JP2008226200A - Authentication system - Google Patents

Authentication system Download PDF

Info

Publication number
JP2008226200A
JP2008226200A JP2007067801A JP2007067801A JP2008226200A JP 2008226200 A JP2008226200 A JP 2008226200A JP 2007067801 A JP2007067801 A JP 2007067801A JP 2007067801 A JP2007067801 A JP 2007067801A JP 2008226200 A JP2008226200 A JP 2008226200A
Authority
JP
Japan
Prior art keywords
user
session
terminal
authentication
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007067801A
Other languages
Japanese (ja)
Other versions
JP5009012B2 (en
Inventor
Satoyuki Shimizu
智行 清水
Yasuhiro Takishima
康弘 滝嶋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2007067801A priority Critical patent/JP5009012B2/en
Publication of JP2008226200A publication Critical patent/JP2008226200A/en
Application granted granted Critical
Publication of JP5009012B2 publication Critical patent/JP5009012B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To securely execute personal authentication to any server on a network of all the world without causing deterioration in operability. <P>SOLUTION: The authentication system includes a user terminal, a network terminal and a management server connected through the network to authenticate a user who provides a service, wherein the management server includes: a means for managing a session ID corresponding to a service; a means for generating information obtained by encoding a URL including the session ID; a means for providing a network terminal with the service through the network and transmitting the information obtained by encoding the URL including the session ID in accordance with access of the network terminal; a means for managing user information; and a means for performing user authentication when the user terminal reads the information obtained by encoding the URL including the session ID from the network terminal and accesses the information. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、サーバにアクセスするユーザの個人認証を実行する認証システムに関し、特に、ネットワーク上で世界中のどのサーバに対しても安全に個人認証を実行できる認証システムに関する。   The present invention relates to an authentication system that performs personal authentication of a user who accesses a server, and more particularly to an authentication system that can securely perform personal authentication for any server in the world on a network.

インターネット等のネットワークの利用が活発化すると共にネットワークを使用した認証の機会が増加している。そのため、ネットワークで認証を行う場合には、認証に使用する認証情報が盗用される危険性がある。ここで、認証情報が盗用されると、第三者が当人に成りすまして秘密とされるべき情報にアクセスしたり、無断で商取引を行うといったような事態が発生し、これによる影響は計り知れないものがある。   As the use of networks such as the Internet becomes active, opportunities for authentication using the networks are increasing. Therefore, when performing authentication on the network, there is a risk that authentication information used for authentication is stolen. Here, if authentication information is stolen, a situation may occur in which a third party impersonates the person and gains access to information that should be kept secret, or without permission for commercial transactions. There is nothing.

そのため、上記のような事態を回避するために、クライアントWWW(World Wide Web)ブラウザからアプリケーションサーバにアクセスする際に、まず携帯電話側からICカードを用いて認証サーバとの間で安全な認証を行い、認証サーバから使い捨て認証鍵の発行を受け、クライアントWWWブラウザ上で使い捨て認証鍵と携帯電話の電話番号を入力することによって認証を行うような技術が知られている(例えば、特許文献1参照。)。   Therefore, in order to avoid the above situation, when accessing an application server from a client WWW (World Wide Web) browser, first, a secure authentication is performed with an authentication server using an IC card from the mobile phone side. A technique is known in which authentication is performed by receiving a disposable authentication key issued from an authentication server and inputting a disposable authentication key and a mobile phone number on a client WWW browser (see, for example, Patent Document 1). .)

また、ユーザ端末からネットサーバに対して認証を行う際に、認証情報を直接ユーザ端末上で入力する代わりに、ネットサーバから取得したセッションIDを携帯電話上で入力し、携帯電話会社サーバから電話番号とセッションIDとをネットサーバに対して送信し、認証する技術も知られている(例えば、特許文献2参照。)。このような従来技術においては、ユーザ端末上で認証に必要な情報を直接入力することなく、携帯電話を用いることによって、より安全性を高めることが出来るという利点がある。
特開2001−243196号公報 特開2005−309860号公報 In addition, when authenticating from the user terminal to the net server, instead of inputting authentication information directly on the user terminal, the session ID obtained from the net server is input on the mobile phone and the mobile phone company server makes a call. A technique is also known in which a number and a session ID are transmitted to a net server and authenticated (see, for example, Patent Document 2). Such a conventional technique has an advantage that safety can be further improved by using a mobile phone without directly inputting information necessary for authentication on the user terminal.
JP 2001-243196 A JP 2005-309860 A

しかしながら、特許文献1に記載の従来技術では、認証手順において、電話番号をクライアントWWWブラウザ上で手入力する必要があるため、スパイウェア等によって電話番号が漏洩してしまう恐れがあるという問題がある。また、特許文献2に記載の従来技術では、携帯電話の電話番号をユーザ端末上で入力する必要が生じる場合はユーザ登録を行う際のみであるが、認証時に携帯電話会社サーバからの電話番号の送信が必要となるため、サーバ利用について携帯電話会社との契約が必要となり、汎用性が低くなってしまうという問題がある。さらに、ネットサーバから取得されるセッションIDは、携帯電話上で手入力する必要があるため、操作性の低下を招くという問題もある。   However, in the conventional technique described in Patent Document 1, since it is necessary to manually input the telephone number on the client WWW browser in the authentication procedure, there is a problem that the telephone number may be leaked by spyware or the like. Further, in the prior art described in Patent Document 2, when it is necessary to input the telephone number of the mobile phone on the user terminal, only when performing user registration, the telephone number from the mobile phone company server at the time of authentication is used. Since transmission is necessary, a contract with a mobile phone company is required for using the server, and there is a problem that versatility is lowered. Furthermore, since it is necessary to manually input the session ID acquired from the net server on the mobile phone, there is a problem that the operability is deteriorated.

そこで、本発明は、上述の課題に鑑みてなされたものであり、操作性の低下をまねくことなく、ネットワーク上で世界中のどのサーバに対しても安全に個人認証を実行できる認証システムを提供することを目的とする。   Accordingly, the present invention has been made in view of the above-described problems, and provides an authentication system that can safely perform personal authentication to any server in the world on the network without deteriorating operability. The purpose is to do.

本発明は、上記の課題を解決するために以下の事項を提案している。
(1)本発明は、ネットワークを介して接続されるユーザ端末とネット端末と管理サーバとからなり、サービスを提供するユーザを認証する認証システムであって、前記管理サーバが、サービスに対応したセッションIDを管理するセッションID管理手段(例えば、図1のセッションID管理部11に相当)と、該セッションIDを含むURLを符号化した情報を生成する符号化情報生成手段(例えば、図1の符号化情報生成部12に相当)と、前記ネットワークを介して前記ネット端末にサービスを提供するとともに、該ネット端末のアクセスに応じて、前記セッションIDを含むURLを符号化した情報を送信するアプリケーション処理手段(例えば、図1のアプリケーション処理部13に相当)と、ユーザ情報を管理するユーザ情報管理手段(例えば、図1のユーザ情報管理部14に相当)と、前記ユーザ端末が前記ネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行うユーザ認証処理手段(例えば、図1のユーザ認証処理部15に相当)と、を備えることを特徴とする認証システムを提案している。 The present invention proposes the following items in order to solve the above problems.
(1) The present invention is an authentication system that includes a user terminal, a network terminal, and a management server connected via a network, and authenticates a user who provides a service, wherein the management server has a session corresponding to the service. Session ID management means (for example, corresponding to the session ID management unit 11 in FIG. 1) for managing the ID, and encoded information generation means (for example, the code in FIG. 1) for generating information obtained by encoding the URL including the session ID And an application process for providing a service to the network terminal via the network and transmitting information encoded with a URL including the session ID in response to the access of the network terminal. Means (for example, equivalent to the application processing unit 13 in FIG. 1) and user information for managing user information A user who performs user authentication when the user terminal accesses information obtained by encoding a URL including the session ID from the network terminal (for example, corresponding to the user information management unit 14 in FIG. 1) and the user terminal. An authentication system comprising an authentication processing means (for example, corresponding to the user authentication processing unit 15 in FIG. 1) is proposed.

