコード生成のための元となるシードを生成するシード生成手段と、
前記シード生成手段によって生成されたシードをユーザと対応付ける認証管理手段と、
前記シード生成手段によって生成されたシードを耐タンパー性を有しているICカードに記憶させるシードインストール手段
を具備することを特徴とするシード配布システム。
前記シード生成手段によって生成されたシードを耐タンパー性を有しているICカードに記憶させるシードインストール手段と、
前記シードインストール手段によって記憶されたシードをユーザと対応付ける認証管理手段
を具備することを特徴とするシード配布システム。
前記シード生成手段によって生成されたシードをユーザと対応付ける認証管理手段と、
前記シード生成手段によって生成されたシードを記憶する配布サーバと、
前記配布サーバにアクセスするための情報を前記認証管理手段によって対応付けられているユーザが所有する携帯端末に送信する送信手段と、
前記送信手段からの情報を受信する携帯端末内の受信手段と、
前記受信手段によって受信した情報に応じて、前記配布サーバへアクセスし、対応するシードを取得する携帯端末内のシード取得手段と、
前記シード取得手段によって取得したシードを、内蔵している耐タンパー性を有しているICカードに格納する携帯端末内のICカードインタフェース
を具備することを特徴とするシード配布システム。
前記シード生成手段によって生成されたシードをユーザと対応付ける認証管理手段と、
前記シード生成手段によって生成されたシードを記憶する配布サーバと、
前記配布サーバにアクセスするための情報を前記認証管理手段によって対応付けられているユーザが所有する携帯端末に送信する送信手段と、
を具備することを特徴とするシード配布システム。
前記シード生成手段によって生成されたシードをユーザと対応付ける認証管理手段と、
前記シード生成手段によって生成されたシードを前記認証管理手段によって対応付けられているユーザが所有する携帯端末に送信する送信手段と、
前記送信手段からのシードを受信する携帯端末内の受信手段と、
前記受信手段によって受信したシードを、内蔵している耐タンパー性を有しているICカードに格納する携帯端末内のICカードインタフェース
を具備することを特徴とするシード配布システム。
ことを特徴とする[3],[4],[5]または[6]に記載のシード配布システム。
前記受信手段によって受信した情報に応じて、前記配布サーバへアクセスし、対応するシードを取得するシード取得手段と、
前記シード取得手段によって取得したシードを、ICカードに格納するICカードインタフェース
を具備することを特徴とする携帯端末。
ことを特徴とする[8]または[9]に記載の携帯端末。
パスコード生成のための元となるシードを生成するシード生成機能と、
前記シード生成機能によって生成されたシードをユーザと対応付ける認証管理機能と、
前記シード生成機能によって生成されたシードを配布サーバに記憶する配布サーバ機能と、
前記配布サーバにアクセスするための情報を前記認証管理機能によって対応付けられているユーザが所有する携帯端末に送信する送信機能
を実現させることを特徴とするシード配布プログラム。
前記生成されたシードをユーザと対応付け、
前記生成されたシードを配布サーバに記憶し、
前記配布サーバにアクセスするための情報を前記対応付けられているユーザが所有する携帯端末に送信する
ことを特徴とするシード配布方法。
本発明におけるシード配布システム、シード配布プログラムおよびシード配布方法は、パスコード生成のための元となるシードを生成し、前記生成されたシードをユーザと対応付け、前記生成されたシードを配布サーバに記憶し、前記配布サーバにアクセスするための情報を前記対応付けられているユーザが所有する携帯端末に送信する。これによって、操作者にとって簡便な操作で、シードの安全な配布ができる。また、シードを生成し、前記生成されたシードをユーザが所有する携帯端末に送信し、その後に前記ユーザと前記シードとを対応付けることもできる。
本発明における携帯端末は、パスコード生成のための元となるシードを記憶する配布サーバへアクセスするための情報を外部から受信し、前記受信した情報に応じて、前記配布サーバへアクセスし、対応するシードを取得し、前記取得したシードを、ICカードに格納する。これによって、操作者にとって簡便な操作で、シードの安全な配布を受けることができる。
各図は本発明の実施の形態を示している。図1は、本発明の一実施の形態の概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはプログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。したがって、本実施の形態は、プログラム、システムおよび方法の説明をも兼ねている。また、モジュールは機能にほぼ一対一に対応しているが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散または並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続を含む。
また、システムとは、複数のコンピュータ、ハードウェア、装置等がネットワーク等で接続されて構成されるほか、1つのコンピュータによって実現される場合も含まれる。
携帯電話10は、USIMカード20を内蔵できるものであって、図1に示すように、通信モジュール110、PIN入力モジュール120、シード属性取得モジュール130、時間情報取得モジュール140、USIMカードインタフェース150、ブラウザ190、シード提供モジュール115、パスコード取得モジュール125、メールクライアント135とを備えており、各モジュール間でデータの授受を行い、他のモジュールの呼出等の制御等を行う。
