JP2011008456A - Method and system for authentication of terminal device, terminal device, and service provider device - Google Patents

Method and system for authentication of terminal device, terminal device, and service provider device Download PDF

Info

Publication number
JP2011008456A
JP2011008456A JP2009150457A JP2009150457A JP2011008456A JP 2011008456 A JP2011008456 A JP 2011008456A JP 2009150457 A JP2009150457 A JP 2009150457A JP 2009150457 A JP2009150457 A JP 2009150457A JP 2011008456 A JP2011008456 A JP 2011008456A
Authority
JP
Japan
Prior art keywords
authentication
service provider
connection
service
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009150457A
Other languages
Japanese (ja)
Other versions
JP5331592B2 (en
Inventor
Katsuyuki Umezawa
克之 梅澤
Akira Kanehira
晃 兼平
Yoshiaki Yamaguchi
佳昭 山口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2009150457A priority Critical patent/JP5331592B2/en
Priority to PCT/JP2010/001323 priority patent/WO2010150441A1/en
Publication of JP2011008456A publication Critical patent/JP2011008456A/en
Application granted granted Critical
Publication of JP5331592B2 publication Critical patent/JP5331592B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PROBLEM TO BE SOLVED: To solve such the problem that though connection authentication using a first chip by a mobile phone company and service authentication using a second chip by a service provider are independently provided in a mobile phone on which the first chip and the second chip are mounted, it is not possible for the mobile phone company to identify the user of a service provider, and it is not possible for the service provider to identify a mobile phone subscriber.SOLUTION: When the mobile phone company and the service provider perform mobile phone authentication processing, the mobile phone generates connection service authentication information by associating connection authentication information with service authentication information by using first and second mounted chips, and the mobile phone company and the service provider cooperatively verify the authentication information to provide services.

Description

本発明は,サービスセンタ装置と端末装置間で認証処理を行う際に,該端末装置に装着された複数の認証デバイスを用いる連携認証システムおよびその方法に関する。   The present invention relates to a cooperative authentication system and method using a plurality of authentication devices attached to a terminal device when performing authentication processing between a service center device and the terminal device.

近年,携帯電話端末(以下,携帯電話という)が普及し,多くのユーザが利用するようになってきた。携帯電話通信サービス提供者は,携帯電話に内蔵されたICチップ(SIM(Subscriber Identity Module)/USIM(Universal SIM)など)に格納された加入者(契約者)識別情報を用いて認証を行い,通信サービスを提供する。一方,多くの企業では,出張先から社内へのアクセス時には社員に配布したICカードなどのセキュアなデバイスを用いた認証を行うことにより,情報漏えいリスクを回避した安全なリモートアクセスを実現しようとしている。このようなセキュアなデバイスのひとつとして携帯電話に装着し利用できるICデバイス(第二チップ)も使われるようになってきた。   In recent years, mobile phone terminals (hereinafter referred to as mobile phones) have become widespread and have been used by many users. The mobile phone communication service provider authenticates using the subscriber (contractor) identification information stored in the IC chip (SIM (Subscriber Identity Module) / USIM (Universal SIM) etc.) built in the mobile phone. Provide communication services. On the other hand, many companies are trying to achieve safe remote access that avoids the risk of information leakage by performing authentication using a secure device such as an IC card distributed to employees when accessing the company from a business trip destination. . As one of such secure devices, an IC device (second chip) that can be used by being attached to a mobile phone has come to be used.

このような第二チップを装着した携帯電話を用いることで,加入者認証にはSIMチップを用いて,サービスの認証には第二チップを用いることで,それぞれの認証を行うことが可能になるが,両チップを認証することにより様々な利点が生じる。具体的には,携帯電話通信事業者の立場では,携帯電話通信事業者の基盤上でどのようなサービスが行われているのかを把握でき,顧客からのクレーム対策や,単なる通信路という以上のサービス提供の可能性が生じる。また,サービス提供者の立場では,携帯電話向けのサービスに限定できる利点や,携帯電話通信事業者の課金機能などを利用することができる利点なども生じる。   By using a mobile phone equipped with such a second chip, it is possible to perform authentication by using a SIM chip for subscriber authentication and a second chip for service authentication. However, authenticating both chips has various advantages. Specifically, from the standpoint of a mobile phone carrier, it is possible to understand what services are being performed on the base of the mobile phone carrier. The possibility of service provision arises. In addition, from the service provider's standpoint, there are advantages that can be limited to services for mobile phones, and that the charging function of mobile phone carriers can be used.

二つのチップを用いて認証を行う技術として,第一チップとしてのSIMチップの鍵と第二チップとしてのIDカードの鍵の対応関係の保証を公的な第三者が行う方法が知られている(例えば特許文献1 段落0006)。また,加盟店端末からのコマンドを携帯電話が受け取り,携帯電話そのものに対するコマンドなのか,クレジット用ICチップに対するコマンドなのかを判断し振り分ける方法が知られている(例えば特許文献2 段落0006)。さらに,SIMチップの認証を行うとともに携帯電話に登録されたメモリカードか否かを検証する方法が知られている(例えば特許文献3 段落0006)。   As a technology for authentication using two chips, a method is known in which a public third party guarantees the correspondence between the SIM chip key as the first chip and the ID card key as the second chip. (For example, paragraph 0006 of Patent Document 1). Also, a method is known in which a mobile phone receives a command from a member store terminal and determines whether the command is for the mobile phone itself or a command for a credit IC chip (for example, paragraph 0006 in Patent Document 2). Furthermore, a method for authenticating a SIM chip and verifying whether or not the memory card is registered in a mobile phone is known (for example, paragraph 0006 of Patent Document 3).

特開2001-169359号公報JP 2001-169359 特開20003-44765号公報Japanese Unexamined Patent Publication No. 20003-44765 特開2008-293251号公報JP 2008-293251 A

現状では,携帯電話通信事業者がSIMやUSIMを使って携帯電話加入者を認証する仕組みと,携帯電話通信事業者が確立した回線を使ってサービスを提供するサービス提供者が,第二チップを使ってユーザを認証する仕組みと,がそれぞれ独立して提供されている。しかしながら,携帯電話通信事業者がサービス提供者のユーザを識別したり,サービス提供者が携帯電話通信事業者の加入者を識別したりすることができない。   At present, mobile phone carriers use SIM and USIM to authenticate mobile phone subscribers, and service providers that provide services using lines established by mobile phone carriers have set up a second chip. A mechanism for using and authenticating users is provided independently. However, the cellular phone carrier cannot identify the user of the service provider, and the service provider cannot identify the subscriber of the cellular phone carrier.

特許文献1では,SIMとIDカードの対応関係を検証する方法が開示されているが,携帯電話から受信した情報に認証証明を付与する公的な第三者機関が必要である。また,特許文献2は,携帯電話にメモリカードに識別情報を登録し,携帯電話がメモリカードとSIMの対応関係を確認する方法の開示であり,サーバが確認する方法ではない。さらに,特許文献3は,第二チップの機能を制御する発明でありサーバが認証する方法は開示されていない。   Patent Document 1 discloses a method for verifying a correspondence relationship between a SIM and an ID card. However, a public third-party organization that gives an authentication certificate to information received from a mobile phone is required. Further, Patent Document 2 discloses a method of registering identification information in a memory card in a mobile phone, and the mobile phone confirms the correspondence between the memory card and the SIM, and is not a method that the server confirms. Furthermore, Patent Document 3 is an invention for controlling the function of the second chip, and does not disclose a method for authentication by the server.

本発明は,上記事情に鑑みてなされたものであり,端末装置と複数の認証デバイスを使った連携認証システムに関し,さらに詳しくは,複数のサービス提供者装置と端末装置間で認証処理を行う際に,互いの認証処理を連携させる連携認証システムおよびその方法を提供する。   The present invention has been made in view of the above circumstances, and relates to a cooperative authentication system using a terminal device and a plurality of authentication devices, and more specifically, when performing authentication processing between a plurality of service provider devices and a terminal device. In addition, a federated authentication system and method for linking mutual authentication processes are provided.

より具体的に開示するシステムは,該端末装置に装着された複数の認証デバイスを用いて,互いに関連付いた認証情報を生成し,該認証情報を複数のサービス提供者装置で連携して検証することを特徴とする。   More specifically, the disclosed system generates authentication information associated with each other using a plurality of authentication devices mounted on the terminal device, and verifies the authentication information in cooperation with a plurality of service provider devices. It is characterized by that.

複数のサービス提供者装置が,互いの認証処理を連携させ,互いに関連付いた認証情報を検証することができるために,個々のサービス提供者装置が自身のユーザとして確認できるだけでなく,他のサービス提供者装置のユーザとして確認することが可能になる。これにより,より厳密な権限確認が可能になるなど,高度なサービス提供が可能になる。   Since multiple service provider devices can link each other's authentication processes and verify the authentication information associated with each other, not only each service provider device can confirm as its own user, but also other services It becomes possible to confirm as a user of the provider device. This makes it possible to provide advanced services such as more strict authority checks.