この発明によれば、管理サーバのセッションID管理手段が、サービスに対応したセッションIDを管理し、符号化情報生成手段がセッションIDを含むURLを符号化した情報を生成する。アプリケーション処理手段は、ネットワークを介してネット端末にサービスを提供するとともに、ネット端末のアクセスに応じて、セッションIDを含むURLを符号化した情報を送信する。ユーザ情報管理手段は、ユーザ情報を管理し、ユーザ認証処理手段はユーザ端末がネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行う。したがって、電話番号の入力操作を伴わず、符号化した情報を読み取ることにより、簡便に、ユーザの個人認証が可能となる。   According to the present invention, the session ID management unit of the management server manages the session ID corresponding to the service, and the encoded information generation unit generates information in which the URL including the session ID is encoded. The application processing means provides a service to the network terminal via the network, and transmits information obtained by encoding a URL including a session ID according to the access of the network terminal. The user information management means manages user information, and the user authentication processing means performs user authentication when the user terminal reads and accesses information obtained by encoding the URL including the session ID from the network terminal. Therefore, it is possible to easily authenticate the user by reading the encoded information without the telephone number input operation.

(2)本発明は、(1)の認証システムについて、前記ユーザ情報管理手段がユーザの個人情報と前記ユーザ端末がアクセスを行った際に、送信されるユーザ端末のID情報とを組み合わせて管理することを特徴とする認証システムを提案している。   (2) In the authentication system according to (1), the user information management unit manages the personal information of the user in combination with the ID information of the user terminal that is transmitted when the user terminal accesses the authentication system. We have proposed an authentication system characterized by

この発明によれば、ユーザ情報管理手段がユーザの個人情報とユーザ端末がアクセスを行った際に、送信されるユーザ端末のID情報とを組み合わせて管理する。したがって、ユーザ端末のID情報により、一意にユーザを特定することができる。   According to the present invention, the user information management means manages the personal information of the user in combination with the ID information of the user terminal that is transmitted when the user terminal accesses. Therefore, the user can be uniquely specified by the ID information of the user terminal.

(3)本発明は、(1)の認証システムについて、前記ユーザ端末が携帯電話機であって、前記ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付けることを特徴とする認証システムを提案している。   (3) The present invention provides the authentication system according to (1), wherein the user terminal is a mobile phone, and the user authentication processing means accepts only access from an IP address of a dedicated network. is suggesting.

この発明によれば、ユーザ端末が携帯電話機であって、ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付ける。したがって、携帯電話機から通信会社が運営するセキュアな専用のネットワークを介してIPアドレスの受け渡しが行われるため情報の漏洩を効果的に防止することができる。   According to this invention, the user terminal is a mobile phone, and the user authentication processing means accepts only access from the IP address of the dedicated network. Accordingly, since the IP address is transferred from the mobile phone through a secure dedicated network operated by the communication company, information leakage can be effectively prevented.

(4)本発明は、(1)の認証システムについて、前記ユーザ端末がセッションIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報を前記ユーザ認証処理手段に送信し、前記ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザ端末のIDとの組み合わせを前記一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行することを特徴とする認証システムを提案している。   (4) In the authentication system according to (1), the user terminal transmits code information obtained by converting a combination of a session ID and a user terminal ID by a one-way function to the user authentication processing unit. The authentication processing means executes user authentication by comparing the code information obtained by converting the combination of the session ID registered in the session ID management means and the ID of the user terminal by the one-way function with the transmitted code information. We have proposed an authentication system characterized by

この発明によれば、ユーザ端末がセッションIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報をユーザ認証処理手段に送信し、ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行する。したがって、一方向関数により変換したコード情報を用いることにより、直接、ユーザ端末のIDを変換したコード情報から解読することを防止して安全性を高めることができる。   According to this invention, the user terminal transmits the code information obtained by converting the combination of the session ID and the user terminal ID by a one-way function to the user authentication processing means, and the user authentication processing means is registered in the session ID management means. The user authentication is executed by comparing the code information obtained by converting the combination of the session ID and the ID of the user terminal by a one-way function with the transmitted code information. Therefore, by using the code information converted by the one-way function, it is possible to improve the safety by preventing the ID of the user terminal from being directly decoded from the converted code information.

(5)本発明は、(1)の認証システムについて、前記セッションIDを含むURLを符号化した情報が2次元コードであることを特徴とする認証システムを提案している。   (5) The present invention proposes an authentication system in which the information obtained by encoding the URL including the session ID is a two-dimensional code for the authentication system of (1).

この発明によれば、セッションIDを含むURLを符号化した情報が2次元コードであることから、現在、広く普及している携帯電話のカメラ機能を用いることによって容易にURLを取得してアクセスを行うことができる。   According to the present invention, since the information obtained by encoding the URL including the session ID is a two-dimensional code, the URL can be easily obtained and accessed by using a camera function of a mobile phone that is widely used at present. It can be carried out.

(6)本発明は、(1)の認証システムについて、前記セッションIDを含むURLを符号化した情報が電子透かし付き画像であることを特徴とする認証システムを提案している。   (6) The present invention proposes an authentication system in which the information obtained by encoding the URL including the session ID is an image with a digital watermark in the authentication system of (1).

この発明によれば、セッションIDを含むURLを符号化した情報が電子透かし付き画像であることから、現在、広く普及している携帯電話のカメラ機能を用いることによって容易にURLを取得してアクセスを行うことができ、しかも、第三者に符号化した情報の存在を秘匿化できる。   According to the present invention, since the information obtained by encoding the URL including the session ID is an image with a digital watermark, the URL can be easily obtained and accessed by using a camera function of a mobile phone that is widely used at present. In addition, the presence of information encoded by a third party can be concealed.

(7)本発明は、(1)の認証システムについて、前記セッションIDを含むURLを符号化した情報が非接触ICに格納されていることを特徴とする認証システムを提案している。   (7) The present invention proposes an authentication system for the authentication system of (1), characterized in that information obtained by encoding a URL including the session ID is stored in a non-contact IC.

この発明によれば、セッションIDを含むURLを符号化した情報が非接触ICに格納されていることから、大容量の符号化した情報を格納することができ、非接触ICにかざすだけで容易に、符号化した情報を取得することができる。   According to the present invention, since the information obtained by encoding the URL including the session ID is stored in the non-contact IC, it is possible to store the large-capacity encoded information, and it is easy only by holding it over the non-contact IC. In addition, encoded information can be acquired.

(8)本発明は、ネットワークを介して接続されるユーザ端末とネット端末と管理サーバとからなり、サービスを提供するユーザを認証する認証システムであって、前記管理サーバが、サービスに対応したセッションIDを管理するセッションID管理手段(例えば、図7のセッションID管理部11に相当)と、該セッションIDおよびユーザIDを含むURLを符号化した情報を生成する符号化情報生成手段(例えば、図7の符号化情報生成部18に相当)と、前記ネットワークを介して前記ネット端末にサービスを提供するとともに、該ネット端末のアクセスに応じて、前記セッションIDを含むURLを符号化した情報を送信するアプリケーション処理手段(例えば、図7のアプリケーション処理部13に相当)と、ユーザ情報を管理するユーザ情報管理手段(例えば、図7のユーザ情報管理部16に相当)と、前記ネット端末のユーザ認証を実行するネット端末認証処理手段(例えば、図7のネット端末認証処理部19に相当)と、前記ユーザ端末が前記ネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行うユーザ認証処理手段(例えば、図7のユーザ認証処理部17に相当)と、を備えることを特徴とする認証システムを提案している。   (8) The present invention is an authentication system that includes a user terminal, a network terminal, and a management server connected via a network, and authenticates a user who provides a service, wherein the management server has a session corresponding to the service. Session ID management means for managing ID (for example, equivalent to the session ID management unit 11 in FIG. 7), and encoded information generation means for generating information obtained by encoding the URL including the session ID and user ID (for example, FIG. 7), and provides the service to the network terminal via the network, and transmits information encoded with the URL including the session ID according to the access of the network terminal. Application processing means (for example, equivalent to the application processing unit 13 in FIG. 7) and user information User information management means (for example, equivalent to the user information management unit 16 in FIG. 7) and network terminal authentication processing means for executing user authentication of the network terminal (for example, equivalent to the network terminal authentication processing unit 19 in FIG. 7) And user authentication processing means (for example, equivalent to the user authentication processing unit 17 in FIG. 7) for performing user authentication when the user terminal reads and accesses information obtained by encoding the URL including the session ID from the network terminal. And an authentication system characterized by comprising:

この発明によれば、管理サーバのセッションID管理手段が、サービスに対応したセッションIDを管理し、符号化情報生成手段がセッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報を生成する。アプリケーション処理手段が、ネットワークを介してネット端末にサービスを提供するとともに、ネット端末のアクセスに応じて、セッションIDを含むURLを符号化した情報を送信し、ユーザ情報管理手段は、ユーザ情報を管理する。そして、ネット端末認証処理手段がネット端末のユーザ認証を実行し、ユーザ認証処理手段は、ユーザ端末がネット端末からセッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行う。したがって、電話番号の入力操作を伴わず、符号化した情報を読み取ることにより、簡便に、ユーザの個人認証が可能となる。また、ユーザ端末の紛失や盗難が発生しても、ネット端末上でのユーザ認証が必要となるため、より安全なシステムを構築することができる。   According to this invention, the session ID managing means of the management server manages the session ID corresponding to the service, and the encoded information generating means includes a URL including a code converted by a one-way function based on the session ID and the user ID Is generated. The application processing means provides a service to the network terminal via the network and transmits information encoded with a URL including a session ID according to the access of the network terminal. The user information management means manages the user information. To do. Then, the net terminal authentication processing unit performs user authentication of the net terminal, and the user authentication processing unit performs user authentication when the user terminal reads and accesses information obtained by encoding a URL including a session ID from the net terminal. Do. Therefore, it is possible to easily authenticate the user by reading the encoded information without the telephone number input operation. Even if the user terminal is lost or stolen, user authentication on the network terminal is required, so that a more secure system can be constructed.

(9)本発明は、(7)の認証システムについて、前記ユーザ情報管理手段がユーザの個人情報およびユーザIDと前記ユーザ端末がアクセスを行った際に送信されるユーザ端末のID情報とを組み合わせて管理することを特徴とする認証システムを提案している。   (9) The present invention relates to the authentication system according to (7), wherein the user information management means combines the personal information and user ID of the user with the ID information of the user terminal transmitted when the user terminal performs access. We propose an authentication system characterized by management.

この発明によれば、ユーザ情報管理手段がユーザの個人情報およびユーザIDとユーザ端末がアクセスを行った際に送信されるユーザ端末のID情報とを組み合わせて管理する。したがって、ユーザ端末のID情報およびユーザIDにより、一意にユーザを特定することができる。   According to this invention, the user information management means manages the user's personal information and user ID in combination with the user terminal ID information transmitted when the user terminal accesses. Therefore, the user can be uniquely specified by the ID information and user ID of the user terminal.

(10)本発明は、(7)の認証システムについて、前記符号化情報生成手段が、ネット端末認証処理手段によるネット端末の認証処理が終了した後に、前記セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報を生成することを特徴とする認証システムを提案している。   (10) In the authentication system according to (7), the encoded information generation unit is unidirectional based on the session ID and the user ID after the network terminal authentication processing by the network terminal authentication processing unit is completed. An authentication system is proposed that generates information obtained by encoding a URL including a code converted by a function.

この発明によれば、ネット端末の認証処理が終了したことを条件に符号化情報生成手段が、セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報を生成することから、ユーザ端末の紛失や盗難が発生した場合でも、安全性を確保することができる。   According to this invention, on the condition that the authentication processing of the network terminal is completed, the encoded information generating means encodes the information including the URL including the code converted by the one-way function based on the session ID and the user ID. Since it is generated, safety can be ensured even if the user terminal is lost or stolen.

(11)本発明は、(8)または(10)の認証システムについて、前記セッションIDおよびユーザIDを含むURLを符号化した情報が2次元コードであることを特徴とする認証システムを提案している。   (11) The present invention proposes an authentication system according to (8) or (10), characterized in that information obtained by encoding a URL including the session ID and the user ID is a two-dimensional code. Yes.

この発明によれば、セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報が2次元コードであることから、現在、広く普及している携帯電話のカメラ機能を用いることによって容易にURLを取得してアクセスを行うことができる。   According to the present invention, since information obtained by encoding a URL including a code converted by a one-way function based on a session ID and a user ID is a two-dimensional code, a mobile phone camera that is currently widely used By using the function, the URL can be easily acquired and accessed.

(12)本発明は、(8)または(10)の認証システムについて、前記セッションIDおよびユーザIDを含むURLを符号化した情報が電子透かし付き画像であることを特徴とする認証システムを提案している。   (12) The present invention proposes an authentication system according to (8) or (10), wherein information obtained by encoding a URL including the session ID and the user ID is a digital watermarked image. ing.

この発明によれば、セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報が電子透かし付き画像であることから、現在、広く普及している携帯電話のカメラ機能を用いることによって容易にURLを取得してアクセスを行うことができ、しかも、第三者に符号化した情報の存在を秘匿化できる。   According to the present invention, since the information obtained by encoding the URL including the code converted by the one-way function based on the session ID and the user ID is an image with a digital watermark, By using the camera function, the URL can be easily obtained and accessed, and the presence of information encoded by a third party can be concealed.

(13)本発明は、(8)または(10)の認証システムについて、前記セッションIDおよびユーザIDを含むURLを符号化した情報が非接触ICに格納されていることを特徴とする認証システムを提案している。   (13) The present invention relates to the authentication system according to (8) or (10), characterized in that information obtained by encoding a URL including the session ID and the user ID is stored in a contactless IC. is suggesting.

この発明によれば、セッションIDおよびユーザIDを含むURLを符号化した情報が非接触ICに格納されていることから、大容量の符号化した情報を格納することができ、非接触ICにかざすだけで容易に、符号化した情報を取得することができる。   According to the present invention, since the encoded information of the URL including the session ID and the user ID is stored in the non-contact IC, it is possible to store a large amount of encoded information and hold it over the non-contact IC. The encoded information can be easily acquired by just using this method.

(14)本発明は、(8)の認証システムについて、前記ユーザ端末が携帯電話機であって、前記ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付けることを特徴とする認証システムを提案している。   (14) The authentication system according to (8), wherein the user terminal is a mobile phone, and the user authentication processing means accepts only access from an IP address of a dedicated network. is suggesting.

この発明によれば、ユーザ端末が携帯電話機であって、ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付ける。したがって、携帯電話機から通信会社が運営するセキュアな専用のネットワークを介してIPアドレスの受け渡しが行われるため情報の漏洩を効果的に防止することができる。   According to this invention, the user terminal is a mobile phone, and the user authentication processing means accepts only access from the IP address of the dedicated network. Accordingly, since the IP address is transferred from the mobile phone through a secure dedicated network operated by the communication company, information leakage can be effectively prevented.

(15)本発明は、(8)の認証システムについて、前記ユーザ端末がセッションIDとユーザIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報を前記ユーザ認証処理手段に送信し、前記ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザIDとユーザ端末のIDとの組み合わせを前記一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行することを特徴とする認証システムを提案している。   (15) In the authentication system according to (8), the user terminal transmits code information obtained by converting a combination of a session ID, a user ID, and a user terminal ID by a one-way function to the user authentication processing unit. The user authentication processing unit compares the code information obtained by converting the combination of the session ID registered in the session ID management unit, the user ID, and the user terminal ID by the one-way function with the transmitted code information. Therefore, an authentication system characterized by performing user authentication is proposed.

本発明によれば、ユーザ端末がセッションIDとユーザIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報をユーザ認証処理手段に送信し、ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報と送信されたコード情報とを比較することによりユーザ認証を実行する。したがって、一方向関数により変換したコード情報を用いることにより、直接、ユーザ端末のIDを変換したコード情報から解読することを防止して安全性を高めることができる。   According to the present invention, the user terminal transmits code information obtained by converting the combination of the session ID, the user ID, and the user terminal ID by a one-way function to the user authentication processing unit, and the user authentication processing unit sends the code information to the session ID management unit. The user authentication is executed by comparing the code information obtained by converting the combination of the registered session ID, user ID, and user terminal ID by a one-way function with the transmitted code information. Therefore, by using the code information converted by the one-way function, it is possible to improve the safety by preventing the ID of the user terminal from being directly decoded from the converted code information.