一方、USIMカード20は、パスコード生成モジュール210と、シードDB240を備えている。USIMカード20を含めて携帯電話10と称する場合もある。USIMカード20は、耐タンパー性を有している。つまり偽造変造等の改ざん防止、電子データの複製禁止等をするための技術が施されている。また、USIMカード20は、単なるメモリとしてだけではなく、CPUコア、高速通信をサポートするDMAC、各種のコプロセッサを搭載しており、OSを有しており、各種のアプリケーションの実行が可能である。これによって、ワンタイムパスワード生成のトークンとしての役割を担うことが可能となり、ひいては携帯電話10全体を高機能なトークンとして用いることができるようになる。
また、配布サーバ75は、認証管理サーバ70内の認証管理モジュール710と通信回線を介して接続しており、データの授受を行う。
そして、携帯電話10、認証管理サーバ70、配布サーバ75は、インターネット又は公衆回線80を介してそれぞれ接続されている。これによって、互いにデータの授受を行うことができる。なお、インターネット又は公衆回線80は、インターネット、公衆回線に限定されるものではなく、有線、無線を問わず他の機器と接続し通信が行えるようにする通信網であればよい。
PIN入力モジュール120は、本人を識別できる符号(個人識別番号)であるPINを操作者の操作によって入力する。入力されたPINをUSIMカードインタフェース150を介してUSIMカード20へ渡し、そのPINは、パスコード生成モジュール210によって生成されたトークンコードとPINとの合成を行い、パスコードを生成する際に用いられる。なお、PINとは、Personal Identification Numberの略であり、操作者が設定している暗証番号(例えば数字4桁)であり、携帯電話10を用いたサービスにおいてそのサービスを利用する本人を識別するために用いる。
時間情報取得モジュール140は、携帯電話10の時計から時間情報を取得する。時間情報は、ワンタイムパスワード方式によってトークンコードを生成するために用いられるものである。認証を行うシステムと同じトークンコードを生成するために必要となる。
パスコード取得モジュール125は、USIMカードインタフェース150を介して、USIMカード20にパスコードを生成するように指示し、生成されたパスコードを取得する。
メールクライアント135は、通信モジュール110を介して、配布サーバ75または認証管理サーバ70からシードが含まれている電子メールを受け取る。
ブラウザ190は、通信モジュール110を介して外部のシステムと接続し、その接続先がWebサイトである場合には、そのページの内容を携帯電話10のディスプレイ1210に表示する。
USIMカードインタフェース150は、携帯電話10とUSIMカード20とを接続し、USIMカード20との入出力を行う。
パスコード生成モジュール210は、携帯電話10のUSIMカードインタフェース150を介してシード提供モジュール115からシードまたはシードに関する属性情報を受け取り、シードDB240に格納する機能を有する。また、携帯電話10内のモジュールに対して、シードに関する属性情報を提供する機能を有している。そして、複数のシードとシードに関する属性情報を管理できる機能を有している。
また、パスコード生成モジュール210は、PINの取得、および合成を行う機能も有している。携帯電話10のPIN入力モジュール120から、ユーザが入力したPINを取得する。次に、そのPINを使用して、パスコード生成モジュール210内で生成したトークンコードと合成してパスコードを生成する。そのパスコードを、携帯電話10のパスコード取得モジュール125に対して提供する。また、パスコードの生成に使用したPINをUSIMカード20内から削除することも行う。
シードDB240は、パスコード生成モジュール210によって取得したシードまたはシードに関する属性情報を複数記憶する。シードが複数ある場合は、どのシードを選ぶのかを操作者に選択してもらう。そのために、パスコード生成モジュール210は、その複数のシードをUSIMカードインタフェース150を介してパスコード取得モジュール125に提供し、パスコード取得モジュール125は、その複数のシードを操作者に対して表示し、選択を促す。選択されたシードは、USIMカードインタフェース150を介してUSIMカード20へ渡される。
また、シードDB240の記憶容量にもよるが、シードに関する属性情報(シード以外)はUSIMカード20以外のメモリに記憶し、シードDB240内にはシードのみを記憶するようにしてもよい。その際、シードDB240内のシードと外部のメモリ内のそれに対応するシードに関する属性情報(シード以外)は関係付けられており、一体とした検索等が可能である。
また、認証管理モジュール710は、配布サーバ75と通信回線を介して接続されており、シード生成モジュール720が生成したシードを配布サーバ75に対して送信し、そのシードを配布サーバ75に記憶させる。
認証管理サーバ70内のシードインストールモジュール730は、シード生成モジュール720によって生成されたシードを耐タンパー性を有しているUSIMカード20に記憶させる。このシードインストールモジュール730は、認証管理サーバ70が直接有していなくても、インターネット又は公衆回線80を介して、携帯電話10がUSIMカード20にシードを記憶させてもよい。