たとえば,接続されたネットワーク上でサービスを提供するサービス提供者2の装置から,接続サービスを提供するサービス提供者1の装置へ,接続認証依頼と接続認証情報を送信し接続認証を受けるような場合には,接続認証依頼にサービス提供者2のサービスIDを含めることにより,サービス提供者1装置は,サービス提供者2装置が行おうとしているサービスを把握できるようになり,サービスIDに基づいて,認証の可否を決定することができるようになる。   For example, when a connection authentication request and connection authentication information are sent from the device of the service provider 2 that provides a service on the connected network to the device of the service provider 1 that provides the connection service, and connection authentication is received. , By including the service ID of the service provider 2 in the connection authentication request, the service provider 1 device can grasp the service that the service provider 2 device is going to perform, and based on the service ID, It becomes possible to determine whether or not to authenticate.

または,接続されたネットワーク上でサービスを提供するサービス提供者2の装置から,接続サービスを提供するサービス提供者1の装置へ,事前に,検証用情報を送信しておけば,サービス提供者1装置は,サービス提供者2装置が行おうとしているサービスを把握できるようになり,サービス内容に基づいて,端末装置から要求される認証の可否を決定することができるようになる。   Alternatively, if the verification information is transmitted in advance from the device of the service provider 2 that provides the service on the connected network to the device of the service provider 1 that provides the connection service, the service provider 1 The device can grasp the service that the service provider 2 device is going to perform, and can determine whether or not the authentication required from the terminal device can be performed based on the service content.

開示される端末装置の認証方法は,より具体的には,第一のサービス提供者用の第一の認証デバイスと,第二のサービス提供者用の第二の認証デバイスと,が接続されている端末装置に対して,第二のサービス提供者装置がサービス提供を行う場合の,端末装置の認証方法であって,
端末装置は,第一の認証デバイスへ接続認証要求を送信し,
第一の認証デバイスは,接続認証要求と,自らが保管している秘密情報と,を用いて,接続認証情報を生成して端末装置に送信し,
端末装置は,接続認証情報と,サービス認証要求とを,第二の認証デバイスへ送信し,
第二の認証デバイスは,接続認証情報と,サービス認証要求と,自らが保管している秘密情報と,を用いて,第一の認証デバイスと第二の認証デバイスとを認証する一つの接続サービス認証情報を生成して端末装置に送信し,
端末装置は,接続サービス要求と,接続サービス認証情報と,を,第二のサービス提供者装置へ送信し,
第二のサービス提供者装置は,受信した接続サービス認証情報と,自らが保管している情報と,を用いて,第二の認証デバイスの認証処理を実行し,
第二のサービス提供者装置は,第二の認証デバイスの認証が成功であれば,接続サービス認証情報から接続認証情報を抽出し,該接続認証情報と,接続認証依頼と,を,第一のサービス提供者装置へ送信し,
第一のサービス提供者装置は,受信した接続認証情報と,自らが保管する情報と,を用いて,第一の認証デバイスの認証処理を実行し,第一の認証デバイスの認証結果を第二のサービス提供者装置へ返信し,
第二のサービス提供者装置は,第一の認証デバイスの認証が成功であれば,端末装置へサービスを提供し,
端末装置は,サービスの提供を受けることを特徴とする。 More specifically, the disclosed terminal device authentication method includes a connection between a first authentication device for a first service provider and a second authentication device for a second service provider. An authentication method for a terminal device when a second service provider device provides a service to a terminal device,
The terminal device sends a connection authentication request to the first authentication device,
The first authentication device generates connection authentication information using the connection authentication request and the secret information stored by itself, and transmits the connection authentication information to the terminal device.
The terminal device sends connection authentication information and a service authentication request to the second authentication device,
The second authentication device is a connection service that authenticates the first authentication device and the second authentication device using the connection authentication information, the service authentication request, and the secret information stored by itself. Generate authentication information and send it to the terminal device.
The terminal device sends a connection service request and connection service authentication information to the second service provider device,
The second service provider device executes the authentication process of the second authentication device using the received connection service authentication information and the information stored by itself.
If the authentication of the second authentication device is successful, the second service provider device extracts the connection authentication information from the connection service authentication information, and sends the connection authentication information and the connection authentication request to the first service authentication device. To the service provider device,
The first service provider device executes the authentication process of the first authentication device using the received connection authentication information and the information stored by itself, and sends the authentication result of the first authentication device to the second authentication device. Reply to the service provider device
The second service provider device provides the service to the terminal device if the authentication of the first authentication device is successful.
The terminal device is provided with a service.

開示される端末装置の他の認証方法は,より具体的には,第一のサービス提供者用の第一の認証デバイスと,第二のサービス提供者用の第二の認証デバイスと,が接続されている端末装置に対して,第二のサービス提供者装置がサービス提供を行う場合の,端末装置の認証方法であって,
第二のサービス提供者装置は,第一のサービス提供者装置に対して第二の認証デバイスの認証に使用する検証用情報を配布し,
第一のサービス提供者装置は,受信した検証用情報を,自らに保管し,
端末装置は,第一の認証デバイスへ接続認証要求を送信し,
第一の認証デバイスは,接続認証要求と,自らが保管している秘密情報と,を用いて,接続認証情報を生成して端末装置に送信し,
端末装置は,接続認証情報と,サービス認証要求とを,第二の認証デバイスへ送信し,
第二の認証デバイスは,接続認証情報と,サービス認証要求と,自らが保管している秘密情報と,を用いて,第一の認証デバイスと第二の認証デバイスとを認証する一つの接続サービス認証情報を生成して端末装置に送信し,
端末装置は,接続サービス要求と,接続サービス認証情報と,を,第一のサービス提供者装置へ送信し,
第一のサービス提供者装置は,自らが保管している,第二の認証デバイスの認証に使用する検証用情報と,接続サービス認証情報と,を用いて,第二の認証デバイスの認証処理を実行し,
第一のサービス提供者装置は,第二の認証デバイスの認証が成功であれば,接続サービス認証情報から接続認証情報を抽出し,
第一のサービス提供者装置は,抽出した接続認証情報と,自らが保管する情報を用いて,第一の認証デバイスの認証処理を実行して,第一の認証デバイスの認証結果を第二のサービス提供者装置へ送信し,
第二のサービス提供者装置は,第一の認証デバイスの認証と第二の認証デバイスの認証とが成功であれば,第二のサービス提供者装置のサービス提供部は,端末装置へサービスを提供し,
端末装置のサービス享受部は,サービスの提供を受けることを特徴とする。 More specifically, another authentication method of the disclosed terminal device is a connection between a first authentication device for a first service provider and a second authentication device for a second service provider. An authentication method for a terminal device when the second service provider device provides a service to the terminal device being operated,
The second service provider device distributes verification information used for authentication of the second authentication device to the first service provider device,
The first service provider device stores the received verification information in itself,
The terminal device sends a connection authentication request to the first authentication device,
The first authentication device generates connection authentication information using the connection authentication request and the secret information stored by itself, and transmits the connection authentication information to the terminal device.
The terminal device sends connection authentication information and a service authentication request to the second authentication device,
The second authentication device is a connection service that authenticates the first authentication device and the second authentication device using the connection authentication information, the service authentication request, and the secret information stored by itself. Generate authentication information and send it to the terminal device.
The terminal device transmits a connection service request and connection service authentication information to the first service provider device,
The first service provider device performs authentication processing of the second authentication device using the verification information used for authentication of the second authentication device and the connection service authentication information stored by itself. Run,
If the authentication of the second authentication device is successful, the first service provider device extracts the connection authentication information from the connection service authentication information,
The first service provider device executes the authentication process of the first authentication device using the extracted connection authentication information and the information stored by itself, and sends the authentication result of the first authentication device to the second authentication device. To the service provider device,
If the authentication of the first authentication device and the authentication of the second authentication device are successful, the service provider of the second service provider device provides the service to the terminal device. And
The service receiving unit of the terminal device is characterized by receiving a service.

上記態様によれば,携帯電話通信事業者の立場では,携帯電話通信事業者の基盤上でどのようなサービスが行われているのかを把握でき,単なる通信路の提供以上のサービス提供が可能になる。また,サービス提供者の立場では,携帯電話向けのサービスに限定できる利点や,携帯電話通信事業者の課金機能などを利用することができる利点なども生じる。   According to the above aspect, from the standpoint of the mobile phone carrier, it is possible to grasp what service is being performed on the base of the mobile phone carrier, and it is possible to provide more than just providing a communication path. Become. In addition, from the standpoint of service providers, there are advantages that can be limited to services for mobile phones, and that the charging function of mobile phone carriers can be used.

本発明によれば,サービス提供者が他のサービス提供者の認証結果を考慮したうえでサービス提供の可否を判断できるようになる。   According to the present invention, the service provider can determine whether or not the service can be provided in consideration of the authentication result of the other service provider.

実施例1の複数デバイス連携認証システムの構成例を示す図である。It is a figure which shows the structural example of the multiple device cooperation authentication system of Example 1. FIG. サービス提供者装置,端末装置のハードウェア構成例を示す図である。It is a figure which shows the hardware structural example of a service provider apparatus and a terminal device. ICカード装置のハードウェア構成例を示す図である。It is a figure which shows the hardware structural example of an IC card apparatus. 実施例1のサービス提供者装置2がサービス提供者装置1に認証依頼を行い,認証後サービスを提供する際の処理フロー例を示す図である。It is a figure which shows the example of a processing flow when the service provider apparatus 2 of Example 1 requests | requires an authentication request | requirement to the service provider apparatus 1, and provides a post-authentication service. 実施例1のサービス提供者装置1がサービス提供者装置2の代わりに認証処理を行い,認証結果をサービス提供者装置2に通知しサービスを提供する際の処理フロー例を示す図である。FIG. 5 is a diagram illustrating an example of a processing flow when the service provider device 1 according to the first embodiment performs authentication processing instead of the service provider device 2, notifies the service provider device 2 of an authentication result, and provides a service.