本発明によれば、電話番号の入力を要することなく、2次元コード等の符号化情報の読み取りを利用した簡便な個人認証が可能となるという効果がある。また、インターネット上でのシステム構築のみを必要とし、携帯電話会社の専用ネットワークや電話番号データベースへのアクセスを必要としないため、一般のインターネット上に簡単にシステムを構築でき、安全な個人認証が可能となるという効果がある。さらに、携帯端末の紛失や盗難が発生しても、ネット端末上でのユーザ認証が必要となるため、より安全なシステムを構築できるという効果がある。   According to the present invention, there is an effect that simple personal authentication using reading of encoded information such as a two-dimensional code can be performed without requiring input of a telephone number. In addition, since it is only necessary to build a system on the Internet and does not require access to a mobile phone company's dedicated network or telephone number database, a system can be easily built on the general Internet and secure personal authentication is possible. It has the effect of becoming. Furthermore, even if the mobile terminal is lost or stolen, user authentication on the network terminal is required, so that a more secure system can be constructed.

以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
Note that the constituent elements in the present embodiment can be appropriately replaced with existing constituent elements and the like, and various variations including combinations with other existing constituent elements are possible. Therefore, the description of the present embodiment does not limit the contents of the invention described in the claims.

<第1の実施形態>
まず、図1から図6を参照して本発明の第1の実施形態について説明する。なお、本実施形態においては、ユーザ端末として携帯電話を例示して説明する。 <First Embodiment>
First, a first embodiment of the present invention will be described with reference to FIGS. In the present embodiment, a mobile phone is exemplified as a user terminal.

<認証システムおよび管理サーバの構成>
本実施形態に係る認証システムは、図1に示すように、管理サーバ10と、携帯電話20と、ネット端末30とから構成されており、ネット端末30は、インターネット網40を介して管理サーバ10に接続され、携帯電話20は、携帯電話専用ネットワーク網50およびインターネット網40を介して、管理サーバ10に接続されている。 <Configuration of authentication system and management server>
As shown in FIG. 1, the authentication system according to the present embodiment includes a management server 10, a mobile phone 20, and a network terminal 30, and the network terminal 30 is connected to the management server 10 via the Internet network 40. The mobile phone 20 is connected to the management server 10 via the mobile phone dedicated network network 50 and the Internet network 40.

また、管理サーバ10は、図1に示すように、セッションID管理部11と、符号化情報生成部12と、アプリケーション処理部13と、ユーザ情報管理部14と、ユーザ認証処理部15とから構成されている。   As shown in FIG. 1, the management server 10 includes a session ID management unit 11, an encoded information generation unit 12, an application processing unit 13, a user information management unit 14, and a user authentication processing unit 15. Has been.

ここで、セッションID管理部11は、サービスに対応したセッションIDを管理する。符号化情報生成部12は、セッションIDを含むURLを符号化した情報を生成する。なお、符号化した情報の例としては、QRコード等の2次元コードや電子透かし付き画像あるいは非接触ICに格納された符号化情報等が挙げられるが、これに限るものではない。   Here, the session ID management unit 11 manages the session ID corresponding to the service. The encoded information generation unit 12 generates information obtained by encoding a URL including a session ID. Examples of encoded information include two-dimensional codes such as QR codes, digital watermarked images, encoded information stored in non-contact ICs, and the like, but are not limited thereto.

アプリケーション処理部13は、ネットワークを介してネット端末30にサービスを提供するとともに、ネット端末30のアクセスに応じて、セッションIDを含むURLを符号化した情報を送信する。   The application processing unit 13 provides a service to the network terminal 30 via the network, and transmits information obtained by encoding a URL including a session ID in response to the access of the network terminal 30.

ユーザ情報管理部14は、ユーザ情報を管理する。具体的には、例えば、ユーザの個人情報と携帯電話20がアクセスを行った際に、送信される携帯電話のID情報とを組み合わせて管理する。   The user information management unit 14 manages user information. Specifically, for example, the personal information of the user and the ID information of the mobile phone transmitted when the mobile phone 20 accesses are combined and managed.

ユーザ認証処理部15は、携帯電話20がネット端末30からセッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行う。具体的には、例えば、ユーザ認証処理部15がセッションID管理部11に登録されているセッションIDと携帯電話20のIDとの組み合わせを一方向関数により変換したコード情報と、携帯電話20から送信されたセッションIDと携帯電話20のIDとの組み合わせを上記と同様の一方向関数により変換したコード情報とを比較することによりユーザ認証を実行する。   The user authentication processing unit 15 performs user authentication when the mobile phone 20 reads and accesses information obtained by encoding a URL including a session ID from the network terminal 30. Specifically, for example, the user authentication processing unit 15 transmits from the mobile phone 20 code information obtained by converting a combination of the session ID registered in the session ID management unit 11 and the ID of the mobile phone 20 by a one-way function. The user authentication is executed by comparing the code information obtained by converting the combination of the session ID and the ID of the mobile phone 20 with the same one-way function as described above.

<認証システムの処理>
次に、図2から図6を用いて、本実施形態に係る認証システムの処理について説明する。
まず、ネット端末30はアプリケーション処理部13にアクセスを行う(ステップS101)。次に、アプリケーション処理部13は、セッションIDがネット端末30から送信されているか否かを確認し(ステップS102)、送信されている場合には(ステップS102の「Yes」)、セッションIDがセッションID管理部11に登録されているか否かを確認する(ステップS103)。ここで、セッションIDがネット端末30から送信されていない場合(ステップS102の「No」)およびセッションIDがネット端末30から送信されているがセッションID管理部11に登録されていない場合(ステップS103の「No」)には、セッションID管理部11が新しいセッションIDを生成する(ステップS106)。 <Processing of authentication system>
Next, processing of the authentication system according to the present embodiment will be described with reference to FIGS.
First, the network terminal 30 accesses the application processing unit 13 (step S101). Next, the application processing unit 13 checks whether or not the session ID is transmitted from the network terminal 30 (step S102). If the session ID is transmitted (“Yes” in step S102), the session ID is the session ID. It is confirmed whether or not it is registered in the ID management unit 11 (step S103). Here, when the session ID is not transmitted from the network terminal 30 (“No” in step S102), and when the session ID is transmitted from the network terminal 30 but is not registered in the session ID management unit 11 (step S103). ("No")), the session ID management unit 11 generates a new session ID (step S106).

そして、図5に示すセッション管理表にセッションID(例えば、図5のセッションID「ba878342decf19435647e3」、「784392bcdae76341308dfe」、「043287cdabef643bfae6dc」)を登録し、携帯電話用のURLを生成する(ステップS107)。符号化情報生成部12は、セッションIDを含むURLを符号化した、例えば、2次元コードを生成し(ステップS108)、生成した2次元コードをネット端末30に送信する(ステップS109)。なお、セッションID管理部11は、携帯電話20における認証手順を完了するまで待機する。ネット端末30は、この待機状態の間に周期的にアプリケーション処理部13にアクセスするが、携帯電話20による認証が完了するまでは、同じ2次元コードが繰り返し送信される。   Then, the session IDs (for example, session IDs “ba878342decf194435647e3”, “784392bcdae76341308dfe”, “043287cdbef643bfae6dc” in FIG. 5) are registered in the session management table shown in FIG. 5 to generate a URL for the mobile phone (step S107). The encoded information generation unit 12 generates, for example, a two-dimensional code obtained by encoding a URL including a session ID (step S108), and transmits the generated two-dimensional code to the network terminal 30 (step S109). Note that the session ID management unit 11 waits until the authentication procedure in the mobile phone 20 is completed. The network terminal 30 periodically accesses the application processing unit 13 during this standby state, but the same two-dimensional code is repeatedly transmitted until authentication by the mobile phone 20 is completed.

一方で、セッションIDがネット端末30から送信され、かつ、セッションID管理部11に登録されているときに、携帯電話側の認証が完了している場合には、アプリケーション処理部13がネット端末30にアプリケーション情報を送信して(ステップS105)、一連の処理動作を完了する。   On the other hand, when the mobile phone side authentication is completed when the session ID is transmitted from the network terminal 30 and registered in the session ID management unit 11, the application processing unit 13 performs the network terminal 30. The application information is transmitted to (step S105), and a series of processing operations is completed.