認証管理サーバ70内の通信モジュール740は、インターネット又は公衆回線80を介して携帯電話10または配布サーバ75と接続し、データの授受を行う。例えば、配布サーバ75にアクセスするための情報(例えば、シードにアクセスできるURL)を、認証管理モジュール710によって対応付けられているユーザが所有する携帯電話10に送信する。これによって、ユーザは携帯電話10を用いて配布サーバ75に接続し、対応するシードを取得することができるようになる。また、シード生成モジュール720によって生成されたシードを、認証管理モジュール710によって対応付けられているユーザが所有する携帯電話10に送信する。これによって、ユーザは携帯電話10を用いて、対応するシードを取得することができるようになる。
なお、シードを配布サーバ75に記憶させることなく、シードを配布することも可能である。
また、ここで「配布サーバ75に記憶させる」とは、シードを配布サーバ75内の記憶領域に保管することである。
配布サーバ75にシードを記憶させることは、認証管理サーバ70から配布サーバ75へシードを送信する処理と配布サーバ75から携帯電話10へシードを送信する処理との間に、時間的な間がある場合などに必要になる。また、認証管理サーバ70から配布サーバ75へシードを送信する処理と配布サーバ75から携帯電話10へシードを送信する処理をシームレスに行えば、配布サーバ75にシードを記憶させない方式も可能である。
ユーザ認証は、次のように行う。
(1)操作者による携帯電話10を用いたアクセスにより、リモートアクセスサーバ50またはWebサーバ60が携帯電話10にパスコードを要求する。
(2)操作者により携帯電話10から送信されたパスコードを、リモートアクセスサーバ50またはWebサーバ60は認証管理サーバ70に送信する。
(3)認証管理サーバ70がユーザ認証を実施する。
(4)ユーザ認証の結果により、ユーザアクセスを許可または不許可とする。
また、携帯電話10はUSIMカード20を内蔵することができる。携帯電話10のバッテリーが収納されている箇所の近くにUSIMカード20のスロットがあり、そこに携帯電話10使用時は格納されている。バッテリーを取り外さないと抜き差しできないようになっている。これは、USIMカード20内のデータの破壊を防ぐために脱着時には必ず電源を切る必要があるためである。
なお、ここで説明した携帯電話10のハードウェア構成例は、1つの装置例を示すものであり、この構成に限らず、本実施の形態による処理を実行可能な構成であればよい。例えば、USIMカード20のスロットは、バッテリーが収納されている箇所の近くでなくてもよい。
アプリケーション160は、携帯電話10を用いた各種のアプリケーションがあるが、ここではパスコードを必要とするような高度なセキュリティを必要とするものである。例えば、銀行の口座管理等のアプリケーションがある。
GUI170は、アプリケーション160からの指示に応じて、ディスプレイ1210等への入出力を制御する。ミドルウェア180とは独立しており、シードの属性情報であるスキン情報ファイルに応じて、ユーザインタフェースのスキンを変更する機能を有する。
ミドルウェア180は、主にUSIMカード20とのインタフェースの機能を有する。アプリケーション160、GUI170とは独立している。携帯電話10内のアプリケーション160からミドルウェア180を使用できる。USIMカード20内のモジュールは、携帯電話10に対してミドルウェア180からのみアクセス可能であり、逆に携帯電話10内のアプリケーション160から、USIMカード20内のモジュールを直接呼び出すことを制限する。また、携帯電話10内のセキュアクロックから時間情報を取得し、USIMカード20内のモジュールへ時間情報を提供する機能を有する。
USIMカード20内のモジュール構成は、図1で説明した通りであるが、シードDB240はパスコード生成モジュール210によって書き込み、読み込みが行われる。
PC用GUI31は、図4で説明したGUI170と同様である。つまり、他のアプリケーションからの指示に応じて、PC30の画面等への入出力を制御する。PC用ミドルウェア32とは独立しており、シードの属性情報であるスキン情報ファイルに応じて、ユーザインタフェースのスキンを変更する機能を有する。
PC用ミドルウェア32は、携帯電話10内のミドルウェア180と連携して、USIMカード20内で生成されたトークンコードやパスコードを受け取る。PC用GUI31とは独立している。
携帯電話10、USIMカード20内のソフトウェア構成は図4と同じである。なお、携帯電話10内のアプリケーション160、GUI170は、図5には記載されていないが、実装されていてもよく、PC30が接続された場合は、機能しないようにしておくこともできる。
図6を用いて、携帯電話10にてシードを選択する場合を説明する。
図6(A)は、携帯電話10のディスプレイ1210の表示例であり、携帯電話トークンアプリケーションを起動した場合のものである。サブディスプレイ211に、携帯電話の電波状態、バッテリー状態等をモニターする。メインディスプレイ212に、起動された最初の画面を表示する。メインディスプレイ212内にはパスコード生成ボタン213、終了ボタン214を表示し、パスコード生成ボタン213が選択された場合、図6(B)の状態になる。終了ボタン214が選択された場合は、このアプリケーションは終了する。