本発明の実施形態について説明する。なお,これにより本発明が限定されるものではない。   An embodiment of the present invention will be described. Note that the present invention is not limited thereby.

図1は,本実施例の複数デバイス連携認証システムの構成図である。本実施例の複数デバイス連携認証システムは,図1に示すように,端末装置30と複数のサービス提供者装置50nとがインターネットや携帯電話網などのネットワーク40を介して互いに接続されている。また,端末装置30と複数のICカード装置10nは,端末装置30のICカードアクセス部を介して互いに接続されている。   FIG. 1 is a configuration diagram of a multi-device cooperative authentication system according to this embodiment. In the multi-device cooperative authentication system of this embodiment, as shown in FIG. 1, a terminal device 30 and a plurality of service provider devices 50n are connected to each other via a network 40 such as the Internet or a mobile phone network. The terminal device 30 and the plurality of IC card devices 10n are connected to each other via the IC card access unit of the terminal device 30.

端末装置30は,ネットワーク40を介して,サービス提供者n装置50nとの間で,データやコマンドを送受信するデータ送受信部301と,サービス提供者n装置50nから受信したデータやコマンドをICカードn装置10nへ送信し,該ICカードn装置10nからの返信としてデータやコマンドを受信するICカードアクセス部303と,サービス提供者n装置50nから提供されるサービスを享受するサービス享受部304と,を含む。   The terminal device 30 includes a data transmission / reception unit 301 that transmits and receives data and commands to and from the service provider n device 50n via the network 40, and an IC card n that receives data and commands received from the service provider n device 50n. An IC card access unit 303 that transmits data to the device 10n and receives data and commands as a reply from the IC card n device 10n, and a service receiving unit 304 that receives a service provided from the service provider n device 50n. Including.

ICカード装置n10nは,端末装置30との間でデータやコマンドを送受信するデータ送受信部101と,サービス提供者装置50nへ送信する認証情報を生成する際に使用する鍵を保管する鍵保管部103と,認証情報を生成する認証処理部102と,を含む。   The IC card device n10n includes a data transmission / reception unit 101 that transmits / receives data and commands to / from the terminal device 30, and a key storage unit 103 that stores a key used when generating authentication information to be transmitted to the service provider device 50n. And an authentication processing unit 102 that generates authentication information.

サービス提供者装置50nは,ネットワーク40を介して,端末装置30との間でデータやコマンドを送受信する通信部501と,端末装置30を経由して,ICカード装置n10nと接続認証処理を行う認証処理部502と,認証処理で用いる秘密情報を保管する鍵保管部503と,端末装置30に対してサービスを提供するサービス提供部504と,を含む。   The service provider device 50n performs authentication for connection authentication with the IC card device n10n via the communication device 501 that transmits / receives data and commands to / from the terminal device 30 via the network 40 and the terminal device 30. A processing unit 502, a key storage unit 503 that stores secret information used in the authentication process, and a service providing unit 504 that provides a service to the terminal device 30 are included.

図2は,サービス提供者装置50nのハードウェア構成である。サービス提供者装置50nは,CPU51,主記憶装置52,補助記憶装置54,通信装置55,入出力装置56,記憶媒体58の読取装置57などがバスなどの内部通信線59で接続された構成を備える電子計算機で実現可能である。   FIG. 2 shows a hardware configuration of the service provider device 50n. The service provider device 50n has a configuration in which a CPU 51, a main storage device 52, an auxiliary storage device 54, a communication device 55, an input / output device 56, a reading device 57 for a storage medium 58, and the like are connected by an internal communication line 59 such as a bus. It can be realized with an electronic computer provided.

図示を省略するが,端末装置30も,規模や性能の違いは有るが,サービス提供者装置50nと同様のハードウェア構成を備える電子計算機で実現可能である。   Although illustration is omitted, the terminal device 30 can also be realized by an electronic computer having the same hardware configuration as the service provider device 50n, although there are differences in scale and performance.

図3は,ICカード装置10nのハードウェア構成である。ICカード装置10nは,入出力装置11,CPU12,耐タンパ記憶装置13,耐タンパメモリ14などがバスなどの内部通信線15で接続された構成を備える。   FIG. 3 shows a hardware configuration of the IC card device 10n. The IC card device 10n has a configuration in which an input / output device 11, a CPU 12, a tamper resistant storage device 13, a tamper resistant memory 14, and the like are connected by an internal communication line 15 such as a bus.

本実施例の認証処理について説明する。サービス提供装置50n,端末装置30の各処理部の処理は,補助記憶装置54に格納された処理プログラムが主記憶装置52にロードされ,CPU51により実行されることにより,実現される。また,各プログラムは予め補助記憶装置54に格納されても良いし,他の記憶媒体または通信媒体(ネットワーク,またはネットワークを伝搬する搬送波またはディジタル信号)を介して,必要なときにロードされても良い。   The authentication process of a present Example is demonstrated. The processing of each processing unit of the service providing device 50n and the terminal device 30 is realized by loading a processing program stored in the auxiliary storage device 54 into the main storage device 52 and executing it by the CPU 51. Each program may be stored in advance in the auxiliary storage device 54, or may be loaded through another storage medium or communication medium (network, carrier wave or digital signal propagating through the network) when necessary. good.

同様に,ICカード装置10nの各処理部の処理は,耐タンパ記憶装置13に格納された処理プログラムが耐タンパメモリ14にロードされ,CPU21により実行されることにより,実現される。また,各プログラムは予め耐タンパ記憶装置13に格納されても良いし,他の記憶媒体または通信媒体(ネットワーク,またはネットワークを伝搬する搬送波またはディジタル信号)を介して,必要なときにロードされても良い。   Similarly, the processing of each processing unit of the IC card device 10n is realized by loading a processing program stored in the tamper resistant storage device 13 into the tamper resistant memory 14 and executing it by the CPU 21. Each program may be stored in the tamper-resistant storage device 13 in advance, or loaded when necessary via another storage medium or communication medium (a network or a carrier wave or a digital signal propagating through the network). Also good.

図4は,端末装置30に,サービス提供者1用の認証デバイスであるICカード1装置101と,サービス提供者2用の認証デバイスであるICカード2装置102と,が接続され,端末装置30から,サービス提供者2装置502へサービス要求を行い,サービス提供者2装置502が,サービス提供者1装置501と連携して,ICカード1装置101と,ICカード2装置102の両方を認証した後に,端末装置30にサービスを提供する際の処理フロー図である。 4, the terminal device 30, the IC card 1 10 1 is an authentication device for the service provider 1, and the IC card 2 10 2 is the authentication device for the service provider 2, are connected, the terminal A service request is made from the device 30 to the service provider 2 device 50 2 , and the service provider 2 device 50 2 cooperates with the service provider 1 device 50 1 to connect the IC card 1 device 10 1 and the IC card 2 device. FIG. 10 is a process flow diagram when providing a service to the terminal device 30 after both of the authentication information 10 2 are authenticated.

サービス提供者1装置501は,例えば,携帯電話網への接続サービスを提供する携帯通信事業者装置,ICカード装置101は,SIMチップ,サービス提供者2装置502は,例えば,動画配信サーバ装置,ICカード装置102は,B-CASカード(ディジタル放送の著作権保護に用いるICカード)と考えられる。 The service provider 1 device 50 1 is, for example, a mobile communication carrier device that provides a connection service to a mobile phone network, the IC card device 10 1 is a SIM chip, and the service provider 2 device 50 2 is, for example, a video distribution server device, IC card device 10 2 is considered B-CAS card (IC card for use in the copyright protection of digital broadcasting).

また,以下の説明においては,サービス提供者装置n50nの通信部501,端末装置30のデータ送受信部301,ICカードアクセス部303,ICカードn装置nのデータ送受信部101の処理については,説明を省略する。   In the following description, the processing of the communication unit 501 of the service provider device n50n, the data transmission / reception unit 301 of the terminal device 30, the IC card access unit 303, and the data transmission / reception unit 101 of the IC card n device n will be described. Omitted.

まず,端末装置30のサービス享受部304は,サービス提供者2装置502に対するサービス要求処理を行い,サービス要求A301を送信する(S301)。 First, the service enjoying unit 304 of the terminal device 30 performs a service request processing for the service provider 2 50 2 transmits a service request A301 (S301).

サービス要求A301を受けたサービス提供者2装置502の認証処理部502は,サービス提供者1装置50において,サービスを提供するために必要な接続認証処理が,既に済んでいるか否かを確認するための接続認証確認処理を行い,サービス提供者1装置50へ接続認証確認A521を送信する(S521)。 The authentication processing unit 502 of the service received a service request A301 provider 2 50 2, identified in the service provider 1 50 1, the connection authentication processing necessary for providing the service, whether in already finished It performs connection authentication confirmation process for, transmitting the connection authentication check A521 to the service provider 1 apparatus 50 1 (S521).

接続認証確認A521を受信したサービス提供者1装置50の認証処理部502は,接続認証確認処理を行い,未だ接続認証処理が済んでいないことを確認した後に,サービス提供者2装置502に対して,接続認証要求A511を返信する(S511)。 The authentication processing unit 502 of the service provider 1 50 1 receives the connection authentication check A521 performs connection authentication confirmation process, after confirming that have not yet still connected authentication processing, the service provider 2 50 2 In response, a connection authentication request A511 is returned (S511).