他方、セッションIDがネット端末30から送信され、かつ、セッションID管理部11に登録されているときに、携帯電話側の認証が完了していない場合には、符号化情報生成部12が、セッションIDを含む携帯電話用のURLを符号化した、例えば、2次元コードを生成し(ステップS108)、生成した2次元コードをネット端末30に送信する(ステップS109)。   On the other hand, if the mobile phone side authentication is not completed when the session ID is transmitted from the network terminal 30 and registered in the session ID management unit 11, the encoded information generation unit 12 For example, a two-dimensional code obtained by encoding a URL for a mobile phone including an ID is generated (step S108), and the generated two-dimensional code is transmitted to the network terminal 30 (step S109).

次に、ユーザは、ネット端末30上に表示されている2次元コードを携帯電話20のカメラ機能によって読み取り、URLを取得する。このURLにアクセスすると(ステップS201)、ユーザ認証処理部15にセッションIDおよび携帯電話の端末IDが通知される(ステップS202)。ここで、現行の携帯電話は、インターネット接続時に端末固有のIDを通知する機能を有している。そのため、ユーザ認証処理部15において、アクセス元のIPアドレスが携帯電話専用のネットワーク上のものかどうかを照会することによって、携帯電話20からのアクセスであるかどうかを確認する。   Next, the user reads the two-dimensional code displayed on the network terminal 30 by the camera function of the mobile phone 20 and acquires the URL. When this URL is accessed (step S201), the user authentication processing unit 15 is notified of the session ID and the mobile phone terminal ID (step S202). Here, the current mobile phone has a function of notifying a terminal-specific ID when connected to the Internet. Therefore, the user authentication processing unit 15 checks whether the access is from the mobile phone 20 by inquiring whether the access source IP address is on a network dedicated to the mobile phone.

さらに、セッションIDがセッションID管理部11に登録されているか否か(ステップS203)、携帯電話20の端末IDがユーザ情報管理部14に登録されているか否かを確認し(ステップS204)、いずれかが登録されていない場合(ステップS203の「No」、ステップS204の「No」)には、処理を終了する。   Furthermore, it is confirmed whether or not the session ID is registered in the session ID management unit 11 (step S203), and whether or not the terminal ID of the mobile phone 20 is registered in the user information management unit 14 (step S204). Is not registered ("No" in step S203, "No" in step S204), the process ends.

一方で、セッションIDがセッションID管理部11に登録され、携帯電話20の端末IDがユーザ情報管理部14に登録されている場合には(ステップS203の「Yes」、ステップS204の「Yes」)、セッションID管理部11が、図4に示すユーザ情報管理表をユーザ情報管理部14に問い合わせ、図6に示すようにセッション管理表に携帯電話20の端末IDを対応するセッションに登録し、ユーザの個人情報とセッションIDの対応付けを行う(ステップS205)。そして、携帯電話の端末IDがセッション管理表に登録されると、セッションID管理部11は待機状態からサービス提供状態に移行する(ステップS206)。このとき、ネット端末30がアプリケーション処理部13にアクセスすると、セッションIDに対応付けられたユーザの個人情報に応じて個別のサービスがアプリケーション処理部13からネット端末30に提供される。   On the other hand, when the session ID is registered in the session ID management unit 11 and the terminal ID of the mobile phone 20 is registered in the user information management unit 14 (“Yes” in step S203, “Yes” in step S204). The session ID management unit 11 inquires of the user information management unit 14 about the user information management table shown in FIG. 4, registers the terminal ID of the mobile phone 20 in the session corresponding to the session management table as shown in FIG. The personal information is associated with the session ID (step S205). When the mobile phone terminal ID is registered in the session management table, the session ID management unit 11 transitions from the standby state to the service providing state (step S206). At this time, when the network terminal 30 accesses the application processing unit 13, an individual service is provided from the application processing unit 13 to the network terminal 30 according to the personal information of the user associated with the session ID.

したがって、本実施形態によれば、電話番号の入力を要することなく、2次元コード等の符号化情報の読み取りを利用した簡便な個人認証が可能となる。また、インターネット上でのシステム構築のみを必要とし、携帯電話会社の専用ネットワークや電話番号データベースへのアクセスを必要としないため、一般のインターネット上に簡単にシステムを構築でき、安全な個人認証が可能となる。   Therefore, according to the present embodiment, it is possible to perform simple personal authentication using reading of encoded information such as a two-dimensional code without requiring input of a telephone number. In addition, since it is only necessary to build a system on the Internet and does not require access to a mobile phone company's dedicated network or telephone number database, a system can be easily built on the general Internet and secure personal authentication is possible. It becomes.

<第2の実施形態>
図7から図12を参照して本発明の第2の実施形態について説明する。なお、本実施形態においては、ユーザ端末として携帯電話を例示して説明する。 <Second Embodiment>
A second embodiment of the present invention will be described with reference to FIGS. In the present embodiment, a mobile phone is exemplified as a user terminal.

<認証システムおよび管理サーバの構成>
本実施形態に係る認証システムは、図7に示すように、管理サーバ10と、携帯電話20と、ネット端末30とから構成されており、ネット端末30は、インターネット網40を介して管理サーバ10に接続され、携帯電話20は、携帯電話専用ネットワーク網50およびインターネット網40を介して、管理サーバ10に接続されている。 <Configuration of authentication system and management server>
As shown in FIG. 7, the authentication system according to the present embodiment includes a management server 10, a mobile phone 20, and a network terminal 30, and the network terminal 30 is connected to the management server 10 via the Internet network 40. The mobile phone 20 is connected to the management server 10 via the mobile phone dedicated network network 50 and the Internet network 40.

また、管理サーバ10は、図1に示すように、セッションID管理部11と、アプリケーション処理部13と、ユーザ情報管理部16と、ユーザ認証処理部17と、符号化情報生成部18と、ネット端末認証処理部19とから構成されている。なお、第1の実施形態と同一の符号を付す構成要素に関しては、同一の機能を有するものであるから、詳細な説明は省略する。   As shown in FIG. 1, the management server 10 includes a session ID management unit 11, an application processing unit 13, a user information management unit 16, a user authentication processing unit 17, an encoded information generation unit 18, a network The terminal authentication processing unit 19 is configured. In addition, about the component which attaches | subjects the same code | symbol as 1st Embodiment, since it has the same function, detailed description is abbreviate | omitted.

ユーザ情報管理部16は、ユーザの個人情報およびユーザIDと携帯電話20がアクセスを行った際に、送信される携帯電話20のID情報とを組み合わせて管理する。ユーザ認証処理部17は、例えば、セッションID管理部11に登録されているセッションIDとユーザIDおよび携帯電話20のIDとの組み合わせを一方向関数により変換したコード情報と、携帯電話20から送信されたセッションIDとユーザIDおよび携帯電話20のIDとの組み合わせを上記と同様の一方向関数により変換したコード情報とを比較することによりユーザ認証を実行する。   The user information management unit 16 manages the personal information and user ID of the user in combination with the ID information of the mobile phone 20 that is transmitted when the mobile phone 20 accesses. For example, the user authentication processing unit 17 is transmitted from the mobile phone 20 with code information obtained by converting a combination of the session ID registered in the session ID management unit 11, the user ID, and the mobile phone 20 ID with a one-way function. The user authentication is executed by comparing the combination of the session ID, the user ID, and the ID of the mobile phone 20 with code information obtained by converting the combination of the session ID, the mobile ID, and the mobile phone 20 with the same one-way function as described above.

符号化情報生成部18は、セッションIDおよびユーザIDを含むURLを符号化した情報を生成する。ネット端末認証処理部19は、ネット端末30のユーザ認証を実行する。   The encoded information generation unit 18 generates information obtained by encoding a URL including a session ID and a user ID. The network terminal authentication processing unit 19 performs user authentication of the network terminal 30.