そのために、まず、パスコード取得モジュール125は、USIMカードインタフェース150を介してUSIMカード20に対してパスコードを生成するように指示する。USIMカード20内のパスコード生成モジュール210は、その指示を受けて、シードDB240を検索し、シードが複数あることを検知する。パスコード生成モジュール210は、どのシードを用いるべきかをUSIMカードインタフェース150を介して、パスコード取得モジュール125に尋ねる。その際、複数のシードの属性情報をパスコード取得モジュール125へ渡す。パスコード取得モジュール125は、渡された複数のシードの属性情報のうち、どれを用いるべきかを操作者に選択してもらうために、シード選択欄215に表示する。パスコード取得モジュール125は、選択されたシードの属性情報をパスコード生成モジュール210に渡す。パスコード生成モジュール210は、現在の時刻情報を時間情報取得モジュール140から取得し、選択されたシードの属性情報に対応するシードと現在の時刻情報とからトークンコードを生成する。次に、パスコード生成モジュール210がトークンコードとPINとの合成を行って、パスコードを生成する。
図6(D)は、携帯電話10の画面にトークンコード(パスコード)を表示する場面である。つまり、パスコード生成モジュール210は、生成したパスコードを、USIMカードインタフェース150を介してパスコード取得モジュール125へと渡す。パスコード取得モジュール125は、携帯電話10のディスプレイ1210内のパスコード表示欄216にそのパスコードを表示する。操作者は、表示されたパスコードを用いて、そのパスコードが必要なシステムにアクセスを行う。
USIMカード20内に格納されているシードのうち、1つでも有効期限切れが近づいているものがあれば、トークンアプリケーション起動時にその旨のアラートを表示する。アラート表示は、図7の通りである。つまり、携帯電話10のディスプレイ1210に有効期限メッセージ表示224が表示され、その中に例えば「シード01の有効期限は30日後です」という旨のメッセージが表示される。この表示には、毎回このようなメッセージが出るのはわずらわしいと感じる操作者のために、次回からメッセージを表示しないように指定できるトグルスイッチ225がある。更新処理を行う場合、操作者はOKボタン226を選択する。終了ボタン222が選択された場合は、トークンアプリケーションを終了させ、メニューボタン223が選択された場合は、その場面で選択できるメニューの一覧を表示する。
また、有効期限が切れる何日前からアラートを表示させるかは、ユーザにより任意の値に変更することが可能である。デフォルト値として一定の日数(例えば30日前)を設定することもできる。また、アラートの表示自体の有無を操作者により選択できる。
シード更新アラート処理によって、シードの更新が近いことを操作者に知らせることができ、本実施の形態をより使いやすいものにしている。
トークンアプリケーションはUSIMカード20に格納されているシードが有効期限切れの際にシード更新を実施できる機能を有する。
シードが有効期限切れである場合は、その旨のアラート表示を行う。つまり、図8(A)のような表示を行う。携帯電話10のディスプレイ1210に有効期限切れメッセージ表示227を表示し、期限切れである旨を表示する。そして、更新の申請を行うか否かを操作者に選択させるOKボタン228、キャンセルボタン229を表示する。OKボタン228が選択されると、図8(B)のような画面表示にする。シード更新ページ接続メッセージ表示2291を表示し、そのシードの新しいものを入手できるWebページへ接続を促すメッセージを表示する。そして、接続を行うか否かを操作者に選択させるOKボタン231、キャンセルボタン232を表示する。OKボタン231が選択されると、図8(C)のように、そのWebページに接続し、表示を行う。シード更新WebページのURLは、シードDB240内にシードの属性情報として格納されており、これを用いる。
これによって、耐タンパー性を有しているUSIMカード20においてもシードの更新処理を行うことができるようになり、よりセキュリティ性を向上させることができる。
図9、図10を用いて、携帯電話10を用いたトークンを利用するにあたって、ユーザからの利用申請受領から携帯電話10へのシードセットアップまでのフローを説明する。
図9を用いて、事前に新規ユーザをアサインして、そのユーザを追加する際のシステムの動作を説明する。
ステップ1Aでは、プログラムであるトークンアプリケーション21を携帯電話10にインストールする。ただし、このインストールは必ずしも最初に行う必要はなく、ユーザが携帯電話10を用いたトークンを利用するまでに行えばよい。したがって、携帯電話10の工場出荷時に予めインストールしておいてもよいし、ユーザが必要とした際にWebサイト等からダウンロードするようにしてもよい。
ステップ2Aでは、ユーザが本システムの利用申請を管理者に対して行う。
ステップ3Aでは、管理者は認証管理サーバ70を用いて、そのユーザを新規作成し、対応するシード71を生成する。この際に、ユーザとシード71を対応付ける。具体的には、ユーザとシード71を1対1に対応付けるテーブルを生成する。
ステップ4Aでは、認証管理サーバ70からインターネット又は公衆回線80を介して、シード71を携帯電話10内のUSIMカード20にインストールする。これによって、ユーザは携帯電話10を用いてトークンを利用することができるようになる。
ステップ1Bでは、プログラムであるトークンアプリケーション21を携帯電話10にインストールする。ただし、このインストールは必ずしも最初に行う必要はなく、ユーザが携帯電話10を用いたトークンを利用するまでに行えばよい。したがって、携帯電話10の工場出荷時に予めインストールしておいてもよいし、ユーザが必要とした際にWebサイト等からダウンロードするようにしてもよい。