サービス提供者2装置502の認証処理部502は,接続認証要求A511に応答して接続認証要求処理を行い,端末装置30に対して接続認証要求A522を送信する(S522)。 The authentication processing unit 502 of the service provider 2 50 2 performs connection authentication request processing in response to a connection authentication request A511, transmits a connection authentication request A522 to the terminal apparatus 30 (S522).

端末装置30は,接続認証要求A522の受信により,要求したサービスを享受するために必要な,サービスを受けるための認証と接続するための認証とが済んでおらず,必要ということがわかるので,まず,接続認証要求処理を行い,ICカード1装置101へ接続認証要求A302を送信する(S302)。 Since the terminal device 30 receives the connection authentication request A522, it can be understood that the authentication for receiving the service and the authentication for connecting are necessary and necessary for enjoying the requested service. first, a connection authentication request process, and transmits a connection authentication request A302 to the IC card 1 apparatus 10 1 (S302).

ICカード1装置101の認証処理部102は,接続認証情報生成処理を行い,接続認証要求A302と,鍵保管部106に保管している秘密情報と,を用いて,接続認証情報A111を生成し,端末装置30に送信する(S111)。具体的には,例えば,認証処理部102が,予め,サービス提供者1装置50と共有する共通鍵1(秘密鍵1)で,接続認証要求A302を暗号化したり,あるいは接続要求A302に含まれる乱数等のデータを暗号化したり,することにより,生成する。 The authentication processing unit 102 of the IC card 1 10 1 performs connection authentication information generating process, using the connection authentication request A 302, and the secret information stored in the key storage unit 106, and generates connection authentication information A111 Then, it is transmitted to the terminal device 30 (S111). Specifically, for example, the authentication processing unit 102, in advance, a common key 1 to be shared with the service provider 1 50 1 (private key 1), to encrypt the connection authentication request A302, or included in the connection request A302 It is generated by encrypting or randomizing data such as random numbers.

端末装置30は,接続認証情報A111を含むサービス認証情報を生成するため,サービス認証要求処理を行い,接続認証情報A111と,サービス認証要求A303とを,ICカード2装置102へ送信する(S303)。 Terminal device 30, for generating the service authentication information including the connection authentication information A111, performs service authentication request process, the connection authentication information A111, the service authentication request A303, and transmits to the IC card 2 device 10 2 (S303 ).

ICカード2装置102の認証処理部102は,サービス認証情報生成処理を行い,接続認証情報A111と,サービス認証要求A303と,鍵保管部106に保管している秘密情報と,を用いて,接続サービス認証情報A121を生成し,端末装置30に送信する(S121)。 The authentication processing unit 102 of the IC card 2 10 2 performs service authentication information generating process, using the connection authentication information A111, the service authentication request A303, the secret information stored in the key storage unit 106, a, The connection service authentication information A121 is generated and transmitted to the terminal device 30 (S121).

接続サービス認証情報A121は,サービスの提供を受けるためのサービス認証情報と接続するための接続認証情報とを兼ねるもので,具体的には,認証処理部102が,サービス認証要求A303と接続認証情報A111を予め定めた所定のフォーマットで連結したものに対して,予め,サービス提供者2装置50と共有する共通鍵2(秘密鍵2)で暗号化することにより,生成する。または,認証処理部102が,サービス認証要求A303と接続認証情報A111とを,個別に,予め,サービス提供者2装置50と共有する共通鍵2(秘密鍵2)で暗号化し,予め定めた所定のフォーマットで連結し,生成する。 The connection service authentication information A121 serves as both service authentication information for receiving provision of service and connection authentication information for connection. Specifically, the authentication processing unit 102 receives the service authentication request A303 and the connection authentication information. against the concatenation at a predetermined prescribed format A111, advance, by encrypting the common key 2 (secret key 2) to be shared with the service provider 2 50 2 generates. Or, the authentication processing section 102, and a connection authentication information A111 and the service authentication request A303, individually, pre-encrypted by the common key 2 (secret key 2) to be shared with the service provider 2 50 2, predetermined Concatenate and generate in a predetermined format.

端末装置30は,接続要求とサービス要求とを兼ねる接続サービス要求処理を行い,接続サービス認証情報A121と,接続サービス要求A304と,をサービス提供者2装置502へ送信する(S304)。 Terminal device 30 performs a connection service request processing also serving as a connection request and the service request, and connection service authentication information A121, the connection service request A 304, and transmits the to the service provider 2 device 50 2 (S304).

サービス提供者2装置502の認証処理部502は,受信した接続サービス認証情報A121に対して,自らが鍵保管部503に保管する情報,具体的には,S121で用いられた共通鍵2,を用いた復号処理を行い,復号の正否によるサービス認証処理,すなわちICカード2装置10の認証処理,を実行する(S523,S524)。 Authentication processing unit 502 2 of the service provider 2 50 2, with the connectivity service authentication information A121 received, itself stored in the key storage unit 503 information, specifically, the common key 2 used in S121 performs decoding processing using the service authentication process by correctness of decoding, i.e. the authentication process of the IC card 2 10 2, the execution (S523, S524).

サービス提供者2装置502は,認証が失敗であれば(S524でNO),端末装置30にエラー通知A523を送信する。認証が成功であれば(S524でYES),予め定めた所定フォーマットに従い,復号した接続サービス認証情報A121に含まれる接続認証情報A111を抽出し,該接続認証情報A111と接続認証依頼A524とを,サービス提供者1装置501へ送信する。 If the authentication is unsuccessful (NO in S524), the service provider 2 device 50 2 transmits an error notification A523 to the terminal device 30. If the authentication is successful (YES in S524), the connection authentication information A111 included in the decrypted connection service authentication information A121 is extracted according to a predetermined format, and the connection authentication information A111 and the connection authentication request A524 are This is transmitted to the service provider 1 device 50 1 .

サービス提供者1装置501の認証処理部502は,受信した接続認証情報A111と,自らが鍵保管部503に保管する情報(ICカード1装置10との間で共有する,S111で用いられた共通鍵1(秘密鍵1))と,を用いて,接続認証処理,すなわちICカード1装置10の認証処理を実行し,接続認証結果A512をサービス提供者2装置502へ送信する(S512)。 The authentication processing unit 502 of the service provider 1 50 1 includes a connection authentication information A111 received, itself is shared between the stored information (IC card 1 10 1 in the key storage unit 503 is used in the S111 and a common key 1 (secret key 1)), using a connection authentication process, i.e. performs the authentication process of the IC card 1 10 1, and transmits the connection authentication result A512 to the service provider 2 50 2 ( S512).

具体的には,サービス提供者1装置501の認証処理部502は,上記共通鍵1(秘密鍵1)を用いて,接続認証情報A111の復号処理を行い,復号の成否を接続認証結果A512とする。 Specifically, the authentication processing unit 502 of the service provider 1 apparatus 50 1 uses the common key 1 (secret key 1) to decrypt the connection authentication information A111, and determines whether or not the decryption has succeeded in the connection authentication result A512. And

サービス提供者2装置502の認証処理部502は,接続認証結果A512の検証処理(S525)を行い,認証が失敗であれば(S525でNO),端末装置30にエラー通知A525を送信する。成功であれば(S525でYES),サービス提供者2装置502のサービス提供部504は,端末装置30へサービスA526を提供するサービス提供処理を行い(S526),端末装置30のサービス享受部304は,サービスの提供を受ける(S305)。 The authentication processing unit 502 of the service provider 2 50 2 performs verification processing of the connection authentication result A512 (S525), if the authentication is unsuccessful (NO in S525), an error notification is transmitted A525 to the terminal apparatus 30. If successful (YES in S525), the service providing unit 504 of the service provider 2 50 2 performs the service providing process for providing a service A526 to the terminal apparatus 30 (S526), the service receiving unit 304 of the terminal device 30 Receives the service (S305).

以上説明したように,接続サービス認証情報A121が,接続認証情報とサービス認証情報とを含むので,サービス提供者2装置502は,端末装置30がサービス提供者1装置50に認証されていることを把握でき,また,逆に,サービス提供者1装置501は,端末装置30がサービス提供者2装置502に認証されていることを把握できる。 As described above, connection service authentication information A121 is, because it includes a connection authentication information and service authentication information, the service provider 2 50 2, the terminal device 30 is authenticated to the service provider 1 50 1 Conversely, the service provider 1 device 50 1 can grasp that the terminal device 30 is authenticated by the service provider 2 device 50 2 .

本実施例では,サービス提供者1装置50とサービス提供者2装置50とが個別に検証を行っている。ただし,サービス提供者1装置50は,サービス提供者2装置50から接続認証を依頼される(A524)ので,サービス提供者2装置50が当該接続認証にサービス提供者1のサービスIDを含めることにより,サービス提供者1装置50はサービス提供者2装置50が行うとしているサービスを把握することが可能になる。すなわち,サービス提供者1装置50は,サービスIDに基づいて,認証の可否を決定することができるようになる。 In this embodiment, the service provider 1 50 1 and the service provider 2 50 2 is validating individually. However, the service provider 1 50 1 because they are asked to connection authentication from the service provider 2 50 2 (A524), the service ID of the service provider 1 Service provider 2 50 2 to the connection authentication by including the service provider 1 50 1 makes it possible to grasp the service by the service provider 2 50 2 is set to perform. That is, the service provider 1 50 1, based on the service ID, it is possible to determine whether authentication is successful or not.