<認証システムの処理>
次に、図8から図12を用いて、本実施形態に係る認証システムの処理について説明する。
本実施形態では、図9に示すように、ユーザ管理表において、ユーザの個人情報がユーザID,パスワード、啓太電話20の端末IDとして対応づけられている。まず、ネット端末30はアプリケーション処理部13にアクセスを行う(ステップS301)。次に、アプリケーション処理部13は、セッションIDがネット端末30から送信されているか否かを確認し(ステップS302)、送信されている場合には(ステップS302の「Yes」)、セッションIDがセッションID管理部11に登録されているか否かを確認する(ステップS303)。ここで、セッションIDがネット端末30から送信されていない場合(ステップS302の「No」)およびセッションIDがネット端末30から送信されているがセッションID管理部11に登録されていない場合(ステップS303の「No」)には、ネット端末認証部19がユーザIDとパスワードとにより認証を行う(ステップS306)。 <Processing of authentication system>
Next, processing of the authentication system according to the present embodiment will be described with reference to FIGS.
In the present embodiment, as shown in FIG. 9, in the user management table, the user's personal information is associated with the user ID, the password, and the terminal ID of the Keita phone 20. First, the network terminal 30 accesses the application processing unit 13 (step S301). Next, the application processing unit 13 checks whether or not the session ID is transmitted from the network terminal 30 (step S302). If the session ID is transmitted (“Yes” in step S302), the session ID is the session ID. It is confirmed whether or not it is registered in the ID management unit 11 (step S303). Here, when the session ID is not transmitted from the network terminal 30 (“No” in step S302) and when the session ID is transmitted from the network terminal 30 but is not registered in the session ID management unit 11 (step S303). ("No")), the network terminal authentication unit 19 performs authentication using the user ID and password (step S306).

次に、セッション管理部11がセッションIDを生成し、図11に示すように、セッションIDとユーザIDとの関連付けを行う(ステップS307)。そして、セッションIDから携帯電話用のURLを生成する(ステップS308)。符号化情報生成部18は、ユーザIDと携帯電話用URLから、例えば、2次元コードを生成し(ステップS309)、生成した2次元コードをネット端末30に送信する(ステップS310)。なお、セッションID管理部11は、携帯電話20における認証手順を完了するまで待機する。   Next, the session management unit 11 generates a session ID and associates the session ID with the user ID as shown in FIG. 11 (step S307). Then, the mobile phone URL is generated from the session ID (step S308). The encoded information generation unit 18 generates, for example, a two-dimensional code from the user ID and the mobile phone URL (step S309), and transmits the generated two-dimensional code to the network terminal 30 (step S310). Note that the session ID management unit 11 waits until the authentication procedure in the mobile phone 20 is completed.

一方で、セッションIDがネット端末30から送信され、かつ、セッションID管理部11に登録されているときに、携帯電話側の認証が完了している場合には、アプリケーション処理部13がネット端末30にアプリケーション情報を送信して(ステップS305)、一連の処理動作を完了する。   On the other hand, when the mobile phone side authentication is completed when the session ID is transmitted from the network terminal 30 and registered in the session ID management unit 11, the application processing unit 13 performs the network terminal 30. The application information is transmitted to (step S305), and a series of processing operations is completed.

他方、セッションIDがネット端末30から送信され、かつ、セッションID管理部11に登録されているときに、携帯電話側の認証が完了していない場合には、符号化情報生成部18が、ユーザIDと携帯電話用URLから、例えば、2次元コードを生成し(ステップS309)、生成した2次元コードをネット端末30に送信する(ステップS310)。   On the other hand, when the mobile phone side authentication is not completed when the session ID is transmitted from the network terminal 30 and is registered in the session ID management unit 11, the encoded information generation unit 18 For example, a two-dimensional code is generated from the ID and the mobile phone URL (step S309), and the generated two-dimensional code is transmitted to the network terminal 30 (step S310).

次に、ユーザは、ネット端末30上に表示されている2次元コードを携帯電話20のカメラ機能によって読み取り、URLを取得する。このURLにアクセスすると(ステップS401)、ユーザ認証処理部17にセッションIDおよび携帯電話の端末ID、URL内のユーザIDが通知される(ステップS402)。   Next, the user reads the two-dimensional code displayed on the network terminal 30 by the camera function of the mobile phone 20 and acquires the URL. When this URL is accessed (step S401), the user authentication processing unit 17 is notified of the session ID, the mobile phone terminal ID, and the user ID in the URL (step S402).

さらに、セッションIDおよびユーザIDがセッションID管理部11に登録されているか否か(ステップS403)、携帯電話20の端末IDがユーザIDに正しく関連付けられているか否かを確認し(ステップS404)、いずれかを満足していない場合(ステップS403の「No」、ステップS404の「No」)には、処理を終了する。   Furthermore, it is confirmed whether or not the session ID and user ID are registered in the session ID management unit 11 (step S403), and whether or not the terminal ID of the mobile phone 20 is correctly associated with the user ID (step S404). If either one is not satisfied (“No” in step S403, “No” in step S404), the process ends.

一方で、セッションIDがセッションID管理部11に登録され、携帯電話20の端末IDがユーザIDに正しく関連付けられている場合には(ステップS403の「Yes」、ステップS404の「Yes」)、セッションID管理部11が、図10に示すユーザ情報管理表をユーザ情報管理部16に問い合わせ、図12に示すようにセッション管理表に携帯電話20の端末IDおよびユーザIDを対応するセッションに登録し、ユーザの個人情報とセッションIDの対応付けを行う(ステップS405)。そして、携帯電話の端末IDがセッション管理表に登録されると、セッションID管理部11は待機状態からサービス提供状態に移行する(ステップS406)。このとき、ネット端末30がアプリケーション処理部13にアクセスすると、セッションIDに対応付けられたユーザの個人情報に応じて個別のサービスがアプリケーション処理部13からネット端末30に提供される。   On the other hand, if the session ID is registered in the session ID management unit 11 and the terminal ID of the mobile phone 20 is correctly associated with the user ID (“Yes” in step S403, “Yes” in step S404), the session The ID management unit 11 inquires of the user information management unit 16 for the user information management table shown in FIG. 10, registers the terminal ID and user ID of the mobile phone 20 in the session management table as shown in FIG. The user's personal information is associated with the session ID (step S405). When the mobile phone terminal ID is registered in the session management table, the session ID management unit 11 shifts from the standby state to the service providing state (step S406). At this time, when the network terminal 30 accesses the application processing unit 13, an individual service is provided from the application processing unit 13 to the network terminal 30 according to the personal information of the user associated with the session ID.

したがって、本実施形態によれば、第1の実施形態における作用に加えて、携帯端末の紛失や盗難が発生しても、ネット端末上でのユーザ認証が必要となるため、より安全なシステムを構築できる。   Therefore, according to the present embodiment, in addition to the operation in the first embodiment, even if the mobile terminal is lost or stolen, user authentication on the network terminal is required. Can be built.

以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。   The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes a design and the like within a scope not departing from the gist of the present invention.

第1の実施形態に係るシステム構成図である。It is a system configuration figure concerning a 1st embodiment. 第1の実施形態に係るネット端末によるアクセス時の処理フローである。It is a processing flow at the time of access by the network terminal which concerns on 1st Embodiment. 第1の実施形態に係る携帯電話によるアクセス時の処理フローである。It is a processing flow at the time of access by the mobile phone which concerns on 1st Embodiment. 第1の実施形態に係るユーザ情報管理部の管理表の一例を示す図である。It is a figure which shows an example of the management table of the user information management part which concerns on 1st Embodiment. 第1の実施形態に係るセッションID管理部の管理表の一例を示す図である。It is a figure which shows an example of the management table of the session ID management part which concerns on 1st Embodiment. 第1の実施形態に係るセッションID管理部の管理表の一例を示す図である。It is a figure which shows an example of the management table of the session ID management part which concerns on 1st Embodiment. 第2の実施形態に係るシステム構成図である。It is a system configuration figure concerning a 2nd embodiment. 第2の実施形態に係るネット端末によるアクセス時の処理フローである。It is a processing flow at the time of access by the network terminal which concerns on 2nd Embodiment. 第2の実施形態に係る携帯電話によるアクセス時の処理フローである。It is a processing flow at the time of access by the mobile phone which concerns on 2nd Embodiment. 第2の実施形態に係るユーザ情報管理部の管理表の一例を示す図である。It is a figure which shows an example of the management table of the user information management part which concerns on 2nd Embodiment. 第2の実施形態に係るセッションID管理部の管理表の一例を示す図である。It is a figure which shows an example of the management table of the session ID management part which concerns on 2nd Embodiment. 第2の実施形態に係るセッションID管理部の管理表の一例を示す図である。It is a figure which shows an example of the management table of the session ID management part which concerns on 2nd Embodiment.