ステップ2Bでは、管理者は認証管理サーバ70を用いてシード71を生成する。
ステップ3Bでは、認証管理サーバ70からインターネット又は公衆回線80を介して、シード71を携帯電話10内のUSIMカード20にインストールする。これによって、ユーザは携帯電話10を用いてトークンを利用することができるようになる。
ステップ4Bでは、ユーザが本システムの利用申請を管理者に対して行う。
ステップ5Bでは、管理者は認証管理サーバ70を用いて、そのユーザを新規作成し、先に生成したシード71を対応付ける。具体的には、ユーザとシード71を1対1に対応付けるテーブルを生成する。
ステップ1Cでは、なんらかのユーザ失効の要因が発生し、それがトリガーとなる。ここで、ユーザ失効の要因としては、シードが盗聴されてしまい、そのシードを用いることは危険性がある場合、ユーザが退会、退職して携帯電話10を用いたトークンを利用する必要がなくなった場合、携帯電話10またはUSIMカード20の紛失の場合等である。
ステップ2Cでは、認証管理サーバ70でユーザ失効の処理を行う。具体的には、例えば認証管理モジュール710で管理しているユーザとシードを対応付けているテーブルに失効を示すフラグを記憶させる等である。
ステップ1Dでは、シードライセンス期限切れが生じる。ユーザはそれを管理者側に通知し、継続して利用できるよう申請する。
ステップ2Dでは、管理者側では認証管理サーバ70を用いて、ユーザのシードを更新する。つまり、新しいシードを生成し、認証管理モジュール710はそのシードをユーザに対応させる。
ステップ3Dでは、認証管理サーバ70からインターネット又は公衆回線80を介して、シード71を携帯電話10内のUSIMカード20にインストールする。これによって、ユーザは携帯電話10を用いてトークンを続けて利用することができるようになる。
図13を用いて、携帯電話10を用いて利用申請を行う際のシステムの動作を説明する。
ステップ1Eでは、ユーザは携帯電話10を用いてWebサイトに接続し、利用の申請を行う。
ステップ2Eでは、携帯電話網内の通信事業者システムは、ユーザからのアクセスに際し、HTTPヘッダにそのユーザの識別子を埋め込む。そして、インターネット又は公衆回線80を介してアクセス先のWebサイトに対して、そのHTTP通信を行う。
ステップ3Eでは、管理者側のWebサイトを管理している申請受付サーバが、インターネット又は公衆回線80を介してユーザからの申請を受け付ける。その申請受付サーバは、ユーザがステップ1Eの申請時に提供した情報またはステップ2Eで付与されたHTTPヘッダ内のユーザの識別子を用いて、ユーザを特定し、申請を受け付ける。
図14を用いて、USIMを配布することによってシードの配布を行う際(管理者シード発行)のシステムの動作を説明する。
ステップ1Gでは、認証管理サーバ70でユーザを新規に作成する。その際、そのユーザに対応するシード71も生成する。
ステップ2Gでは、生成されたシード71を通信事業者側に送付する。
ステップ3Gでは、通信事業者側では、送付されたシード71をUSIMカード20にインストールする。
ステップ4Gでは、シード71がインスト−ルされたUSIMカード20を管理者側に提供する。
ステップ5Gでは、管理者側からシード71がインスト−ルされたUSIMカード20をユーザに配布する。
ステップ1Hでは、通信事業者側でシード71を生成し、そのシード71をUSIMカード20にインストールする。
ステップ2Hでは、シード71がインストールされたUSIMカード20を管理者側に提供する。
ステップ3Hでは、管理者側では認証管理サーバ70を用いて、既にUSIMカード20にインストールされたシード71をユーザに割り当てる。
ステップ4Hでは、シード71がプリインストールされたUSIMカード20を該当するユーザに配布する。
ステップ1Jでは、管理者側で認証管理サーバ70を用いて、ユーザを新規に作成する。その際、シード71を生成し、ユーザに対応付ける。
ステップ2Jでは、認証管理サーバ70は生成したシード71を配布サーバ75に送信し、配布サーバ75内の所定の場所に格納する。格納したアドレス(URL)を認証管理サーバ70に通知する。または認証管理サーバ70が予め指定したアドレス(URL)にシード71を格納する。
ステップ3Jでは、認証管理サーバ70より通知サーバを介して、ユーザにステップ2Jでシード71を格納したアドレス(URL)およびアクセスする際に必要なユーザ識別子、パスワードを通知する。
ステップ4Jでは、ユーザは携帯電話10を用いて、配布サーバ75に接続し該当するシード71を携帯電話10にダウンロードする。
ステップ1Kでは、管理者側で認証管理サーバ70を用いて、ユーザを新規に作成する。その際、シード71を生成し、ユーザに対応付ける。
ステップ2Kでは、生成したシード71を、ユーザを特定する携帯電話10のメールアドレス宛てに電子メールで送付する。
ステップ3Kでは、ユーザは受信したシード71を携帯電話10のUSIMカード20にセットアップする。
なお、前記実施の形態では、パスコードは、トークンコードとPINとの合成によって生成されていたが、パスコードはトークンコードそのままでもよく、その場合はトークンコードであっても認証可能である。
なお、前記実施の形態では、携帯電話10を用いた通信サービスを示したが、それら以外にもデータ通信カード、PHS、ノート型PCやPDA等のデータ通信端末、ゲーム端末、ナビゲーションシステム、自動車電話、ポケットベル(登録商標)等の通信携帯端末でもよい。