本実施形態は,以下に述べる,事前に検証情報(図5のA527)を配布できないような場合に有効である。   This embodiment is effective when verification information (A527 in FIG. 5) described below cannot be distributed in advance.

図5は,端末装置30に,サービス提供者1用の認証デバイスであるICカード1装置101と,サービス提供者2用の認証デバイスであるICカード2装置102と,が接続され,端末装置30から,サービス提供者1装置501へ接続要求を行い,サービス提供者1装置501が,事前にサービス提供者2装置502から取得している検証用情報を使用して,ICカード1装置101と,ICカード2装置102の両方を認証した後に,端末装置30にサービスを提供する際の処理フロー図である。 5, the terminal apparatus 30, the IC card 1 10 1 is an authentication device for the service provider 1, and the IC card 2 10 2 is the authentication device for the service provider 2, are connected, the terminal from the device 30 performs a connection request to the service provider 1 50 1, the service provider 1 50 1, using the verification information acquired in advance from the service provider 2 50 2, IC card FIG. 5 is a process flow diagram when providing a service to the terminal device 30 after authenticating both the 1 device 10 1 and the IC card 2 device 10 2 .

サービス提供者1装置501は,例えば,携帯電話網への接続サービスを提供する携帯通信事業者装置,ICカード1装置101は,SIMチップ,サービス提供者2装置502は,例えば,携帯電話通信事業者が提供する安全なネットワーク上で,携帯電話へのサービスを提供する公的サービス提供装置,ICカード2装置102は,公的IDカード(例えば,日本の住人基本台帳カードや,国外のeIDカードなど)と考えられる。 The service provider 1 device 50 1 is, for example, a mobile communication carrier device that provides a connection service to a mobile phone network, the IC card 1 device 10 1 is a SIM chip, and the service provider 2 device 50 2 is, for example, a mobile phone A public service providing device that provides services to mobile phones on a secure network provided by a telephone carrier, an IC card 2 device 10 2 is a public ID card (for example, a basic resident register card in Japan, This may be a foreign eID card).

また,以下の説明においては,サービス提供者装置n50nの通信部501,端末装置30のデータ送受信部301,ICカードアクセス部303,ICカードn装置nのデータ送受信部101の処理については,説明を省略する。   In the following description, the processing of the communication unit 501 of the service provider device n50n, the data transmission / reception unit 301 of the terminal device 30, the IC card access unit 303, and the data transmission / reception unit 101 of the IC card n device n will be described. Omitted.

まず,サービス提供者2装置502の認証処理部502は,事前に,検証用情報配布処理として,サービス提供者1装置501に対して,ICカード2装置102を認証する際に使用する検証用情報A527を配布する(S527)。検証用情報A527は例えば,ICカード2装置102の鍵保管部103に保管する鍵に対応した公開鍵証明書を発行した認証局の証明書などでよい。 First, the authentication processing unit 502 of the service provider 2 device 50 2 is used in advance to authenticate the IC card 2 device 10 2 to the service provider 1 device 50 1 as verification information distribution processing. The verification information A527 is distributed (S527). Verification information A527 is, for example, be in such certificate authority certificate that issued the public key certificate corresponding to the key stored in the key storage unit 103 of the IC card 2 10 2.

サービス提供者1装置501は,検証用情報保管処理として,受信した検証用情報A301を,鍵保管部503に保管する(S514)。 Service provider 1 50 1, as verification information storage process, the verification information A301 received and stored in the key storage unit 503 (S514).

その後,端末装置30のサービス享受部304は,サービス要求処理を行い,サービス提供者1装置501に対して接続要求A303を送信する(S301)。 Thereafter, the service receiving unit 304 of the terminal device 30 performs service request processing and transmits a connection request A303 to the service provider 1 device 50 1 (S301).

サービス提供者1装置501の認証処理部502は,接続要求A303に基づいて接続認証処理を行い,未だ認証処理が行われていないことが分かるので,接続認証要求A522を端末装置30に対して送信する(S511)。 The authentication processing unit 502 of the service provider 1 apparatus 50 1 performs the connection authentication process based on the connection request A303 and knows that the authentication process has not yet been performed, so the connection authentication request A522 is sent to the terminal device 30. Transmit (S511).

端末装置30の接続認証要求処理(S302)から接続サービス要求処理(S304)までのフローは図4と同様である。ただし,S304における,接続サービス認証情報A121と接続サービス要求A304の送信先は,サービス提供者1装置50となる点が異なる。 The flow from the connection authentication request process (S302) to the connection service request process (S304) of the terminal device 30 is the same as that in FIG. However, in S304, the connection service destination of the authentication information A121 and connection service request A304, the point at which the service provider 1 50 1 are different.

接続サービス要求A304と接続サービス認証情報A121を,受信したサービス提供者1装置501の認証処理部502は,接続認証処理を行い,鍵保管部503に事前に保管した検証用情報A527(S121で用いられた共通鍵2)を用いて,接続サービス認証情報A121の復号処理を行い,復号の成否による正当性の検証を行う(S513)。 The connection service request A304 and connection service authentication information A121, the authentication processing unit 502 of the service provider 1 50 1 it has been received, performs connection authentication process, the verification information A527 (S121 that was stored in advance in the key storage unit 503 Using the common key 2) used, the connection service authentication information A121 is decrypted, and the validity is verified by the success or failure of the decryption (S513).

その後,認証処理部502は,予め定めた所定フォーマットに従い,復号した接続サービス認証情報A121に含まれる接続認証情報A111を抽出し,自らが鍵保管部503に保管する情報(ICカード1装置10との間で共有しS111で用いられた共通鍵1(秘密鍵1))を用いて,接続認証処理を実行し,接続認証結果A512をサービス提供者装置502へ送信する(S512)。 Thereafter, the authentication processing unit 502 extracts the connection authentication information A111 included in the decrypted connection service authentication information A121 in accordance with a predetermined format, and information stored in the key storage unit 503 (IC card 1 device 10 1). common key 1 used in shared S111 with the (secret key 1)) was used to perform the connection authentication process, and transmits the connection authentication result A512 to the service provider device 50 2 (S512).

具体的には,サービス提供者1装置501の認証処理部502は,上記共通鍵1(秘密鍵1)を用いて,接続認証情報A111の復号処理を行い,復号の成否を接続認証結果A512とする。 Specifically, the authentication processing unit 502 of the service provider 1 apparatus 50 1 uses the common key 1 (secret key 1) to decrypt the connection authentication information A111, and determines whether or not the decryption has succeeded in the connection authentication result A512. And

S512は,サービス提供者1装置50が,サービス提供者1自身のサービス(接続サービス)のユーザを認証する処理であるが,もし,S513での正当性の検証に失敗した場合は,S512では,さらなる検証処理を行わずに,S513の検証失敗をA512としてサービス提供者2装置50に通知しても良い。また,S513とS512の両方の認証処理結果を,まとめてA512として送信しても良い。または,S513での検証が失敗であれば,その時点でサービス提供者1装置50に結果を送信し,その後にS512を行っても良いし,または,S512での認証処理を先に行っても良い。 S512, the service provider 1 50 1, is a process of authenticating the user of the service provider 1 own services (connection service), If, If the verification fails the validity at S513, the S512 , without further verification process may be notified to the service provider 2 50 2 verification failure S513 as A512. Further, the authentication processing results of both S513 and S512 may be collectively transmitted as A512. Or, if failure verification in S513, and sends the result to the service provider 1 50 1 at that time, to subsequently S512 may be carried out, or by performing an authentication process at S512 above Also good.

サービス提供者2装置502の認証処理部502は,接続認証結果A512の検証処理(S525)を行い,認証が失敗であれば(S525でNO),端末装置30にエラー通知A525を送信する。成功であれば(S525でYES),サービス提供者2装置502のサービス提供部504は,端末装置30へサービスA526を提供するサービス提供処理を行い(S526),端末装置30のサービス享受部304は,サービスの提供を受ける(S305)。 The authentication processing unit 502 of the service provider 2 50 2 performs verification processing of the connection authentication result A512 (S525), if the authentication is unsuccessful (NO in S525), an error notification is transmitted A525 to the terminal apparatus 30. If successful (YES in S525), the service providing unit 504 of the service provider 2 50 2 performs the service providing process for providing a service A526 to the terminal apparatus 30 (S526), the service receiving unit 304 of the terminal device 30 Receives the service (S305).

本実施例では,サービス提供者1装置50が接続認証とサービス認証の両方をまとめて行っている。サービス提供者1装置50は,事前に受信する検証用情報A527により,サービス提供者2装置50が行うとしているサービスを,把握することが可能になる。すなわち,サービス提供者1装置50は,サービス内容に基づいて,端末装置30から要求される認証の可否を決定することができるようになる。 In this embodiment, the service provider 1 50 1 are collectively performed both connection authentication and service authentication. Service provider 1 50 1, the verification information A527 to receive in advance, the service which the service provider 2 50 2 is to perform, it is possible to grasp. That is, the service provider 1 50 1 on the basis of the service contents, it is possible to determine whether the authentication is requested from the terminal device 30.