符号の説明Explanation of symbols

10・・・管理サーバ、11・・・セッションID管理部、12、18・・・符号化情報生成部、13・・・アプリケーション処理部、14、16・・・ユーザ情報管理部、15、17・・・ユーザ認証処理部、19・・・ネット端末認証処理部、20・・・携帯電話、30・・・ネット端末
DESCRIPTION OF SYMBOLS 10 ... Management server, 11 ... Session ID management part, 12, 18 ... Encoding information generation part, 13 ... Application processing part, 14, 16 ... User information management part, 15, 17 ... User authentication processing unit, 19 ... Net terminal authentication processing unit, 20 ... Mobile phone, 30 ... Net terminal

Claims (15)

ネットワークを介して接続されるユーザ端末とネット端末と管理サーバとからなり、サービスを提供するユーザを認証する認証システムであって、
前記管理サーバが、
サービスに対応したセッションIDを管理するセッションID管理手段と、
該セッションIDを含むURLを符号化した情報を生成する符号化情報生成手段と、
前記ネットワークを介して前記ネット端末にサービスを提供するとともに、該ネット端末のアクセスに応じて、前記セッションIDを含むURLを符号化した情報を送信するアプリケーション処理手段と、
ユーザ情報を管理するユーザ情報管理手段と、
前記ユーザ端末が前記ネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行うユーザ認証処理手段と、
を備えることを特徴とする認証システム。 An authentication system consisting of a user terminal, a network terminal and a management server connected via a network, for authenticating a user who provides a service,
The management server is
Session ID management means for managing a session ID corresponding to the service;
Encoded information generating means for generating information obtained by encoding a URL including the session ID;
Application processing means for providing a service to the network terminal via the network and transmitting information obtained by encoding a URL including the session ID in response to the access of the network terminal;
User information management means for managing user information;
User authentication processing means for performing user authentication when the user terminal reads and accesses information obtained by encoding a URL including the session ID from the network terminal;
An authentication system comprising: 前記ユーザ情報管理手段がユーザの個人情報と前記ユーザ端末がアクセスを行った際に、送信されるユーザ端末のID情報とを組み合わせて管理することを特徴とする請求項1に記載の認証システム。   2. The authentication system according to claim 1, wherein the user information management means manages the personal information of the user in combination with the ID information of the user terminal that is transmitted when the user terminal accesses. 前記ユーザ端末が携帯電話機であって、前記ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付けることを特徴とする請求項1に記載の認証システム。   2. The authentication system according to claim 1, wherein the user terminal is a mobile phone, and the user authentication processing unit accepts only access from an IP address of a dedicated network. 前記ユーザ端末がセッションIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報を前記ユーザ認証処理手段に送信し、前記ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザ端末のIDとの組み合わせを前記一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行することを特徴とする請求項1に記載の認証システム。   The user terminal transmits code information obtained by converting a combination of a session ID and a user terminal ID by a one-way function to the user authentication processing unit, and the user authentication processing unit is registered in the session ID management unit. The authentication system according to claim 1, wherein user authentication is performed by comparing code information obtained by converting a combination of a user terminal ID with a one-way function with the transmitted code information. 前記セッションIDを含むURLを符号化した情報が2次元コードであることを特徴とする請求項1に記載の認証システム。   The authentication system according to claim 1, wherein information obtained by encoding a URL including the session ID is a two-dimensional code. 前記セッションIDを含むURLを符号化した情報が電子透かし付き画像であることを特徴とする請求項1に記載の認証システム。   2. The authentication system according to claim 1, wherein information obtained by encoding a URL including the session ID is an image with a digital watermark. 前記セッションIDを含むURLを符号化した情報が非接触ICに格納されていることを特徴とする請求項1に記載の認証システム。   The authentication system according to claim 1, wherein information obtained by encoding a URL including the session ID is stored in a contactless IC. ネットワークを介して接続されるユーザ端末とネット端末と管理サーバとからなり、サービスを提供するユーザを認証する認証システムであって、
前記管理サーバが、
サービスに対応したセッションIDを管理するセッションID管理手段と、
該セッションIDおよびユーザIDを含むURLを符号化した情報を生成する符号化情報生成手段と、
前記ネットワークを介して前記ネット端末にサービスを提供するとともに、該ネット端末のアクセスに応じて、前記セッションIDを含むURLを符号化した情報を送信するアプリケーション処理手段と、
ユーザ情報を管理するユーザ情報管理手段と、
前記ネット端末のユーザ認証を実行するネット端末認証処理手段と、
前記ユーザ端末が前記ネット端末から前記セッションIDを含むURLを符号化した情報を読み取ってアクセスしたときに、ユーザ認証を行うユーザ認証処理手段と、
を備えることを特徴とする認証システム。 An authentication system consisting of a user terminal, a network terminal and a management server connected via a network, for authenticating a user who provides a service,
The management server is
Session ID management means for managing a session ID corresponding to the service;
Encoded information generating means for generating information obtained by encoding a URL including the session ID and user ID;
Application processing means for providing a service to the network terminal via the network and transmitting information obtained by encoding a URL including the session ID in response to the access of the network terminal;
User information management means for managing user information;
Net terminal authentication processing means for performing user authentication of the net terminal;
User authentication processing means for performing user authentication when the user terminal reads and accesses information obtained by encoding a URL including the session ID from the network terminal;
An authentication system comprising: 前記ユーザ情報管理手段がユーザの個人情報およびユーザIDと前記ユーザ端末がアクセスを行った際に、送信されるユーザ端末のID情報とを組み合わせて管理することを特徴とする請求項7に記載の認証システム。   8. The user information managing means manages the personal information and user ID of the user in combination with the ID information of the user terminal that is transmitted when the user terminal accesses. Authentication system. 前記符号化情報生成手段が、ネット端末認証処理手段によるネット端末の認証処理が終了した後に、前記セッションIDおよびユーザIDに基づいて一方向関数により変換されたコードを含むURLを符号化した情報を生成することを特徴とする請求項8に記載の認証システム。   Information obtained by encoding the URL including the code converted by the one-way function based on the session ID and the user ID after the encoded information generating unit completes the authentication process of the network terminal by the network terminal authentication processing unit. The authentication system according to claim 8, wherein the authentication system is generated. 前記セッションIDおよびユーザIDを含むURLを符号化した情報が2次元コードであることを特徴とする請求項8または請求項10に記載の認証システム。   The authentication system according to claim 8 or 10, wherein information obtained by encoding a URL including the session ID and the user ID is a two-dimensional code. 前記セッションIDおよびユーザIDを含むURLを符号化した情報が電子透かし付き画像であることを特徴とする請求項8または請求項10に記載の認証システム。   The authentication system according to claim 8 or 10, wherein information obtained by encoding a URL including the session ID and the user ID is an image with a digital watermark. 前記セッションIDおよびユーザIDを含むURLを符号化した情報が非接触ICに格納されていることを特徴とする請求項8または請求項10に記載の認証システム。   The authentication system according to claim 8 or 10, wherein information obtained by encoding a URL including the session ID and the user ID is stored in a contactless IC. 前記ユーザ端末が携帯電話機であって、前記ユーザ認証処理手段が専用ネットワークのIPアドレスからのアクセスのみを受け付けることを特徴とする請求項8に記載の認証システム。   9. The authentication system according to claim 8, wherein the user terminal is a mobile phone, and the user authentication processing unit accepts only access from an IP address of a dedicated network. 前記ユーザ端末がセッションIDとユーザIDとユーザ端末のIDとの組み合わせを一方向関数により変換したコード情報を前記ユーザ認証処理手段に送信し、前記ユーザ認証処理手段がセッションID管理手段に登録されているセッションIDとユーザIDとユーザ端末のIDとの組み合わせを前記一方向関数により変換したコード情報と前記送信されたコード情報とを比較することによりユーザ認証を実行することを特徴とする請求項8に記載の認証システム。   The user terminal transmits code information obtained by converting a combination of a session ID, a user ID, and a user terminal ID by a one-way function to the user authentication processing unit, and the user authentication processing unit is registered in the session ID management unit. 9. The user authentication is performed by comparing code information obtained by converting a combination of a session ID, a user ID, and a user terminal ID with the one-way function with the transmitted code information. The authentication system described in.
JP2007067801A 2007-03-16 2007-03-16 Authentication system Expired - Fee Related JP5009012B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007067801A JP5009012B2 (en) 2007-03-16 2007-03-16 Authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007067801A JP5009012B2 (en) 2007-03-16 2007-03-16 Authentication system