前記実施の形態においては、配布サーバ75のアドレス情報としてURLを用いて説明したが、これに限る必要はなく、シードまたはシードに関する情報の存在場所を示すアドレスであればよい。
前記実施の形態においては、ワンタイムパスワードとして、一定時間ごとに有効なパスワードが更新される時刻同期型を用いて説明したが、クライアントが認証を行う度に有効なパスワードが更新されるカウンタ同期型を採用することもできる。また、その他の変則的なワンタイムパスワード発生方法を採用することもできる。例えば、サービス利用者が取引内容をサービス提供者側に送付した時点で、その要求された取引に対してパスワードを発生するワンタイムパスワード発生方法(一般的には、「取引連動型認証」と呼ばれている)であってもよい。
コンピュータに、
パスコード生成のための元となるシードを生成するシード生成機能と、
前記シード生成機能によって生成されたシードをユーザと対応付ける認証管理機能と、
前記シード生成機能によって生成されたシードを配布サーバに記憶する配布サーバ機能と、
前記配布サーバにアクセスするための情報を前記認証管理機能によって対応付けられているユーザが所有する携帯端末に送信する送信機能
を実現させることを特徴とするシード配布プログラムを記録したコンピュータ読み取り可能な記録媒体。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
そして、上記のプログラムまたはその一部は、上記記録媒体に記録して保存や流通等させることが可能である。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにはこれらの組合せ等の伝送媒体を用いて伝送することが可能であり、また、搬送波に乗せて搬送することも可能である。
さらに、上記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。
20…USIMカード
21…トークンアプリケーション
30…PC
31…PC用GUI
32…PC用ミドルウェア
50…リモートアクセスサーバ
60…Webサーバ
70…認証管理サーバ
71…シード
75…配布サーバ
80…インターネット又は公衆回線
110…通信モジュール
115…シード提供モジュール
120…PIN入力モジュール
125…パスコード取得モジュール
130…シード属性取得モジュール
135…メールクライアント
140…時間情報取得モジュール
150…USIMカードインタフェース
160…アプリケーション
170…GUI
180…ミドルウェア
190…ブラウザ
210…パスコード生成モジュール
240…シードDB
710…認証管理モジュール
720…シード生成モジュール
730…シードインストールモジュール
740…通信モジュール
1210…ディスプレイ
1220…キー
1230…アンテナ
1240…スピーカ
1250…マイク
Claims (12)
- パスコード生成のための元となるシードを生成するシード生成手段と、
前記シード生成手段によって生成されたシードをユーザと対応付ける認証管理手段と、
前記シード生成手段によって生成されたシードを耐タンパー性を有しているICカードに記憶させるシードインストール手段
を具備することを特徴とするシード配布システム。 - パスコード生成のための元となるシードを生成するシード生成手段と、
前記シード生成手段によって生成されたシードを耐タンパー性を有しているICカードに記憶させるシードインストール手段と、
前記シードインストール手段によって記憶されたシードをユーザと対応付ける認証管理手段
を具備することを特徴とするシード配布システム。 - パスコード生成のための元となるシードを生成するシード生成手段と、
前記シード生成手段によって生成されたシードをユーザと対応付ける認証管理手段と、
前記シード生成手段によって生成されたシードを記憶する配布サーバと、
前記配布サーバにアクセスするための情報を前記認証管理手段によって対応付けられているユーザが所有する携帯端末に送信する送信手段と、
前記送信手段からの情報を受信する携帯端末内の受信手段と、
前記受信手段によって受信した情報に応じて、前記配布サーバへアクセスし、対応するシードを取得する携帯端末内のシード取得手段と、
前記シード取得手段によって取得したシードを、内蔵している耐タンパー性を有しているICカードに格納する携帯端末内のICカードインタフェース
を具備することを特徴とするシード配布システム。 - パスコード生成のための元となるシードを生成するシード生成手段と、
前記シード生成手段によって生成されたシードをユーザと対応付ける認証管理手段と、
前記シード生成手段によって生成されたシードを記憶する配布サーバと、
前記配布サーバにアクセスするための情報を前記認証管理手段によって対応付けられているユーザが所有する携帯端末に送信する送信手段と、
を具備することを特徴とするシード配布システム。 - パスコード生成のための元となるシードを生成するシード生成手段と、
前記シード生成手段によって生成されたシードをユーザと対応付ける認証管理手段と、
前記シード生成手段によって生成されたシードを前記認証管理手段によって対応付けられているユーザが所有する携帯端末に送信する送信手段と、
前記送信手段からのシードを受信する携帯端末内の受信手段と、
前記受信手段によって受信したシードを、内蔵している耐タンパー性を有しているICカードに格納する携帯端末内のICカードインタフェース
を具備することを特徴とするシード配布システム。 - 前記シードは、ワンタイムパスワード方式によってパスコードを生成するための元であることを特徴とする請求項1,2,3,4または5に記載のシード配布システム。
- 前記携帯端末は携帯電話であり、前記ICカードはUSIMカードである
ことを特徴とする請求項3,4,5または6に記載のシード配布システム。 - パスコード生成のための元となるシードを記憶する配布サーバへアクセスするための情報を外部から受信する受信手段と、
前記受信手段によって受信した情報に応じて、前記配布サーバへアクセスし、対応するシードを取得するシード取得手段と、
前記シード取得手段によって取得したシードを、ICカードに格納するICカードインタフェース
を具備することを特徴とする携帯端末。 - 前記シードは、ワンタイムパスワード方式によってパスコードを生成するための元であることを特徴とする請求項8に記載の携帯端末。
- 前記携帯端末は携帯電話であり、前記ICカードはUSIMカードである
ことを特徴とする請求項8または9に記載の携帯端末。 - コンピュータに、
パスコード生成のための元となるシードを生成するシード生成機能と、
前記シード生成機能によって生成されたシードをユーザと対応付ける認証管理機能と、
前記シード生成機能によって生成されたシードを配布サーバに記憶する配布サーバ機能と、
前記配布サーバにアクセスするための情報を前記認証管理機能によって対応付けられているユーザが所有する携帯端末に送信する送信機能
を実現させることを特徴とするシード配布プログラム。 - パスコード生成のための元となるシードを生成し、
前記生成されたシードをユーザと対応付け、
前記生成されたシードを配布サーバに記憶し、
前記配布サーバにアクセスするための情報を前記対応付けられているユーザが所有する携帯端末に送信する
ことを特徴とするシード配布方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006216177A JP2008040908A (ja) | 2006-08-08 | 2006-08-08 | シード配布システム、携帯端末、シード配布プログラムおよびシード配布方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006216177A JP2008040908A (ja) | 2006-08-08 | 2006-08-08 | シード配布システム、携帯端末、シード配布プログラムおよびシード配布方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008040908A true JP2008040908A (ja) | 2008-02-21 |
Family
ID=39175817
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006216177A Pending JP2008040908A (ja) | 2006-08-08 | 2006-08-08 | シード配布システム、携帯端末、シード配布プログラムおよびシード配布方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008040908A (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010146400A (ja) * | 2008-12-19 | 2010-07-01 | Hitachi Software Eng Co Ltd | Drmシステム |
CN102510532A (zh) * | 2011-10-26 | 2012-06-20 | 北京推博信息技术有限公司 | 非实时发送和接收流媒体的系统和方法 |
JP2013101496A (ja) * | 2011-11-08 | 2013-05-23 | Dainippon Printing Co Ltd | 電子商取引支援システム |
JP2015114715A (ja) * | 2013-12-09 | 2015-06-22 | 日本電信電話株式会社 | 認証方法、認証システム、Webサーバ、利用者端末、認証プログラム及び記録媒体 |
JP2015529900A (ja) * | 2012-08-02 | 2015-10-08 | サイポッド・テクノロジー・アーエス | トランザクション処理の検証のための方法、システム、およびデバイス |
JP2015228098A (ja) * | 2014-05-30 | 2015-12-17 | 凸版印刷株式会社 | Otp生成システム、及び携帯通信端末 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002259344A (ja) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | ワンタイムパスワード認証システム及び携帯電話及びユーザ認証サーバ |
JP2004295271A (ja) * | 2003-03-26 | 2004-10-21 | Renesas Technology Corp | カード及びパスコード生成器 |
-
2006
- 2006-08-08 JP JP2006216177A patent/JP2008040908A/ja active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002259344A (ja) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | ワンタイムパスワード認証システム及び携帯電話及びユーザ認証サーバ |
JP2004295271A (ja) * | 2003-03-26 | 2004-10-21 | Renesas Technology Corp | カード及びパスコード生成器 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010146400A (ja) * | 2008-12-19 | 2010-07-01 | Hitachi Software Eng Co Ltd | Drmシステム |
CN102510532A (zh) * | 2011-10-26 | 2012-06-20 | 北京推博信息技术有限公司 | 非实时发送和接收流媒体的系统和方法 |
JP2013101496A (ja) * | 2011-11-08 | 2013-05-23 | Dainippon Printing Co Ltd | 電子商取引支援システム |
JP2015529900A (ja) * | 2012-08-02 | 2015-10-08 | サイポッド・テクノロジー・アーエス | トランザクション処理の検証のための方法、システム、およびデバイス |
US9953325B2 (en) | 2012-08-02 | 2018-04-24 | Cypod Technology As | Method, system and device for E-commerce payment intelligent access control |
JP2015114715A (ja) * | 2013-12-09 | 2015-06-22 | 日本電信電話株式会社 | 認証方法、認証システム、Webサーバ、利用者端末、認証プログラム及び記録媒体 |
JP2015228098A (ja) * | 2014-05-30 | 2015-12-17 | 凸版印刷株式会社 | Otp生成システム、及び携帯通信端末 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101529412B (zh) | 数据文件访问控制 | |
CN1829227B (zh) | 在单个用户范例中集成多个身份、身份机制和身份提供者的方法和系统 | |
JP4856755B2 (ja) | カスタマイズ可能なサインオンサービス | |
TWI444029B (zh) | 控制數位身分表徵之分配及使用 | |
JP4733167B2 (ja) | 情報処理装置、情報処理方法、情報処理プログラムおよび情報処理システム | |
CN100472550C (zh) | 产生证书的方法以及使用证书提供内容的方法和设备 | |
US7502931B2 (en) | Method and device for authenticating a user on a remote server | |
JP2007102778A (ja) | ユーザ認証システムおよびその方法 | |
CN111030812A (zh) | 令牌验证方法、装置、存储介质及服务器 | |
JP5764501B2 (ja) | 認証装置、認証方法、及び、プログラム | |
KR101125088B1 (ko) | 고객 인증방법 및 시스템과 이를 위한 서버와 기록매체 | |
JP2008040908A (ja) | シード配布システム、携帯端末、シード配布プログラムおよびシード配布方法 | |
CA2665961A1 (en) | Method and system for delivering a command to a mobile device | |
KR100668387B1 (ko) | 일회용 암호방식을 이용한 통합 인증 시스템과 그 구축 방법 | |
JP4936819B2 (ja) | 携帯端末、パスコード生成プログラムおよびパスコード生成方法 | |
JP4942419B2 (ja) | パスコード情報処理装置、パスコード情報処理プログラムおよびパスコード情報処理方法 | |
JP2016024715A (ja) | 情報処理装置及びプログラム | |
JP2006079446A (ja) | サービス提供サーバ | |
JP2007080006A (ja) | Id情報の登録更新方法 | |
JP2005092470A (ja) | 電子情報認証システム、携帯情報端末及びそれらに用いる電子情報認証方法 | |
JP2022024816A (ja) | 認証装置、認証方法及び認証プログラム | |
JP2009181396A (ja) | ユーザ認証システム及びその方法 | |
JP5226636B2 (ja) | セキュリティ維持支援システムおよび情報端末 | |
JP2016024475A (ja) | 情報処理装置、管理装置、プログラム及びシステム | |
JP5709272B2 (ja) | パーソナル携帯端末を用いたカラオケログインシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090730 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111207 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111213 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120131 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120221 |