本実施形態は,サービス提供者1装置50サービス提供者2装置50に信頼関係があり,事前に検証情報(図5のA527)を配布できる場合に有効である。 This embodiment is effective when the service provider 1 device 50 1 and the service provider 2 device 50 2 have a trust relationship and the verification information (A527 in FIG. 5) can be distributed in advance.

なお,図4に示した例では,サービス提供者2装置502は,サービス提供者1装置501に対して接続認証確認処理(S521)を行っているが,明らかに該端末装置30が事前に認証処理を行っていないことがわかる場合には,接続認証確認処理(S521)を省略して,接続認証要求処理(S522)に進んでも良い。 In the example shown in FIG. 4, the service provider 2 device 50 2 performs the connection authentication confirmation process (S521) for the service provider 1 device 50 1 . If it is found that the authentication process is not performed, the connection authentication confirmation process (S521) may be omitted and the process may proceed to the connection authentication request process (S522).

また,端末装置30は,開始時にサービス要求処理(S301)を行っているが,該処理を省略して(S521,S522も省略される)接続認証要求処理(S302)から開始しても良い。   Further, the terminal device 30 performs the service request process (S301) at the start, but the process may be omitted (S521 and S522 are also omitted) and may be started from the connection authentication request process (S302).

また,図5に示した例では,端末装置30は,開始時にサービス要求処理(S301)を行っているが,該処理を省略して接続認証要求処理(S302)から開始しても良い。   In the example shown in FIG. 5, the terminal device 30 performs the service request process (S301) at the start, but the process may be omitted and the terminal authentication process may be started from the connection authentication request process (S302).

また,図4および図5に示した例では,サービス提供者1装置501は,接続認証処理(S512)を行った後,接続認証結果A512をサービス提供者2装置502に返信しているが,接続認証結果A512を端末装置30に返信して,再度,端末装置30からサービス提供者2装置502に接続認証結果A512とともに接続要求を行うようにしてもよい。その場合には,サービス提供者2装置502は該接続認証結果A512が,サービス提供者1装置501が生成した正当なものであることを確認するようにする。 In the example shown in FIGS. 4 and 5, the service provider 1 device 50 1 returns the connection authentication result A 512 to the service provider 2 device 50 2 after performing the connection authentication process (S512). but the connection authentication result A512 reply to the terminal device 30, again, may be a connection request together with the connection authentication result A512 from the terminal device 30 to the service provider 2 50 2. In this case, the service provider 2 device 50 2 confirms that the connection authentication result A 512 is a valid one generated by the service provider 1 device 50 1 .

また,図4および図5に示した例では,端末装置30の処理として,接続認証要求処理(S302)を行った後に,サービス認証要求処理(S303)を行うことにしているが,該処理の順序は逆でも良い。   In the example shown in FIGS. 4 and 5, as the processing of the terminal device 30, the service authentication request process (S 303) is performed after the connection authentication request process (S 302). The order may be reversed.

さらに,図4,および,図5に示した例において,ICカード1装置101の接続認証情報生成処理(S111)およびICカード2装置102の接続認証情報生成処理(S121)は,共通鍵暗号技術に基づいた演算を行うものとして説明したが,公開鍵暗号技術に基づいた演算をおこなうようにしても良い。その場合,対応するサービス提供者1装置501および,サービス提供者2装置502の認証処理(S523,S512,S513)では,公開鍵暗号技術に基づいた暗号演算を実施するものとする。 Further, in the example shown in FIGS. 4 and 5, the connection authentication information generation process (S111) of the IC card 1 apparatus 10 1 and the connection authentication information generation process (S121) of the IC card 2 apparatus 10 2 Although it has been described that the calculation is based on the cryptographic technique, the calculation based on the public key cryptographic technique may be performed. In that case, in the authentication process (S523, S512, S513) of the corresponding service provider 1 device 50 1 and service provider 2 device 50 2 , cryptographic computation based on public key cryptography is performed.

また,ICカード1装置101または,ICカード2装置102の鍵保管部103に保管される情報は,ICカード1装置101または,ICカード2装置102の製造時あるいは発行時に書き込むようにしても良く,また,発行後に,ICカード装置発行者の権限に基づいて,鍵保管部103に書き込んでも良い。 Further, the IC card 1 10 1 or the information stored in the key storage unit 103 of the IC card 2 10 2, the IC card 1 10 1 or to write during production or issuance of the IC card 2 10 2 Alternatively, it may be written in the key storage unit 103 based on the authority of the IC card device issuer after issuance.

また,ICカード装置およびサービス提供者装置は2つまでではなく,3つ以上であっても良い。さらにICカード装置とサービス提供者装置は1対1に対応していなくても良い。   Also, the number of IC card devices and service provider devices is not limited to two, but may be three or more. Furthermore, the IC card device and the service provider device do not have to correspond one-to-one.

なお,本発明は,上記の本実施形態に限定されるものではなく,その要旨の範囲内で様々な変形が可能である。   The present invention is not limited to the above-described embodiment, and various modifications can be made within the scope of the gist.

10n:ICカードn装置,30:端末装置,40:ネットワーク,50n:サービス提供者n装置,51:CPU,52:主記憶装置,54:補助記憶装置,55:通信装置,56:入出力装置,57:読取装置,58:記憶媒体,59:内部信号線,A301:サービス要求,A521:接続認証確認,A511:接続認証要求,A522:接続認証要求,A302:接続認証要求,A111:接続認証情報,A303:サービス認証要求,A121:接続サービス認証情報,A303:接続要求,A523:エラー通知,A524:接続認証依頼,A512:接続認証結果,A525:エラー通知,A526:サービス,A526:サービス,A526:サービス,A527:検証用情報。 10n: IC card n device, 30: terminal device, 40: network, 50n: service provider n device, 51: CPU, 52: main storage device, 54: auxiliary storage device, 55: communication device, 56: input / output device 57: Reader, 58: Storage medium, 59: Internal signal line, A301: Service request, A521: Connection authentication confirmation, A511: Connection authentication request, A522: Connection authentication request, A302: Connection authentication request, A111: Connection authentication Information, A303: service authentication request, A121: connection service authentication information, A303: connection request, A523: error notification, A524: connection authentication request, A512: connection authentication result, A525: error notification, A526: service, A526: service, A526: Service, A527: Information for verification.

Claims (13)

第一のサービス提供者用の第一の認証デバイスと,第二のサービス提供者用の第二の認証デバイスと,が接続されている端末装置に対して,第二のサービス提供者装置がサービス提供を行う場合の,前記端末装置の認証方法であって,
前記端末装置は,前記第一の認証デバイスへ接続認証要求を送信し,
前記第一の認証デバイスは,前記接続認証要求と,自らが保管している秘密情報と,を用いて,接続認証情報を生成して前記端末装置に送信し,
前記端末装置は,前記接続認証情報と,サービス認証要求とを,第二の認証デバイスへ送信し,
前記第二の認証デバイスは,前記接続認証情報と,サービス認証要求と,自らが保管している秘密情報と,を用いて,前記第一の認証デバイスと前記第二の認証デバイスとを認証する一つの接続サービス認証情報を生成して前記端末装置に送信し,
前記端末装置は,接続サービス要求と,前記接続サービス認証情報と,を,前記第二のサービス提供者装置へ送信し,
前記第二のサービス提供者装置は,受信した前記接続サービス認証情報と,自らが保管している情報と,を用いて,前記第二の認証デバイスの認証処理を実行し,
前記第二のサービス提供者装置は,前記第二の認証デバイスの認証が成功であれば,前記接続サービス認証情報から前記接続認証情報を抽出し,該接続認証情報と,接続認証依頼と,を,第一のサービス提供者装置へ送信し,
前記第一のサービス提供者装置は,受信した前記接続認証情報と,自らが保管する情報と,を用いて,前記第一の認証デバイスの認証処理を実行し,前記第一の認証デバイスの認証結果を前記第二のサービス提供者装置へ返信し,
前記第二のサービス提供者装置は,前記第一の認証デバイスの認証が成功であれば,前記端末装置へサービスを提供し,
前記端末装置は,前記サービスの提供を受ける
ことを特徴とする端末装置の認証方法。 The second service provider device services the terminal device to which the first authentication device for the first service provider and the second authentication device for the second service provider are connected. An authentication method for the terminal device when providing,
The terminal device transmits a connection authentication request to the first authentication device;
The first authentication device generates connection authentication information using the connection authentication request and secret information stored by the first authentication device and transmits the connection authentication information to the terminal device;
The terminal device transmits the connection authentication information and a service authentication request to a second authentication device;
The second authentication device authenticates the first authentication device and the second authentication device using the connection authentication information, a service authentication request, and secret information stored in the second authentication device. One connection service authentication information is generated and transmitted to the terminal device,
The terminal device transmits a connection service request and the connection service authentication information to the second service provider device;
The second service provider device executes the authentication process of the second authentication device using the received connection service authentication information and the information stored by itself.
If the authentication of the second authentication device is successful, the second service provider device extracts the connection authentication information from the connection service authentication information, and receives the connection authentication information and a connection authentication request. , Send to the first service provider device,
The first service provider device executes authentication processing of the first authentication device using the received connection authentication information and information stored by itself, and authenticates the first authentication device. Return the result to the second service provider device;
The second service provider device provides a service to the terminal device if the authentication of the first authentication device is successful,
The terminal device authentication method, wherein the terminal device receives the service. 請求項1に記載の端末装置の認証方法において,
前記第二のサービス提供者装置は,第一の認証デバイスの認証または第二の認証デバイスの認証が失敗であれば,前記端末装置にエラー通知を送信する
ことを特徴とする端末装置の認証方法。 In the authentication method of the terminal device of Claim 1,
If the authentication of the first authentication device or the authentication of the second authentication device fails, the second service provider device transmits an error notification to the terminal device. . 請求項1または2に記載の端末装置の認証方法であって,
前記端末装置は,前記第一の認証デバイスへ前記接続認証要求を送信する前に,前記第二のサービス提供者装置に対してサービス要求を送信し,
該サービス要求を受けた前記第二のサービス提供者装置は,前記端末装置に対して前記接続認証要求を送信し,
前記端末装置は,該第二のサービス提供者装置からの前記接続認証要求に基づいて,前記第一の認証デバイスへの接続認証要求の送信を行う
ことを特徴とする端末装置の認証方法。 An authentication method for a terminal device according to claim 1 or 2,
The terminal device transmits a service request to the second service provider device before transmitting the connection authentication request to the first authentication device;
The second service provider apparatus that has received the service request transmits the connection authentication request to the terminal apparatus,
The terminal device authentication method for transmitting a connection authentication request to the first authentication device based on the connection authentication request from the second service provider device. 請求項3に記載の端末装置の認証方法であって,
前記第二のサービス提供者装置は,前記端末装置に対して前記接続認証要求を送信する前に,前記第一のサービス提供者装置に対して,接続認証処理が済んでいるか否かを確認するために接続認証確認を送信し,
前記接続認証確認を受信した第一のサービス提供者装置は,未だ認証処理が済んでいないことを確認した場合に,前記第二のサービス提供者装置に対して接続認証要求を返信し,
前記第二のサービス提供者装置は,該第一のサービス提供者装置の前記接続認証要求に基づいて,前記端末装置に対して前記接続認証要求を送信する
ことを特徴とする端末装置の認証方法。 An authentication method for a terminal device according to claim 3,
The second service provider device confirms whether or not connection authentication processing has been completed for the first service provider device before transmitting the connection authentication request to the terminal device. Send a connection authentication confirmation for
The first service provider apparatus that has received the connection authentication confirmation returns a connection authentication request to the second service provider apparatus when confirming that the authentication process has not been completed.
The second service provider device transmits the connection authentication request to the terminal device based on the connection authentication request of the first service provider device. . 第一のサービス提供者用の第一の認証デバイスと,第二のサービス提供者用の第二の認証デバイスと,が接続されている端末装置に対して,第二のサービス提供者装置がサービス提供を行う場合の,前記端末装置の認証方法であって,
前記第二のサービス提供者装置は,第一のサービス提供者装置に対して第二の認証デバイスの認証に使用する検証用情報を配布し,
前記第一のサービス提供者装置は,受信した前記検証用情報を,自らに保管し,
前記端末装置は,前記第一の認証デバイスへ接続認証要求を送信し,
前記第一の認証デバイスは,前記接続認証要求と,自らが保管している秘密情報と,を用いて,接続認証情報を生成して前記端末装置に送信し,
前記端末装置は,前記接続認証情報と,サービス認証要求とを,第二の認証デバイスへ送信し,
前記第二の認証デバイスは,前記接続認証情報と,前記サービス認証要求と,自らが保管している秘密情報と,を用いて,前記第一の認証デバイスと前記第二の認証デバイスとを認証する一つの接続サービス認証情報を生成して前記端末装置に送信し,
前記端末装置は,接続サービス要求と,前記接続サービス認証情報と,を,前記第一のサービス提供者装置へ送信し,
前記第一のサービス提供者装置は,自らが保管している,前記第二の認証デバイスの認証に使用する前記検証用情報と,前記接続サービス認証情報と,を用いて,前記第二の認証デバイスの認証処理を実行し,
前記第一のサービス提供者装置は,前記第二の認証デバイスの認証が成功であれば,前記接続サービス認証情報から前記接続認証情報を抽出し,
前記第一のサービス提供者装置は,抽出した前記接続認証情報と,自らが保管する情報を用いて,前記第一の認証デバイスの認証処理を実行して,前記第一の認証デバイスの認証結果を前記第二のサービス提供者装置へ送信し,
前記第二のサービス提供者装置は,前記第一の認証デバイスの認証と前記第二の認証デバイスの認証とが成功であれば,前記第二のサービス提供者装置のサービス提供部は,前記端末装置へサービスを提供し,
前記端末装置のサービス享受部は,サービスの提供を受ける
ことを特徴とする端末装置の認証方法。 The second service provider device services the terminal device to which the first authentication device for the first service provider and the second authentication device for the second service provider are connected. An authentication method for the terminal device when providing,
The second service provider device distributes verification information used for authentication of the second authentication device to the first service provider device;
The first service provider device stores the received verification information in itself,
The terminal device transmits a connection authentication request to the first authentication device;
The first authentication device generates connection authentication information using the connection authentication request and secret information stored by the first authentication device and transmits the connection authentication information to the terminal device;
The terminal device transmits the connection authentication information and a service authentication request to a second authentication device;
The second authentication device authenticates the first authentication device and the second authentication device using the connection authentication information, the service authentication request, and secret information stored by the second authentication device. Generate one connection service authentication information to be transmitted to the terminal device,
The terminal device transmits a connection service request and the connection service authentication information to the first service provider device;
The first service provider device uses the verification information used for authentication of the second authentication device and the connection service authentication information stored by itself to use the second authentication. Execute device authentication processing,
The first service provider device extracts the connection authentication information from the connection service authentication information if the authentication of the second authentication device is successful,
The first service provider device executes authentication processing of the first authentication device using the extracted connection authentication information and information stored by itself, and the authentication result of the first authentication device To the second service provider device,
If the authentication of the first authentication device and the authentication of the second authentication device are successful, the service provider unit of the second service provider device may Providing services to equipment,
A terminal device authentication method, wherein the service receiving unit of the terminal device receives a service. 請求項5に記載の端末装置の認証方法において,
前記第二のサービス提供者装置は,第一の認証デバイスの認証または第二の認証デバイスの認証が失敗であれば,前記端末装置にエラー通知を送信する
ことを特徴とする端末装置の認証方法。 In the authentication method of the terminal device according to claim 5,
If the authentication of the first authentication device or the authentication of the second authentication device fails, the second service provider device transmits an error notification to the terminal device. . 請求項5または6に記載の端末装置の認証方法であって,
前記端末装置は,第一の認証デバイスへ接続認証要求を送信する前に,第一のサービス提供者装置に対して接続要求を送信し,
第一のサービス提供者装置は,未だ認証処理が行われていないことを確認し,接続認証要求を前記端末装置に対して送信し,
該接続認証要求に基づいて,前記端末装置は,前記第一の認証デバイスへ前記接続認証要求を送信する
ことを特徴とする端末装置の認証方法。 An authentication method for a terminal device according to claim 5 or 6,
The terminal device sends a connection request to the first service provider device before sending a connection authentication request to the first authentication device,
The first service provider device confirms that authentication processing has not yet been performed, and transmits a connection authentication request to the terminal device.
The terminal device authentication method, wherein the terminal device transmits the connection authentication request to the first authentication device based on the connection authentication request. 請求項5ないし7いずれか一に記載の端末装置の認証方法であって,
前記検証用情報は,前記第二の認証デバイスに保管される鍵に対応した公開鍵証明書を発行した認証局の公開鍵証明書である
ことを特徴とする端末装置の認証方法。 An authentication method for a terminal device according to any one of claims 5 to 7,
The authentication method for a terminal device, wherein the verification information is a public key certificate of a certificate authority that has issued a public key certificate corresponding to a key stored in the second authentication device. 請求項1ないし8に記載の端末装置の認証方法であって,
前記第一の認証デバイスによる前記接続認証情報の生成および前記第二の認証デバイスによる接続サービス認証情報の生成において,共通鍵暗号技術に基づいた演算を行う
ことを特徴とする端末装置の認証方法。 An authentication method for a terminal device according to claim 1,
An authentication method for a terminal device, wherein a calculation based on a common key encryption technique is performed in the generation of the connection authentication information by the first authentication device and the generation of connection service authentication information by the second authentication device. 請求項1ないし8いずれか一に記載の端末装置の認証方法であって,
前記第一の認証デバイスによる前記接続認証情報の生成および前記第二の認証デバイスによる接続サービス認証情報の生成において,公開鍵暗号技術に基づいた演算を行う
ことを特徴とする端末装置の認証方法。 An authentication method for a terminal device according to any one of claims 1 to 8,
An authentication method for a terminal device, comprising: performing an operation based on a public key encryption technique in generating the connection authentication information by the first authentication device and generating connection service authentication information by the second authentication device. 端末装置と複数のサービス提供者装置とがネットワークを介して互いに接続され,複数の認証デバイスが接続される前記端末装置を認証する端末装置の認証システムであって,
前記端末装置は,
第一の認証デバイスに対して,第一の認証要求を送信し,該第一の認証デバイスから第一の認証情報を受信し,第二の認証デバイスに対して,前記第一の認証デバイスから受信した前記第一の認証情報と,第二の認証要求とを送信し,該第二の認証デバイスから,第二の認証情報を受信するICカードアクセス部と,
前記サービス提供者装置から提供されるサービスを享受するサービス享受部と,を有し,
前記第二の認証デバイスは,
前記サービス提供者装置から送信された認証要求情報と,前記第一の認証デバイスで生成された第一の認証情報とに基づき,第二の認証情報を生成する認証処理部と,
前記認証処理部で使用する鍵を保管する鍵保管部と,を有し,
前記サービス提供者装置は,
前記ネットワークを介して,データを送受信する通信部と,
前記第二の認証情報に基づく,前記第二の認証デバイスの認証処理と,
前記第二の認証情報から抽出した前記第一の認証情報に基づく,第一の認証デバイスの認証処理を他のサービス提供者装置へ依頼する処理と,と,を行う認証処理部と,
前記第一の認証デバイスと前記第二の認証デバイスとの認証が確認できた場合に,前記端末装置に対してサービスを提供するサービス提供部と,を有する
ことを特徴とする端末装置の認証システム。 A terminal device authentication system in which a terminal device and a plurality of service provider devices are connected to each other via a network, and a plurality of authentication devices are connected to authenticate the terminal device,
The terminal device
A first authentication request is transmitted to the first authentication device, first authentication information is received from the first authentication device, and a second authentication device is transmitted from the first authentication device. An IC card access unit that transmits the received first authentication information and a second authentication request, and receives the second authentication information from the second authentication device;
A service receiving unit for enjoying a service provided from the service provider device,
The second authentication device is:
An authentication processing unit for generating second authentication information based on the authentication request information transmitted from the service provider device and the first authentication information generated by the first authentication device;
A key storage unit for storing a key used in the authentication processing unit,
The service provider device includes:
A communication unit for transmitting and receiving data via the network;
Authentication processing of the second authentication device based on the second authentication information;
An authentication processing unit that performs a process of requesting another service provider device to perform an authentication process of the first authentication device based on the first authentication information extracted from the second authentication information;
An authentication system for a terminal device, comprising: a service providing unit that provides a service to the terminal device when authentication between the first authentication device and the second authentication device is confirmed. . ネットワークを介して,サービス提供者装置とデータを送受信するデータ送受信部と,
第一の認証デバイスに対して,前記サービス提供者装置から送信された認証要求を送信し,該第一の認証デバイスから,前記第一の認証デバイスを認証するための第一の認証情報を受信し,
第二の認証デバイスに対して,前記第一の認証デバイスから受信した前記第一の認証情報を送信し,該第二の認証デバイスから,前記第一の認証情報を含み,かつ,前記第二の認証デバイスを認証するための第二の認証情報を受信し,
前記第二の認証情報を前記サービス提供者装置に送信するICカードアクセス部と, 前記第一の認証デバイスと前記第二の認証デバイスとの認証が確認できた場合に,前記サービス提供者装置から提供されるサービスを享受するサービス享受部と,を有する
ことを特徴とする端末装置。 A data transmission / reception unit for transmitting / receiving data to / from the service provider device via the network;
An authentication request transmitted from the service provider device is transmitted to the first authentication device, and first authentication information for authenticating the first authentication device is received from the first authentication device. And
The first authentication information received from the first authentication device is transmitted to a second authentication device, the second authentication device includes the first authentication information, and the second authentication device Receiving second authentication information to authenticate the authentication device
When the authentication of the IC card access unit that transmits the second authentication information to the service provider device, and the authentication between the first authentication device and the second authentication device can be confirmed, from the service provider device And a service receiving unit that enjoys the provided service. ネットワークを介して,データを送受信する通信部と,
端末装置に接続される第二の認証デバイスの認証処理と,前記端末装置に接続される第一の認証デバイスの認証処理を他のサービス提供者装置へ依頼する処理と,を行う認証処理部と,
前記第一の認証デバイスと前記第二の認証デバイスとの認証が確認できた場合に,前記端末装置に対してサービスを提供するサービス提供部と,を有する
ことを特徴とするサービス提供者装置。 A communication unit that transmits and receives data via a network;
An authentication processing unit for performing authentication processing of a second authentication device connected to the terminal device, and processing for requesting authentication processing of the first authentication device connected to the terminal device to another service provider device; ,
A service provider device, comprising: a service providing unit that provides a service to the terminal device when authentication between the first authentication device and the second authentication device is confirmed.
JP2009150457A 2009-06-25 2009-06-25 Terminal device authentication method, terminal device authentication system, terminal device, and service provider device Expired - Fee Related JP5331592B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2009150457A JP5331592B2 (en) 2009-06-25 2009-06-25 Terminal device authentication method, terminal device authentication system, terminal device, and service provider device
PCT/JP2010/001323 WO2010150441A1 (en) 2009-06-25 2010-02-26 Authentication method of a terminal device, authentication system of a terminal device, terminal device, and service provider device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009150457A JP5331592B2 (en) 2009-06-25 2009-06-25 Terminal device authentication method, terminal device authentication system, terminal device, and service provider device

Publications (2)

Publication Number Publication Date
JP2011008456A true JP2011008456A (en) 2011-01-13
JP5331592B2 JP5331592B2 (en) 2013-10-30

Family

ID=43386231

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009150457A Expired - Fee Related JP5331592B2 (en) 2009-06-25 2009-06-25 Terminal device authentication method, terminal device authentication system, terminal device, and service provider device

Country Status (2)

Country Link
JP (1) JP5331592B2 (en)
WO (1) WO2010150441A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014526726A (en) * 2011-09-09 2014-10-06 インテル コーポレイション Mobile device and method for secure online sign-up and provision for WI-FI hotspots using SOAP-XML technology
US9258706B2 (en) 2010-09-15 2016-02-09 Intel Corporation Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using SOAP-XML techniques

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001169359A (en) * 1999-12-13 2001-06-22 Dainippon Printing Co Ltd Id smart card authentication system, issue method for authentication management document and set of sim and id smart card used for mobile terminal and portable phone
JP2003501759A (en) * 1999-06-03 2003-01-14 ジェムプリュス How to pre-check programs stored in additional chip card of terminal
JP2003044765A (en) * 2001-07-31 2003-02-14 Jcb:Kk Device and method for requesting credit card transaction, affiliated store terminal, computer program and ic chip
JP2008293251A (en) * 2007-05-24 2008-12-04 Nec Saitama Ltd Portable terminal, and authentication method and program in portable terminal

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003501759A (en) * 1999-06-03 2003-01-14 ジェムプリュス How to pre-check programs stored in additional chip card of terminal
JP2001169359A (en) * 1999-12-13 2001-06-22 Dainippon Printing Co Ltd Id smart card authentication system, issue method for authentication management document and set of sim and id smart card used for mobile terminal and portable phone
JP2003044765A (en) * 2001-07-31 2003-02-14 Jcb:Kk Device and method for requesting credit card transaction, affiliated store terminal, computer program and ic chip
JP2008293251A (en) * 2007-05-24 2008-12-04 Nec Saitama Ltd Portable terminal, and authentication method and program in portable terminal

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9258706B2 (en) 2010-09-15 2016-02-09 Intel Corporation Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using SOAP-XML techniques
JP2014526726A (en) * 2011-09-09 2014-10-06 インテル コーポレイション Mobile device and method for secure online sign-up and provision for WI-FI hotspots using SOAP-XML technology
US9628990B2 (en) 2011-09-09 2017-04-18 Intel Corporation Mobile device and method for secure on-line sign-up and provisioning for Wi-Fi hotspots using SOAP-XML techniques

Also Published As

Publication number Publication date
JP5331592B2 (en) 2013-10-30
WO2010150441A1 (en) 2010-12-29

Similar Documents

Publication Publication Date Title
US11258777B2 (en) Method for carrying out a two-factor authentication
JP6586446B2 (en) Method for confirming identification information of user of communication terminal and related system
JP6092415B2 (en) Fingerprint authentication system and fingerprint authentication method based on NFC
US8112787B2 (en) System and method for securing a credential via user and server verification
JP5959410B2 (en) Payment method, payment server for executing the method, program for executing the method, and system for executing the same
CN101242271B (en) Trusted remote service method and system
US9025769B2 (en) Method of registering smart phone when accessing security authentication device and method of granting access permission to registered smart phone
KR20170134631A (en) User authentication method and apparatus, and wearable device registration method and apparatus
CN110278084B (en) eID establishing method, related device and system
JP2022517253A (en) Simple authentication method and system using browser web storage
JP5331592B2 (en) Terminal device authentication method, terminal device authentication system, terminal device, and service provider device
CN104639566A (en) Transaction authorizing method based on out-of-band identity authentication
US20150302506A1 (en) Method for Securing an Order or Purchase Operation Means of a Client Device
KR20110005615A (en) System and method for managing wireless otp using user's media, wireless terminal and recording medium
KR101395315B1 (en) Near field communication based payment security authentication system and security authentication method thereof
KR101298216B1 (en) Authentication system and method using multiple category
TWI818703B (en) Method for requesting and signing certificate, certificate system and computer-readable medium thereof
CN109474624B (en) Application program authentication system and method
CN114003892A (en) Credible authentication method, safety authentication equipment and user terminal
TWM640772U (en) Certificate system
CN116455605A (en) Account data interaction method based on trusted execution environment
CN115103354A (en) NFC-based digital key remote authorization method and system
KR20100136047A (en) System and method for managing otp by seed combination mode and recording medium
KR20100136046A (en) System and method for providing otp, mobile phone and recording medium
KR20100136064A (en) System and method for creating otp by index exchange, mobile phone and recording medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110909

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130702

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130729

LAPS Cancellation because of no payment of annual fees