Publications (2)

Publication Number Publication Date
JP2008226200A true JP2008226200A (en) 2008-09-25
JP5009012B2 JP5009012B2 (en) 2012-08-22

Family

ID=39844675

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007067801A Expired - Fee Related JP5009012B2 (en) 2007-03-16 2007-03-16 Authentication system

Country Status (1)

Country Link
JP (1) JP5009012B2 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010061847A1 (en) * 2008-11-26 2010-06-03 リプレックス株式会社 User-associated information providing server
JP2010157012A (en) * 2008-12-26 2010-07-15 Nippon Telegr & Teleph Corp <Ntt> Authentication system, user terminal connection server apparatus, user terminal apparatus, program for the same
JP2011059936A (en) * 2009-09-09 2011-03-24 Ntt Docomo Inc Authentication server, authentication system, and authentication method
JP2011070693A (en) * 2010-11-04 2011-04-07 Nippon Telegr & Teleph Corp <Ntt> Authentication processing system, authentication processing method and authentication processing program
JP2013524314A (en) * 2010-03-26 2013-06-17 アイグローブ,インコーポレイテッド Authentication method and system using portable terminal
JP2014502394A (en) * 2010-11-25 2014-01-30 エンシグニア リミテッド Encoding information processing
JP2016085620A (en) * 2014-10-27 2016-05-19 凸版印刷株式会社 Personal authentication system and personal authentication method
KR20180064928A (en) * 2016-12-06 2018-06-15 동국대학교 산학협력단 Apparatus and method for certification

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002007345A (en) * 2000-06-16 2002-01-11 Osaka Gas Co Ltd User authenticating method
JP2003281448A (en) * 2002-03-25 2003-10-03 Nippon Telegr & Teleph Corp <Ntt> Anonymous merchandise purchase system for purchasing merchandise by user authentication using mobile device having internet access function
JP2003318884A (en) * 2002-04-23 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> Signature method and device using homomorphic unidirectional function, and method and device for verifying signature
JP2004282295A (en) * 2003-03-14 2004-10-07 Sangaku Renkei Kiko Kyushu:Kk One-time id generating method, authentication method, authentication system, server, client, and program
JP2005099980A (en) * 2003-09-24 2005-04-14 Nippon Telegr & Teleph Corp <Ntt> Service provision method, service provision program, host device, and service provision device
JP2005309860A (en) * 2004-04-22 2005-11-04 Nec Corp Authenticating system and method
JP2006174320A (en) * 2004-12-20 2006-06-29 Nippon Telegr & Teleph Corp <Ntt> Authentication apparatus and authentication method
JP2006244418A (en) * 2005-03-07 2006-09-14 Nippon Telegr & Teleph Corp <Ntt> Service providing system and service providing device

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002007345A (en) * 2000-06-16 2002-01-11 Osaka Gas Co Ltd User authenticating method
JP2003281448A (en) * 2002-03-25 2003-10-03 Nippon Telegr & Teleph Corp <Ntt> Anonymous merchandise purchase system for purchasing merchandise by user authentication using mobile device having internet access function
JP2003318884A (en) * 2002-04-23 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> Signature method and device using homomorphic unidirectional function, and method and device for verifying signature
JP2004282295A (en) * 2003-03-14 2004-10-07 Sangaku Renkei Kiko Kyushu:Kk One-time id generating method, authentication method, authentication system, server, client, and program
JP2005099980A (en) * 2003-09-24 2005-04-14 Nippon Telegr & Teleph Corp <Ntt> Service provision method, service provision program, host device, and service provision device
JP2005309860A (en) * 2004-04-22 2005-11-04 Nec Corp Authenticating system and method
JP2006174320A (en) * 2004-12-20 2006-06-29 Nippon Telegr & Teleph Corp <Ntt> Authentication apparatus and authentication method
JP2006244418A (en) * 2005-03-07 2006-09-14 Nippon Telegr & Teleph Corp <Ntt> Service providing system and service providing device

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010061847A1 (en) * 2008-11-26 2010-06-03 リプレックス株式会社 User-associated information providing server
JP2010157012A (en) * 2008-12-26 2010-07-15 Nippon Telegr & Teleph Corp <Ntt> Authentication system, user terminal connection server apparatus, user terminal apparatus, program for the same
JP2011059936A (en) * 2009-09-09 2011-03-24 Ntt Docomo Inc Authentication server, authentication system, and authentication method
JP2013524314A (en) * 2010-03-26 2013-06-17 アイグローブ,インコーポレイテッド Authentication method and system using portable terminal
JP2011070693A (en) * 2010-11-04 2011-04-07 Nippon Telegr & Teleph Corp <Ntt> Authentication processing system, authentication processing method and authentication processing program
US10530769B2 (en) 2010-11-25 2020-01-07 Ensygnia Ip Ltd (Eipl) Handling encoded information
JP2014502394A (en) * 2010-11-25 2014-01-30 エンシグニア リミテッド Encoding information processing
US9614849B2 (en) 2010-11-25 2017-04-04 Ensygnia Ip Ltd (Eipl) Handling encoded information
JP2017157227A (en) * 2010-11-25 2017-09-07 エンシグニア アイピー リミテッド Handling encoded information
US11146561B2 (en) 2010-11-25 2021-10-12 Ensygnia Ip Ltd (Eipl) Handling encoded information
JP2016085620A (en) * 2014-10-27 2016-05-19 凸版印刷株式会社 Personal authentication system and personal authentication method
KR101979337B1 (en) * 2016-12-06 2019-08-29 동국대학교 산학협력단 Apparatus and method for certification
KR20180064928A (en) * 2016-12-06 2018-06-15 동국대학교 산학협력단 Apparatus and method for certification

Also Published As

Publication number Publication date
JP5009012B2 (en) 2012-08-22

Similar Documents

Publication Publication Date Title
JP5009012B2 (en) Authentication system
JP5258422B2 (en) Mutual authentication system, mutual authentication method and program
CN105850073A (en) Access authentication method and device for information system
JP2007102778A (en) User authentication system and method therefor
JP2006318489A (en) Method and device for confirming authentication of id of service user
CN101083843A (en) Method and system for confirming terminal identity in mobile terminal communication
CN101589569A (en) Secure password distribution to a client device of a network
US8688113B2 (en) Method and system for implementing location service
JP2009124311A (en) Mutual authentication system, mutual authentication method, and program
JP2007235237A (en) Authentication vector generating apparatus, subscriber identity module, mobile communication system and authentication vector generating method
JP2009282561A (en) User authentication system, user authentication method and program
CN103559614A (en) Method of bearer payment
JP2005216250A (en) Reception system, reception auxiliary server, and reception processing server
JP6294203B2 (en) Authentication system
JP2007036562A (en) Telephone number registration/authentication system, method, authentication server, and program
JP6706596B2 (en) Communication system, communication device, and communication method
JP6584824B2 (en) Transaction system, transaction method, and information recording medium
JP6325654B2 (en) Network service providing apparatus, network service providing method, and program
JP5670001B1 (en) Transaction system, transaction method, and information recording medium
KR20140043836A (en) Communication system utilizing fingerprint information and use of the system
CN106936686A (en) A kind of immediate communication platform for supporting safety moving to handle official business
JP2010267215A (en) Password registration system, method, and program
JP2005026963A (en) Communication method, device, and its program
JP2008300961A (en) Information providing system, address book server, and information providing method
JP5584102B2 (en) Authentication system, client terminal, server, authenticated method, authentication method, authentication client program, and authentication server program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090708

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120123

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120522

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120530

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150608

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees