JP2012005037A - Website login method and website login system - Google Patents
Website login method and website login system Download PDFInfo
- Publication number
- JP2012005037A JP2012005037A JP2010140592A JP2010140592A JP2012005037A JP 2012005037 A JP2012005037 A JP 2012005037A JP 2010140592 A JP2010140592 A JP 2010140592A JP 2010140592 A JP2010140592 A JP 2010140592A JP 2012005037 A JP2012005037 A JP 2012005037A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- ticket
- information
- authentication ticket
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ネットワーク上のWebサイトへのログインとアクセスにおける認証技術に関し、特に、携帯端末の電子署名機能を利用したWebサイトログイン方法及びWebサイトログインシステムに関する。 The present invention relates to an authentication technique for login and access to a website on a network, and more particularly to a website login method and website login system using an electronic signature function of a mobile terminal.
従来、不特定多数の者が視聴するテレビ番組(データ放送など)から視聴者を、Webサービス(チケット予約や商品購入などの様々なサービス)を提供可能なWebサービスサーバに誘導する方法が知られている。例えば、URLをテレビ放送事業者がテレビ画面に表示し、利用者がそれをメモし、パーソナルコンピュータ(PC)やデジタルテレビのブラウザにキーボードやリモコンからURLを入力し、定められた認証方式(例えば、ID/パスワード方式やICカードを使った認証方式など)によって利用者認証した後、サービスを開始する方法がある。また、URLを2次元バーコードに変換したものをテレビ放送事業者が画面に表示し、利用者がそれを携帯電話等の機器で読み取り、機器のブラウザを起動して画面を表示し、定められた認証方式によって利用者認証した後、サービスを開始する方法などがある。 2. Description of the Related Art Conventionally, a method of guiding viewers from a TV program (data broadcasting or the like) viewed by an unspecified number of people to a Web service server that can provide Web services (various services such as ticket reservation and product purchase) is known. ing. For example, a TV broadcaster displays a URL on a TV screen, a user notes it, inputs the URL from a keyboard or remote control into a personal computer (PC) or digital TV browser, and a predetermined authentication method (for example, There is a method of starting a service after user authentication by an ID / password method or an authentication method using an IC card. Also, the TV broadcaster displays the URL converted into a two-dimensional barcode on the screen, the user reads it with a device such as a mobile phone, starts the device browser and displays the screen. There is a method of starting a service after authenticating a user by a different authentication method.
しかし、いずれの方法においても、サービスを利用できるようになるまで、利用者は、煩雑な操作を強いられ、サービスを開始するまでのハードルが高く、Webサービスサーバに円滑に誘導することが困難である。また、後者の2次元バーコードを利用する方法では、サービスへのアクセスは比較的容易であるが、利用者は携帯電話でサービスを受けることになり、画面は小さく、また高齢者などのテンキーによる操作に不慣れな利用者にとっては使いづらいサービスになってしまう。 However, in any of the methods, until the service can be used, the user is forced to perform a complicated operation, has a high hurdle until the service is started, and is difficult to smoothly guide to the Web service server. is there. In the latter method using the two-dimensional bar code, access to the service is relatively easy, but the user receives the service with a mobile phone, the screen is small, and a numeric keypad such as an elderly person is used. For users who are unfamiliar with the operation, the service is difficult to use.
また、Webサービスサーバで認証する方法としては、利用者IDとパスワードを使用する方法が一般的である。しかし、この方法では、利用者はIDやパスワードを記憶又は記録しておく必要があり、安全性を保持するためには、パスワードを定期的に変更し、かつ、利用者はパスワードとして容易に推測されない文字列を考える必要があった。また、利用者がパスワードを忘れてしまった場合、サーバ側の再設定に時間とコストがかかるなど、管理が煩雑にならざるを得なかった。この問題を解決するための一方法として、ワンタイム・パスワードにより認証する技法が知られている(例えば、非特許文献1参照)。ワンタイム・パスワードとは、一定の規則で生成され、1回のみ使用できる使い捨てのパスワードである。 As a method for authenticating with the Web service server, a method using a user ID and a password is generally used. However, this method requires the user to store or record IDs and passwords, and in order to maintain safety, the password is changed periodically, and the user can easily guess the password. There was a need to think about strings that are not. In addition, when the user forgets the password, the management has to be complicated because it takes time and cost to reset the server. As a method for solving this problem, a technique of authenticating with a one-time password is known (for example, see Non-Patent Document 1). A one-time password is a disposable password that is generated according to certain rules and can be used only once.
しかし、デジタルテレビに利用者IDとパスワードを入力する手段としては、一部の例外を除きテレビリモコンのみとなる。テレビリモコンはボタン数が限られており、文字列入力のインタフェースとしては適切ではないため、十分なセキュリティ性を確保するためのパスワード(長さと文字バリエーションが必要)を入力するには、複雑な操作が必要とされる。 However, with the exception of some exceptions, the TV remote controller is the only means for inputting the user ID and password to the digital TV. Since the TV remote control has a limited number of buttons and is not suitable as an interface for character string input, complicated operations are required to enter a password (length and character variations are required) to ensure sufficient security. Is needed.
また、ワンタイム・パスワードにより認証する技法は、安全性が高い一方で、利用者がパスワードを生成するハードウェアを持つ必要があり、高コストであるという問題があった。 In addition, the technique of authenticating with a one-time password has high security, but has a problem that the user needs to have hardware for generating a password and is expensive.
本発明の目的は、上記問題を解決するため、携帯端末の電子署名機能を利用し、簡単な操作でログインすることができ、かつ、低コストで十分なセキュリティ性を確保することができるWebサイトログインシステム及びその方法を提供することにある。 An object of the present invention is to solve the above problems by using a digital signature function of a mobile terminal, logging in with a simple operation, and ensuring a sufficient security at a low cost It is to provide a login system and a method thereof.
上記課題を解決するため、本発明では、携帯電話の赤外線機能と画像読み取り機能を使用して、ID/パスワードを利用者が直接入力することなく、家庭用のデジタルテレビのブラウザからWebサイトに安全にログイン認証し、且つ必要なWebページ(サービス画面)を表示するWebサイトログインシステム及びその方法を提供する。 In order to solve the above problems, in the present invention, the infrared function and the image reading function of a mobile phone are used to securely access a website from a home digital TV browser without the user directly entering an ID / password. A web site log-in system and method for log-in authentication and displaying a necessary web page (service screen) are provided.
すなわち、上記課題を解決するため、本発明に係るWebサイトログイン方法は、Webサービスを提供するWebサービスサーバと、ネットワークを介してWebサービスサーバに接続された表示端末と、携帯端末とを備えたシステムにおけるWebサイトログイン方法であって、前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、認証チケット生成部と、認証チケットエンコード部と、認証チケット検証部と、Webコンテンツ処理部と、Webサービスサーバ通信部とを備え、前記表示端末は、表示端末通信部と、Web解釈部と、表示部と、無線受信部とを備え、前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、画像読み取り部と、認証チケットデコード部と、署名付与部と、無線送信部とを備えており、(a)前記認証チケット生成部により、ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納するステップと、(b)前記認証チケットエンコード部により、前記認証チケットをエンコードして認証チケットの画像情報を生成するステップと、(c)前記Webサービスサーバ通信部により、前記認証チケットの画像情報を送信するステップと、(d)前記表示端末通信部により、前記認証チケットの画像情報を受信するステップと、(e)前記表示部により、前記認証チケットの画像情報を表示するステップと、(f)前記画像読み取り部により、前記表示端末に表示された前記認証チケットの画像情報を読み取るステップと、(g)前記認証チケットデコード部により、前記読み取った認証チケットの画像情報をデコードして認証チケットを取得するステップと、(h)前記署名付与部により、前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに、前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加した認証応答チケットを生成するステップと、(i)前記無線送信部により、前記認証応答チケットを前記表示端末に送信するステップと、(j)前記無線受信部により、前記送信された認証応答チケットを受信し、前記表示端末通信部により、該認証応答チケットを前記Webサービスサーバに送信するステップと、(k)前記Webサービスサーバ通信部により、前記送信された認証応答チケットを受信するステップと、(l)前記認証チケット検証部により、前記受信した認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を取得し、該検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記受信した認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記受信した認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断するステップと、を含むことを特徴とする。 That is, in order to solve the above-described problem, a website login method according to the present invention includes a web service server that provides a web service, a display terminal connected to the web service server via a network, and a mobile terminal. A Web site login method in a system, wherein the Web service server stores a user DB pre-stored in association with a unique user ID and a verification key used for authentication, and Web content storing Web service content data An information DB, an authentication ticket generation unit, an authentication ticket encoding unit, an authentication ticket verification unit, a Web content processing unit, and a Web service server communication unit, the display terminal including a display terminal communication unit, a Web interpretation Unit, a display unit, and a wireless reception unit, the portable terminal, A user ID / secret key storage unit that stores a user ID and a secret key used for authentication in association with each other, an image reading unit, an authentication ticket decoding unit, a signature adding unit, and a wireless transmission unit, (A) The authentication ticket generation unit generates an authentication ticket including a unique authentication ticket ID, authentication challenge information, and expiration date information of the authentication ticket, and generation time information of the authentication ticket associated with the authentication ticket And storing in the authentication ticket information DB; (b) generating the authentication ticket image information by encoding the authentication ticket by the authentication ticket encoding unit; and (c) the Web service server communication unit. Transmitting image information of the authentication ticket, and (d) the authentication by the display terminal communication unit Receiving the image information of the ticket, (e) displaying the image information of the authentication ticket by the display unit, and (f) the authentication ticket displayed on the display terminal by the image reading unit. A step of reading image information; (g) a step of obtaining an authentication ticket by decoding the image information of the read authentication ticket by the authentication ticket decoding unit; and (h) a user ID by the signature giving unit. The user ID acquired from the private key storage unit and the signature time are added to the authentication ticket, and the authentication ticket added with the user ID and signature time is the authentication acquired from the user ID / private key storage unit. A step of generating an authentication response ticket to which signature information that has been electronically signed using a private key is added, and (i) by the wireless transmission unit, Transmitting the authentication response ticket to the display terminal; and (j) receiving the transmitted authentication response ticket by the wireless reception unit, and transmitting the authentication response ticket to the Web service server by the display terminal communication unit. (K) a step of receiving the transmitted authentication response ticket by the Web service server communication unit; and (l) a use included in the received authentication response ticket by the authentication ticket verification unit. The user DB is searched using a user ID as a key, a verification key associated with the user ID is obtained, the electronic signature is verified using the verification key, and if the signature verification is successful, the reception The authentication ticket information DB is searched using the authentication ticket ID included in the authentication response ticket as a key, and the authentication ticket associated with the authentication ticket ID is searched. When the range information and the expiration date information of the authentication ticket are acquired, the authentication challenge information is the same as the authentication challenge information included in the received authentication response ticket, and the current time is before the expiration date of the authentication ticket The step of determining that the authentication is successful.
また、本発明に係るWebサイトログイン方法において、前記ステップ(c)は、前記Webサービスサーバ通信部により、前記認証チケットの画像情報を前記表示端末に送信するステップであり、前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記Webサービスサーバから受信するステップであり、前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報をWeb表示するステップであることを特徴とする。 In the Web site login method according to the present invention, the step (c) is a step of transmitting image information of the authentication ticket to the display terminal by the Web service server communication unit, and the step (d) The display terminal communication unit receives image information of the authentication ticket from the Web service server, and the step (e) is a step of displaying the authentication ticket image information on the Web by the display unit. It is characterized by being.
また、本発明に係るWebサイトログイン方法において、前記ステップ(c)は、前記Webサービスサーバ通信部により、前記認証チケットの画像情報をテレビ局システムに送信するステップであり、前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信するステップであり、前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報を前記番組放送と共に表示することを特徴とする。 In the website login method according to the present invention, the step (c) is a step of transmitting image information of the authentication ticket to a television station system by the web service server communication unit, and the step (d) The display terminal communication unit receives image information of the authentication ticket in conjunction with program information downloaded and broadcast from the television station system, and the step (e) includes: Image information is displayed together with the program broadcast.
また、本発明に係るWebサイトログイン方法において、前記ステップ(a)は、前記認証チケット生成部により、前記認証チケットに関連付けられた、ログイン後に表示させたいジャンプ先のURL情報を生成して前記認証チケット情報DBに格納するステップを含み、前記ステップ(l)の後に、(m)前記Webコンテンツ処理部により、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得し、前記Webサービスサーバ通信部により該取得したWebコンテンツを前記表示端末に送信するステップと、(n)前記表示部により、前記Webコンテンツを表示するステップと、を含むことを特徴とする。 Also, in the Web site login method according to the present invention, in the step (a), the authentication ticket generation unit generates URL information of a jump destination that is associated with the authentication ticket and that is to be displayed after login. A step of storing in the ticket information DB, and after the step (l), (m) the Web content processing unit acquires jump destination URL information from the authentication ticket information DB, and the Web content information DB Acquiring Web content of a jump destination URL, transmitting the acquired Web content to the display terminal by the Web service server communication unit; and (n) displaying the Web content by the display unit. It is characterized by including.
また、本発明に係るWebサイトログイン方法において、前記Webサービスサーバは、関連付けられた、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納する認証履歴DBを備え、前記ステップ(k)は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、前記最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納するステップを含み、前記ステップ(l)は、前記認証チケット検証部により、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が最終署名時刻より後であるときに認証を成功と判断するステップを含むことを特徴とする。 In the Web site login method according to the present invention, the Web service server includes an authentication history DB that stores a user ID, an authentication ticket ID, an authentication count, and a final signature time, which are associated with each other. ) Stores the user ID and the authentication ticket ID included in the received authentication response ticket in the authentication history DB, and when the user ID and the authentication ticket ID are already stored in the authentication history DB, Updating and storing the number of times of authentication, and updating and storing the final signature time to a signature time included in the received authentication response ticket, wherein the step (l) includes: Access to the authentication history DB and associate with the user ID and authentication ticket ID included in the received authentication response ticket Authentication times and final signature times exist, and the number of times of authentication does not exceed the specified number of times and / or the number of authentications associated with the user ID and authentication ticket ID included in the received authentication response ticket And a step of determining that the authentication is successful when the final signature time exists and the signature time included in the authentication response ticket is later than the final signature time.
さらに、上記課題を解決するため、本発明に係るWebサイトログインシステムは、Webサービスを提供するWebサービスサーバと、ネットワークを介してWebサービスサーバに接続された表示端末と、携帯端末とを備えたWebサイトログインシステムであって、前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納する認証チケット生成部と、前記認証チケットをエンコードして認証チケットの画像情報を生成する認証チケットエンコード部と、ネットワークを介して前記表示端末と情報を送受信するWebサービスサーバ通信部と、前記表示端末から取得した、認証チケットに対して電子署名がなされた認証応答チケットの正当性を検証する認証チケット検証部と、前記Webコンテンツ情報DBからWebコンテンツを取得し、前記Webサービスサーバ通信部により送信させるWebコンテンツ処理部とを備え、前記表示端末は、ネットワークを介して前記Webサービスサーバと情報を送受信する表示端末通信部と、前記Webコンテンツを解釈するブラウザ機能を有するWeb解釈部と、前記認証チケットの画像情報及び前記Webコンテンツを表示する表示部と、前記認証応答チケットを前記Webサービスサーバに送信する無線受信部とを備え、前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、前記表示端末に表示された前記認証チケットの画像情報を読み取る画像読み取り部と、前記読み取った認証チケットの画像情報をデコードして認証チケットを取得する認証チケットデコード部と、前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加して前記認証応答チケットを生成する署名付与部と、前記認証応答チケットを前記表示端末に送信する無線送信部とを備え、前記認証チケット検証部は、前記認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断する手段を有することを特徴とする。 Furthermore, in order to solve the above problems, a website login system according to the present invention includes a web service server that provides a web service, a display terminal connected to the web service server via a network, and a mobile terminal. In the web site login system, the web service server stores a user DB stored in advance in association with a unique user ID and a verification key used for authentication, and a web content information DB for storing content data of the web service. And an authentication ticket including a unique authentication ticket ID, authentication challenge information, and expiration date information of the authentication ticket, and generation time information of the authentication ticket associated with the authentication ticket, and stored in the authentication ticket information DB And an authentication ticket generation unit that performs the authentication ticket An authentication ticket encoding unit that generates image information of the authentication ticket by encoding, a Web service server communication unit that transmits and receives information to and from the display terminal via a network, and an electronic signature for the authentication ticket acquired from the display terminal An authentication ticket verification unit that verifies the validity of the authentication response ticket that has been made, and a Web content processing unit that acquires Web content from the Web content information DB and transmits the Web content by the Web service server communication unit, and the display terminal Includes a display terminal communication unit that transmits and receives information to and from the Web service server via a network, a Web interpretation unit that has a browser function for interpreting the Web content, and a display that displays image information and the Web content of the authentication ticket. And the authentication response ticket A wireless reception unit that transmits to a Web service server, and the portable terminal is displayed on the display terminal and a user ID / secret key storage unit that associates and stores the user ID and a secret key used for authentication. An image reading unit that reads image information of the authentication ticket, an authentication ticket decoding unit that decodes the read image information of the authentication ticket to acquire an authentication ticket, and a user acquired from the user ID / private key storage unit An ID and a signature time are added to the authentication ticket, and an electronic signature is added to the authentication ticket to which the user ID and the signature time are added using the authentication private key acquired from the user ID / private key storage unit A signature adding unit that adds signature information to generate the authentication response ticket; and a wireless transmission unit that transmits the authentication response ticket to the display terminal. The authentication ticket verification unit searches the user DB using a user ID included in the authentication response ticket as a key, verifies the electronic signature using a verification key associated with the user ID, If the verification is successful, the authentication ticket information DB is searched using the authentication ticket ID included in the authentication response ticket as a key, the authentication challenge information associated with the authentication ticket ID and the expiration date information of the authentication ticket are acquired, and the authentication challenge It has means for judging that the authentication is successful when the information is the same as the authentication challenge information included in the authentication response ticket and the current time is before the expiration date of the authentication ticket.
また、本発明に係るWebサイトログインシステムにおいて、前記Webサービスサーバ通信部は、前記認証チケットの画像情報を前記表示端末に送信する手段を有し、前記表示端末通信部は、前記認証チケットの画像情報を前記Webサービスサーバから受信する手段を有し、前記表示部は、前記受信した認証チケットの画像情報をWeb表示する手段を有することを特徴とする。 In the Web site login system according to the present invention, the Web service server communication unit includes means for transmitting image information of the authentication ticket to the display terminal, and the display terminal communication unit includes the image of the authentication ticket. It has means for receiving information from the Web service server, and the display unit has means for displaying the image information of the received authentication ticket on the Web.
また、本発明に係るWebサイトログインシステムにおいて、前記Webサービスサーバ通信部は、前記認証チケットの画像情報をテレビ局システムに送信する手段を有し、
前記表示端末通信部は、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信する手段を有し、前記表示部は、前記受信した認証チケットの画像情報を前記番組放送と共に表示する手段を有することを特徴とする。
Further, in the website login system according to the present invention, the web service server communication unit includes means for transmitting image information of the authentication ticket to a television station system,
The display terminal communication unit includes means for receiving image information of the authentication ticket in conjunction with program information downloaded and broadcast from the television station system, and the display unit receives the image information of the received authentication ticket. It has the means to display with a program broadcast, It is characterized by the above-mentioned.
また、本発明に係るWebサイトログインシステムにおいて、前記認証チケット生成部は、前記認証チケットに関連付けられた、ログイン後に表示させたいジャンプ先のURL情報を生成して前記認証チケット情報DBに格納する手段を有し、前記Webコンテンツ処理部は、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得する手段を有することを特徴とする。 Further, in the Web site login system according to the present invention, the authentication ticket generation unit generates URL information of a jump destination associated with the authentication ticket and desired to be displayed after login, and stores the URL information in the authentication ticket information DB. And the Web content processing unit has means for acquiring jump destination URL information from the authentication ticket information DB and acquiring Web content of the jump destination URL from the Web content information DB. .
また、本発明に係るWebサイトログインシステムにおいて、前記Webサービスサーバは、関連付けられた、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納する認証履歴DBを備え、前記Webサービスサーバ通信部は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納する手段を有し、前記認証チケット検証部は、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が前記最終署名時刻より後であるときに認証を成功と判断する手段を有することを特徴とする。 In the Web site login system according to the present invention, the Web service server includes an authentication history DB that stores a user ID, an authentication ticket ID, an authentication count, and a final signature time associated with each other, and the Web service server The communication unit stores the user ID and the authentication ticket ID included in the received authentication response ticket in the authentication history DB, and when the user ID and the authentication ticket ID are already stored in the authentication history DB. , Updating and storing the number of times of authentication, and updating and storing a final signature time to a signature time included in the received authentication response ticket, and the authentication ticket verification unit accesses the authentication history DB And the user ID included in the received authentication response ticket and the number of authentications associated with the authentication ticket ID, and When a final signing time exists and the number of times of certification does not exceed a specified number of times, and / or the number of authentications and the last signing time associated with the user ID and the authentication ticket ID included in the received authentication response ticket The authentication response ticket includes means for determining that the authentication is successful when the signature time included in the authentication response ticket is later than the final signature time.
本発明によれば、簡単な操作でログインすることができ、かつ、十分なセキュリティ性を確保することができるようになる。 According to the present invention, it is possible to log in with a simple operation and secure sufficient security.
また、現在広く普及している携帯電話とWeb表示端末がほぼ標準的に備えている機能(ハードウェア)のみを利用し、ソフトウェアの追加のみでシステムを構築することが可能であり、実サービスを比較的容易に開始することができるようになる。 In addition, it is possible to build a system only by adding software, using only the functions (hardware) that are almost standardized on mobile phones and Web display terminals that are currently widely used. It becomes possible to start relatively easily.
[Webサイトログインシステムの構成]
図1は、本発明による一実施例のWebサイトログインシステムの概略を示すブロック図である。Webサイトログインシステム1は、Webサービスサーバ11と、Web表示端末12と、携帯端末13とを備え、Webサービスサーバ11とWeb表示端末12とは、ネットワーク14を介して接続されている。ネットワーク14は、インターネットなどのWANである。
[Web site login system configuration]
FIG. 1 is a block diagram showing an outline of a website login system according to an embodiment of the present invention. The
Webサービスサーバ11は、Webサービスを提供可能なサーバである。
The
Web表示端末12は、ネットワーク14経由でWebサービスサーバ11にアクセスする機能と、無線(赤外線又は電波)でデータ受信する機能を有する機器である。例えば、ネットワーク接続機能とネットワークのWebブラウザ機能と赤外線受信機能とを装備した家庭用デジタルテレビやパーソナルコンピュータ(PC)である。
The
携帯端末13は、無線(赤外線又は電波)でデータを送信する機能を有する、Webサイトのログイン認証に使用される機器である。例えば、2次元バーコード読み取り機能と赤外線送信機能を有するカメラ付きの携帯電話である。利用者Uは、Web表示端末12に表示される認証用の画像データを携帯端末13を用いて読み取り、携帯端末13によって生成された認証応答用のデータを無線でWeb表示端末12に送信する。なお、携帯端末として携帯電話を用いた場合でも、本システムのログイン方法は携帯電話網と接続する必要が無いため、電波の届かない場所でも利用することが可能であり、電話料金も発生しない。
The
図2は、本発明による一実施例のWebサイトログインシステムの構成を示すブロック図である。Webサービスサーバ11は、制御部111と、通信部112と、認証チケット情報DB113と、利用者DB114と、Webコンテンツ情報DB115とを備える。Webサービスサーバ11がテレビ局システム15を介して情報をWeb表示端末12に送信する場合には、さらに番組挿入部116を備え、テレビ局システム15は番組挿入部116から送信される情報を番組に挿入してWeb表示端末12に送信する。
FIG. 2 is a block diagram showing a configuration of a website login system according to an embodiment of the present invention. The
認証チケット情報DB113は、図3に示すように、認証チケットを一意に示す番号で構成された認証チケットIDと、認証チケットの有効期限情報と、認証チャレンジ情報と、ログイン後に表示させたいURL(ジャンプ先URL)の情報と、認証チケット生成時刻情報との組み合わせを1レコードとして格納する。このうち、認証チケットIDと、認証チケットの有効期限と、認証チャレンジ情報からなり、Web表示端末12に表示される情報を、認証チケットという。図5(a)は、認証チケットデータの一例を示す図である。なお、ジャンプ先URLの情報は必須ではないが、URLのジャンプを提供することにより、利用者がURL投入しなくても、サービス提供者が望むURLに自動的にジャンプさせ、必要なサービスに利用者を誘導することができる。
As shown in FIG. 3, the authentication
利用者DB114は、図4に示すように、利用者ごとに割り振られた利用者IDと、認証で使用する検証用鍵と、利用者の属性情報(利用者名など)との組み合わせを1レコードとして格納する。検証用鍵は公開鍵暗号を使用した認証の時には、公開鍵暗号の公開鍵を、共通鍵暗号を使用したときの認証の時には共通鍵を使用する。 As shown in FIG. 4, the user DB 114 records one combination of a user ID assigned to each user, a verification key used for authentication, and user attribute information (user name, etc.). Store as. The verification key uses a public key of the public key encryption at the time of authentication using the public key encryption, and a common key at the time of authentication when the common key encryption is used.
Webコンテンツ情報DB115は、Webサービスのコンテンツデータを格納する。
The Web
番組挿入部116は、認証チケットをテレビ局システム15に送信する。
The program insertion unit 116 transmits the authentication ticket to the
制御部111は、処理要求制御部1111と、認証チケット生成部1112と、認証チケットエンコード部1113と、認証チケット検証部1114と、Webコンテンツ処理部1115とを備える。
The control unit 111 includes a processing request control unit 1111, an authentication
処理要求制御部1111は、通信部112から入力された情報や各処理部の処理結果をトリガとして、必要な機能を必要な順序で実行するように制御する。
The processing request control unit 1111 performs control so that necessary functions are executed in a necessary order using information input from the
認証チケット生成部1112は、乱数などにより、一意の認証チケットIDを生成し、属性情報とともに、認証チケット情報DB113に格納する。さらに、認証後にジャンプするURLの情報を認証チケット情報DB113に格納することも可能である。
The authentication
認証チケットエンコード部1113は、認証チケット情報DB113から取得した認証チケットをエンコードして2次元バーコードなどの画像情報を作成した後、通信部112に出力するか、又は番組挿入部116に出力する。通信部112に出力した場合には、ネットワーク14経由でWeb表示端末12に送信し、番組挿入部116に出力した場合には、テレビ局システム15経由でWeb表示端末12に送信する。
The authentication ticket encoding unit 1113 encodes the authentication ticket acquired from the authentication
認証チケット検証部1114は、通信部112から入力される認証応答チケットに含まれる署名時刻と現在時刻を比較し、規定時間以内であるかをチェックする。認証応答チケットについては後述する。規定時間以内である場合には、認証チケットIDを認証チケット情報DB113の内容と照合する。照合が成功したら、認証応答チケットに含まれる利用者IDを利用者DB114と照合する。照合が成功したら、利用者DB114の利用者IDに関連付けられた検証用鍵を使用して、認証応答チケットに含まれる署名情報を検証する。検証に成功したらWebサービスのログイン認証をする。
The authentication
Webコンテンツ処理部1115は、Webコンテンツ情報DB115からWebコンテンツを取得し、必要ならばWeb表示端末12で表示できる形に変換した上で、通信部112経由で出力する。ログイン認証後に認証チケット情報DB113に格納されたジャンプ先URLを取得し、ジャンプ先URLにジャンプさせることも可能である。
The web
通信部112は、ネットワーク14を介してWeb表示端末12と情報を送受信する。通信部112は、受信データ処理部1121と、送信データ処理部1122とを備える。
The
受信データ処理部1121は、ネットワーク14経由でWeb表示端末12から情報を取得して、受信データを適切な形式に変換する。
The reception
送信データ処理部1122は、情報を適切な形式に変換してネットワーク14経由でWeb表示端末12に出力する。
The transmission
Web表示端末12は、制御部121と、通信部122と、Web解釈部123と、表示部124と、赤外線受信部125とを備える。
The
制御部121は、通信部122から入力された情報や各処理部の処理結果をトリガとして、必要な機能を必要な順序で実行するように制御する。
The
通信部122は、ネットワーク14を介してWebサービスサーバ11と情報を送受信する。
The communication unit 122 transmits / receives information to / from the
Web解釈部123は、通信部122から受信したWebコンテンツデータを解釈するブラウザ機能を有し、Webコンテンツデータを表示部124に表示させる。
The
表示部124は、テレビ局システム15から配信されるテレビ番組や、Webサービスサーバ11から配信されるWebコンテンツを表示する。認証チケットの画像情報をWebサービスサーバ11から受信した場合には、受信した認証チケットの画像情報をWeb表示し、認証チケットの画像情報をテレビ局システム15からダウンロード放送される番組情報に連動して受信した場合には、受信した認証チケットの画像情報を番組放送と共に表示する。なお、認証チケットの画像情報の表示場所は、Web表示端末12に限定されるものではなく、表示部124の機能を有する他の機器(PCやTVなど)に表示させることも可能である。よって、Web表示端末と、表示部124の機能を有する他の機器とを総称したものを「表示端末」と定義し、本実施例では、表示端末がWeb表示端末12のみの場合について説明する。
The display unit 124 displays TV programs distributed from the
赤外線受信部125は、携帯端末13から赤外線でデータを受信する。なお、赤外線の代わりに電波で受信してもよい。
The
携帯端末13は、制御部131と、認証チケットデコード部132と、署名付与部133と、利用者ID・秘密鍵格納部134と、画像読み取り部135と、赤外線送信部136とを備える。
The
制御部131は、利用者の操作や、各処理部の処理結果をトリガとして、必要な機能を必要な順序で実行するように制御する
The
利用者ID・秘密鍵格納部134は、Webサービスサーバ11の利用者DB114に格納された利用者IDと対応付けられた利用者IDを予め格納する。また、利用者が署名に使用する認証用秘密鍵も予め格納する。公開鍵暗号方式を使用する場合には、公開鍵暗号の秘密鍵を使用し、共通鍵暗号方式の場合には共通鍵を使用する。この秘密鍵は、Webサービスサーバ11の利用者DB114に格納された、利用者ID・秘密鍵格納部134に格納された利用者IDと同一の利用者IDの検証鍵に対応づけられたものである。
The user ID / private key storage unit 134 stores in advance a user ID associated with the user ID stored in the user DB 114 of the
画像読み取り部135は、Web表示端末12の表示部124に表示された、エンコードされた画像を読み込み、認証チケットデコード部132に出力する。
The
認証チケットデコード部132は、画像読み取り部135から入力されるエンコードされた画像をデコードして認証チケットを取得し、署名付与部133に出力する。
The authentication
署名付与部133は、認証チケットデコード部132から入力される認証チケットに利用者IDの情報とともに、電子署名で署名を付与する。高セキュリティを確保したい場合は、署名を付与する動作はUSIM(Universal Subscriber Identity Module)などの耐タンパデバイス中で実行するのが好適である。
The
赤外線送信部136は、Web表示端末12に赤外線でデータを送信する。なお、赤外線の代わりに電波で送信してもよい。
The
[Webサイトログイン方法]
次に、本発明によるWebサイトログイン方法について説明する。図6は、本発明による一実施例のWebサイトログイン方法を示すフローチャートである。
[Website login method]
Next, a website login method according to the present invention will be described. FIG. 6 is a flowchart illustrating a website login method according to an embodiment of the present invention.
Webサイトログインシステムは、予め利用者にユニークな利用者IDを払い出し、それに対応して、認証に使用する公開鍵暗号方式の公開鍵及び秘密鍵を生成する。Webサービスサーバ11には、利用者ID及び認証に使用する公開鍵を関連付けて利用者DB114に格納しておき、携帯端末13には利用者ID及び認証に使用する秘密鍵を(ネットワークなどでダウンロードして)利用者ID・秘密鍵格納部134に格納しておく。利用者DB114には、Webサービス提供に必要な利用者属性情報(住所氏名年齢性別など)を併せて格納しても良い。
The website login system pays out a unique user ID to the user in advance, and correspondingly generates a public key and a secret key of a public key cryptosystem used for authentication. The
ステップS101では、Webサービスサーバ11の認証チケット生成部1112により、認証チケットとして、システムでユニークな認証チケットIDと、十分な長さの乱数などを元にした類推の困難な認証チャレンジ情報と、認証チケットの有効期限とを生成し、認証チケット情報DB113に格納する。さらに、認証チケットの生成時刻情報と、認証成功時にWeb画面に表示するジャンプ先URL情報を生成し、認証チケット情報DB113に格納する。
In step S101, the authentication
ステップS102では、Webサービスサーバ11の認証チケットエンコード部1113により、認証チケットをエンコードして2次元バーコードの画像情報を生成する。
In step S102, the authentication ticket encoding unit 1113 of the
ステップS103では、Webサービスサーバ11の送信データ処理部1122により、2次元バーコードに変換した認証チケットの画像をWebブラウザで表示できる形式(htmlやflashなど)に変換し、Web表示端末13に送信する。または、テレビ局システム15に送信してテレビ番組に挿入するよう設定する。
In step S103, the transmission
ステップS104では、Web表示端末12の通信部122により、認証チケットの画像情報を受信し、表示部124(Web画面又はテレビ番組画面)により、2次元バーコードの認証チケット画像を表示する。認証チケットの画像情報をWebサービスサーバ11から受信した場合には、受信した認証チケットの画像情報をWeb表示し、認証チケットの画像情報をテレビ局システム15からダウンロード放送される番組情報に連動して受信した場合には、受信した認証チケットの画像情報を番組放送と共に表示する。なお、認証チケットの画像情報の表示場所は、表示部124に限定されるものではなく、他のPCやTVなどの表示端末の表示部に表示させることも可能である。
In step S104, authentication ticket image information is received by the communication unit 122 of the
ステップS105では、携帯端末13の画像読み取り部135により、Web表示端末12に表示された2次元バーコードの認証チケット画像を読み取り、認証チケットデコード部132により、該読み取った画像をデコードして認証チケットを取得する。
In step S105, the
ステップS106では、携帯端末13の署名付与部133により、利用者ID・秘密鍵格納部134から取得した利用者ID、及び署名時刻を認証チケットに付加し、これにハッシュ値を求めて認証用の秘密鍵を用いて電子署名をした署名情報を追加した認証応答チケットを生成する。ハッシュ値に電子署名する動作は、携帯電話の耐タンパデバイスであるUSIM中で実行するのが好適である。
In step S106, the
ステップS107では、携帯端末13の赤外線送信部136により、認証応答チケットをWeb表示端末12に赤外線で送信する。
In step S <b> 107, the
ステップS108では、Web表示端末12の赤外線受信部125により、携帯端末13から赤外線で送信された認証応答チケットを受信し、通信部122により、認証応答チケットをネットワーク14経由でWebサービスサーバ11に送信する。
In step S108, the
ステップS109では、Webサービスサーバ11の受信データ処理部1121により、Web表示端末12から送信される認証応答チケットを受信する。
In step S109, the reception
ステップS110では、Webサービスサーバ11の認証チケット検証部1114により、認証応答チケットに含まれる利用者IDをキーに利用者DB114を検索して利用者を識別し、利用者DB114に予め登録されている公開鍵を用いて電子署名を検証することにより、利用者の本人性を確認する。署名検証が成功したら、認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DB113を検索し、認証チケットを特定する。認証応答チケットに含まれる認証チャレンジ情報が認証チケット情報DB113に登録された認証チャレンジ情報と同じであることを確認することにより、認証応答チケットの正当性を確認し、さらに認証チケット情報DB113に登録されている認証チケット有効期限と現在時刻とを照合し、認証チケットの有効性を確認する。以上全てが確認できたら該当利用者のログインを成功させる。なお、確認する順番は問わない。
In step S110, the authentication
Webサービスサーバ11は、さらに認証履歴DBを備え、利用者から認証応答チケットを受信するたび、利用者ID、認証チケットID、認証回数、及び最終署名時刻を格納するようにすることもできる。図7は、認証履歴DBに格納される情報の例を示す図である。認証履歴DBを備える場合には、ステップS110では、Webサービスサーバ11の認証チケット検証部1114により、認証履歴DBにアクセスし、利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在する場合には、送付回数が規定回数を上回っていないこと、及び/又は、認証応答チケットに含まれる署名時刻が最終署名時刻より後であることを確認する。
The
ステップS111では、Webサービスサーバ11のWebコンテンツ処理部1115により、認証チケット情報DB113からジャンプ先URLの情報を取得する。なお、URLのジャンプを提供せず、ログイン認証のみでも使用することが可能であるが、URLのジャンプを提供することにより、利用者がURL投入しなくても、サービス提供者が望むURLに自動的にジャンプさせ、必要なサービスに利用者を誘導することができる。
In step S111, the Web
ステップS112では、Webサービスサーバ11のWebコンテンツ処理部1115により、Webコンテンツ情報DB115からジャンプ先URLのWebコンテンツを取得する。
In step S112, the web
ステップS113では、Web表示端末12のWeb解釈部123により、Webサービスサーバ11から送出された該当ページを解釈し、表示部124により表示する。利用者認証が既に終了しているので、利用者は直ちに会員向けサービスを利用することができる。
In step S113, the
ここで、本発明に係るWebサーバ11、Web端末12、及び携帯端末13をコンピュータで構成することも可能である。この場合、各機能を実現する処理内容を記述したプログラムを、当該コンピュータの内部又は外部の記憶部に格納しておき、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。また、このようなプログラムは、例えばDVD又はCD−ROMなどの可搬型記録媒体の販売、譲渡、貸与等により流通させることができるほか、そのようなプログラムを、例えばネットワーク上にあるサーバの記憶部に記憶しておき、ネットワークを介してサーバから他のコンピュータにそのプログラムを転送することにより、流通させることができる。また、そのようなプログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラム又はサーバから転送されたプログラムを、一旦、自己の記憶部に記憶することができる。また、このプログラムの別の実施態様として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、更に、このコンピュータにサーバからプログラムが転送される度に、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。
Here, the
本発明によれば、電子署名を付与した認証チケットを他者が入手したとしても、Webサービスサーバ11が認証チケットをログインのたびに変更し、且つ認証チケットの有効期限を検証することにより、不正なログイン要求を排除することができる。また、Webサービスサーバ11は、認証応答チケットに付与された電子署名を検証することにより、予め登録された携帯端末を保持していない他者からのログインを排除することができる。
According to the present invention, even if another person obtains an authentication ticket with an electronic signature, the
さらに、本発明は、Webサービスサーバ11から発行される認証チケットは利用者に関連付けられず、サービス(ジャンプ先URL)にのみ関連づけられるため、不特定多数の利用者が同一の認証チケットを利用することが可能である。このため、認証チケットをHPに掲載したり、地デジのデータ放送などのマスメディアを使って配布したりすることが可能となり、テレビ番組と連動するなど、様々な応用サービスへの展開が可能となる。なお、不特定多数の利用者が容易に認証チケットを入手できるため、利用者特定を確実に実施する必要があり、そのため耐タンパデバイスにより電子署名を行なうことが好適である。
Further, according to the present invention, since the authentication ticket issued from the
上述の実施例は、代表的な例として説明したが、本発明の趣旨及び範囲内で、多くの変更及び置換ができることは当業者に明らかである。従って、本発明は、上述の実施例によって制限するものと解するべきではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。例えば、利用者ID・秘密鍵格納部134に格納管理される利用者IDと秘密鍵の情報は不正に利用されないよう厳重に管理する必要があるため、携帯端末13としてUSIMを内蔵する携帯電話を用いることも可能である。USIM起動時にPIN(Personal Identity Number)コードを入力するように設定すれば、仮に悪意の第三者が携帯電話を入手したとしても、USIMを利用することは非常に困難であり、なりすましを防止することができる。
Although the above embodiments have been described as representative examples, it will be apparent to those skilled in the art that many changes and substitutions can be made within the spirit and scope of the invention. Therefore, the present invention should not be construed as being limited by the above-described embodiments, and various modifications and changes can be made without departing from the scope of the claims. For example, since the user ID and secret key information stored and managed in the user ID / private key storage unit 134 must be strictly managed so as not to be used illegally, a mobile phone with a built-in USIM is used as the
このように、本発明によれば、ネットワークに接続されたWebサイトにログインする際に、携帯端末を用いてログイン認証する任意の用途に有用である。 As described above, according to the present invention, when logging in to a Web site connected to a network, the present invention is useful for any application for performing login authentication using a mobile terminal.
1 Webサイトログインシステム
11 Webサービスサーバ
12 Web表示端末
13 携帯端末
14 ネットワーク
15 テレビ局システム
111 制御部
112 通信部
113 認証チケット情報DB
114 利用者DB
115 Webコンテンツ情報DB
116 番組挿入部
121 制御部
122 通信部
123 Web解釈部
124 表示部
125 赤外線受信部
131 制御部
132 認証チケットデコード部
133 署名付与部
134 利用者ID・秘密鍵格納部
135 画像読み取り部
136 赤外線送信部
1111 処理要求制御部
1112 認証チケット生成部
1113 認証チケットエンコード部
1114 認証チケット検証部
1115 Webコンテンツ処理部
1121 受信データ処理部
1122 送信データ処理部
DESCRIPTION OF
114 User DB
115 Web content information DB
116
Claims (10)
前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、認証チケット生成部と、認証チケットエンコード部と、認証チケット検証部と、Webコンテンツ処理部と、Webサービスサーバ通信部とを備え、
前記表示端末は、表示端末通信部と、Web解釈部と、表示部と、無線受信部とを備え、
前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、画像読み取り部と、認証チケットデコード部と、署名付与部と、無線送信部とを備えており、
(a)前記認証チケット生成部により、ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納するステップと、
(b)前記認証チケットエンコード部により、前記認証チケットをエンコードして認証チケットの画像情報を生成するステップと、
(c)前記Webサービスサーバ通信部により、前記認証チケットの画像情報を送信するステップと、
(d)前記表示端末通信部により、前記認証チケットの画像情報を受信するステップと、
(e)前記表示部により、前記認証チケットの画像情報を表示するステップと、
(f)前記画像読み取り部により、前記表示端末に表示された前記認証チケットの画像情報を読み取るステップと、
(g)前記認証チケットデコード部により、前記読み取った認証チケットの画像情報をデコードして認証チケットを取得するステップと、
(h)前記署名付与部により、前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに、前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加した認証応答チケットを生成するステップと、
(i)前記無線送信部により、前記認証応答チケットを前記表示端末に送信するステップと、
(j)前記無線受信部により、前記送信された認証応答チケットを受信し、前記表示端末通信部により、該認証応答チケットを前記Webサービスサーバに送信するステップと、
(k)前記Webサービスサーバ通信部により、前記送信された認証応答チケットを受信するステップと、
(l)前記認証チケット検証部により、前記受信した認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を取得し、該検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記受信した認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記受信した認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断するステップと、
を含むことを特徴とするWebサイトログイン方法。 A website login method in a system comprising a web service server that provides a web service, a display terminal connected to the web service server via a network, and a mobile terminal,
The Web service server includes a user DB stored in advance in association with a unique user ID and a verification key used for authentication, a Web content information DB storing content data of the Web service, an authentication ticket generating unit, An authentication ticket encoding unit, an authentication ticket verification unit, a Web content processing unit, and a Web service server communication unit;
The display terminal includes a display terminal communication unit, a Web interpretation unit, a display unit, and a wireless reception unit,
The portable terminal includes a user ID / private key storage unit that associates and stores the user ID and a secret key used for authentication, an image reading unit, an authentication ticket decoding unit, a signature adding unit, a wireless transmission unit, With
(A) The authentication ticket generation unit generates an authentication ticket including a unique authentication ticket ID, authentication challenge information, and expiration date information of the authentication ticket, and generation time information of the authentication ticket associated with the authentication ticket And storing it in the authentication ticket information DB;
(B) The authentication ticket encoding unit generates the authentication ticket image information by encoding the authentication ticket;
(C) transmitting image information of the authentication ticket by the Web service server communication unit;
(D) receiving image information of the authentication ticket by the display terminal communication unit;
(E) displaying the image information of the authentication ticket by the display unit;
(F) reading image information of the authentication ticket displayed on the display terminal by the image reading unit;
(G) Decoding image information of the read authentication ticket by the authentication ticket decoding unit to obtain an authentication ticket;
(H) The signature giving unit adds the user ID and the signature time acquired from the user ID / private key storage unit to the authentication ticket, and adds the user ID and the signature time to the authentication ticket. Generating an authentication response ticket to which signature information that has been digitally signed using a secret key for authentication acquired from the user ID / private key storage unit is added;
(I) transmitting the authentication response ticket to the display terminal by the wireless transmission unit;
(J) receiving the transmitted authentication response ticket by the wireless reception unit, and transmitting the authentication response ticket to the Web service server by the display terminal communication unit;
(K) receiving the transmitted authentication response ticket by the Web service server communication unit;
(L) The authentication ticket verification unit searches the user DB using a user ID included in the received authentication response ticket as a key, acquires a verification key associated with the user ID, and performs the verification The electronic signature is verified using the key for authentication, and if the signature verification is successful, the authentication ticket information DB is searched using the authentication ticket ID included in the received authentication response ticket as a key, and the authentication challenge associated with the authentication ticket ID Information and the expiration date information of the authentication ticket, the authentication challenge information is the same as the authentication challenge information included in the received authentication response ticket, and the current time is before the expiration date of the authentication ticket Determining authentication is successful;
A Web site login method comprising:
前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記Webサービスサーバから受信するステップであり、
前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報をWeb表示するステップである
ことを特徴とする、請求項1に記載のWebサイトログイン方法。 The step (c) is a step of transmitting image information of the authentication ticket to the display terminal by the Web service server communication unit.
The step (d) is a step of receiving image information of the authentication ticket from the Web service server by the display terminal communication unit,
The method of claim 1, wherein the step (e) is a step of displaying the image information of the authentication ticket on the web by the display unit.
前記ステップ(d)は、前記表示端末通信部により、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信するステップであり、
前記ステップ(e)は、前記表示部により、前記認証チケットの画像情報を前記番組放送と共に表示するステップである
ことを特徴とする、請求項1に記載のWebサイトログイン方法。 The step (c) is a step of transmitting image information of the authentication ticket to the television station system by the Web service server communication unit,
The step (d) is a step of receiving image information of the authentication ticket in conjunction with program information downloaded and broadcast from the television station system by the display terminal communication unit,
The method of claim 1, wherein the step (e) is a step of displaying the image information of the authentication ticket together with the program broadcast on the display unit.
前記ステップ(l)の後に、
(m)前記Webコンテンツ処理部により、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得し、前記Webサービスサーバ通信部により該取得したWebコンテンツを前記表示端末に送信するステップと、
(n)前記表示部により、前記Webコンテンツを表示するステップと、
を含むことを特徴とする、請求項1から3のいずれか一項に記載のWebサイトログイン方法。 The step (a) includes a step of generating, by the authentication ticket generation unit, URL information of a jump destination associated with the authentication ticket that is to be displayed after login and storing the URL information in the authentication ticket information DB;
After step (l),
(M) The Web content processing unit acquires jump destination URL information from the authentication ticket information DB, acquires the jump destination URL Web content from the Web content information DB, and the Web service server communication unit Transmitting the acquired web content to the display terminal;
(N) displaying the web content by the display unit;
The Web site login method according to claim 1, further comprising:
前記ステップ(k)は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、前記最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納するステップを含み、
前記ステップ(l)は、前記認証チケット検証部により、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が最終署名時刻より後であるときに認証を成功と判断するステップを含む
ことを特徴とする、請求項1から4のいずれか一項に記載のWebサイトログイン方法。 The Web service server includes an authentication history DB that stores a user ID, an authentication ticket ID, an authentication count, and a final signature time associated with each other,
The step (k) stores the user ID and authentication ticket ID included in the received authentication response ticket in the authentication history DB, and the user ID and authentication ticket ID are already stored in the authentication history DB. And updating and storing the number of authentications, and updating and storing the final signature time to a signature time included in the received authentication response ticket,
In the step (l), the authentication ticket verification unit accesses the authentication history DB, and the user ID included in the received authentication response ticket and the number of times of authentication and the last signature time associated with the authentication ticket ID exist. When the number of times of authentication does not exceed a specified number of times and / or there is a user ID included in the received authentication response ticket and the number of times of authentication and the last signature time associated with the authentication ticket ID. 5. The Web site login method according to claim 1, further comprising a step of determining that the authentication is successful when the signature time included in the response ticket is later than the final signature time.
前記Webサービスサーバは、ユニークな利用者ID及び認証で使用する検証用鍵を関連付けて予め格納した利用者DBと、
Webサービスのコンテンツデータを格納するWebコンテンツ情報DBと、
ユニークな認証チケットID、認証チャレンジ情報、及び認証チケットの有効期限情報を含む認証チケットと、該認証チケットに関連付けられた該認証チケットの生成時刻情報とを生成して認証チケット情報DBに格納する認証チケット生成部と、
前記認証チケットをエンコードして認証チケットの画像情報を生成する認証チケットエンコード部と、
ネットワークを介して前記表示端末と情報を送受信するWebサービスサーバ通信部と、
前記表示端末から取得した、認証チケットに対して電子署名がなされた認証応答チケットの正当性を検証する認証チケット検証部と、
前記Webコンテンツ情報DBからWebコンテンツを取得し、前記Webサービスサーバ通信部により送信させるWebコンテンツ処理部とを備え、
前記表示端末は、ネットワークを介して前記Webサービスサーバと情報を送受信する表示端末通信部と、
前記Webコンテンツを解釈するブラウザ機能を有するWeb解釈部と、
前記認証チケットの画像情報及び前記Webコンテンツを表示する表示部と、
前記認証応答チケットを前記Webサービスサーバに送信する無線受信部とを備え、
前記携帯端末は、前記利用者ID及び認証に用いる秘密鍵を関連付けて格納する利用者ID・秘密鍵格納部と、
前記表示端末に表示された前記認証チケットの画像情報を読み取る画像読み取り部と、
前記読み取った認証チケットの画像情報をデコードして認証チケットを取得する認証チケットデコード部と、
前記利用者ID・秘密鍵格納部から取得した利用者ID、及び署名時刻を認証チケットに付加し、該利用者ID及び署名時刻が付加された認証チケットに前記利用者ID・秘密鍵格納部から取得した認証用の秘密鍵を用いて電子署名をした署名情報を追加して前記認証応答チケットを生成する署名付与部と、
前記認証応答チケットを前記表示端末に送信する無線送信部とを備え、
前記認証チケット検証部は、前記認証応答チケットに含まれる利用者IDをキーに前記利用者DBを検索し、該利用者IDに関連付けられた検証用鍵を用いて前記電子署名を検証し、署名検証が成功したら、前記認証応答チケットに含まれる認証チケットIDをキーに認証チケット情報DBを検索し、認証チケットIDに関連付けられた認証チャレンジ情報及び認証チケットの有効期限情報を取得し、該認証チャレンジ情報が前記認証応答チケットに含まれる認証チャレンジ情報と同一であり、かつ、現在時刻が認証チケットの有効期限より前である場合に認証を成功と判断する手段を有する
ことを特徴とするWebサイトログインシステム。 A website login system comprising a web service server that provides a web service, a display terminal connected to the web service server via a network, and a mobile terminal,
The Web service server includes a user DB stored in advance in association with a unique user ID and a verification key used for authentication;
A Web content information DB for storing Web service content data;
Authentication that generates an authentication ticket including a unique authentication ticket ID, authentication challenge information, and expiration date information of the authentication ticket, and generation time information of the authentication ticket associated with the authentication ticket, and stores it in the authentication ticket information DB A ticket generator,
An authentication ticket encoding unit that encodes the authentication ticket to generate image information of the authentication ticket;
A web service server communication unit that transmits and receives information to and from the display terminal via a network;
An authentication ticket verification unit that verifies the authenticity of the authentication response ticket obtained from the display terminal and having an electronic signature on the authentication ticket;
A Web content processing unit that acquires Web content from the Web content information DB and causes the Web service server communication unit to transmit the Web content,
The display terminal includes a display terminal communication unit that transmits and receives information to and from the Web service server via a network;
A web interpretation unit having a browser function for interpreting the web content;
A display unit for displaying the image information of the authentication ticket and the Web content;
A wireless receiver that transmits the authentication response ticket to the Web service server,
The portable terminal includes a user ID / secret key storage unit that stores the user ID and a secret key used for authentication in association with each other;
An image reading unit for reading image information of the authentication ticket displayed on the display terminal;
An authentication ticket decoding unit that acquires the authentication ticket by decoding the image information of the read authentication ticket;
The user ID and the signature time acquired from the user ID / private key storage unit are added to the authentication ticket, and the user ID / secret key storage unit adds the user ID and the signature time to the authentication ticket. A signature attaching unit that generates signature authentication ticket by adding signature information that is digitally signed using the acquired authentication private key;
A wireless transmission unit for transmitting the authentication response ticket to the display terminal,
The authentication ticket verification unit searches the user DB using a user ID included in the authentication response ticket as a key, verifies the electronic signature using a verification key associated with the user ID, If the verification is successful, the authentication ticket information DB is searched using the authentication ticket ID included in the authentication response ticket as a key, the authentication challenge information associated with the authentication ticket ID and the expiration date information of the authentication ticket are acquired, and the authentication challenge Web site login characterized in that it has means for judging that authentication is successful when the information is the same as the authentication challenge information included in the authentication response ticket and the current time is before the expiration date of the authentication ticket system.
前記表示端末通信部は、前記認証チケットの画像情報を前記Webサービスサーバから受信する手段を有し、
前記表示部は、前記受信した認証チケットの画像情報をWeb表示する手段を有する
ことを特徴とする、請求項6に記載のWebサイトログインシステム。 The web service server communication unit includes means for transmitting image information of the authentication ticket to the display terminal;
The display terminal communication unit has means for receiving image information of the authentication ticket from the Web service server,
7. The website login system according to claim 6, wherein the display unit includes means for displaying image information of the received authentication ticket on the web.
前記表示端末通信部は、前記認証チケットの画像情報を前記テレビ局システムからダウンロード放送される番組情報に連動して受信する手段を有し、
前記表示部は、前記受信した認証チケットの画像情報を前記番組放送と共に表示する手段を有する
ことを特徴とする、請求項6に記載のWebサイトログインシステム。 The web service server communication unit includes means for transmitting image information of the authentication ticket to a television station system;
The display terminal communication unit includes means for receiving image information of the authentication ticket in conjunction with program information downloaded and broadcast from the television station system,
The Web site login system according to claim 6, wherein the display unit includes means for displaying image information of the received authentication ticket together with the program broadcast.
前記Webコンテンツ処理部は、前記認証チケット情報DBからジャンプ先URLの情報を取得し、前記Webコンテンツ情報DBから該ジャンプ先URLのWebコンテンツを取得する手段を有する
ことを特徴とする、請求項6から8のいずれか一項に記載のWebサイトログインシステム。 The authentication ticket generation unit includes means for generating URL information of a jump destination associated with the authentication ticket and desired to be displayed after login and storing the URL information in the authentication ticket information DB,
The Web content processing unit includes means for acquiring jump destination URL information from the authentication ticket information DB, and acquiring Web content of the jump destination URL from the Web content information DB. The Web site login system according to any one of 1 to 8.
前記Webサービスサーバ通信部は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDを前記認証履歴DBに格納し、すでに認証履歴DBに該利用者ID及び認証チケットIDが格納されている場合には、前記認証回数を更新して格納し、最終署名時刻を前記受信した認証応答チケットに含まれる署名時刻に更新して格納する手段を有し、
前記認証チケット検証部は、前記認証履歴DBにアクセスし、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認定回数が規定回数を上回っていないとき、及び/又は、前記受信した認証応答チケットに含まれる利用者ID及び認証チケットIDに関連付けられた認証回数及び最終署名時刻が存在し、前記認証応答チケットに含まれる署名時刻が前記最終署名時刻より後であるときに認証を成功と判断する手段を有する
ことを特徴とする、請求項6から9のいずれか一項に記載のWebサイトログインシステム。 The Web service server includes an authentication history DB that stores a user ID, an authentication ticket ID, an authentication count, and a final signature time associated with each other,
The Web service server communication unit stores the user ID and the authentication ticket ID included in the received authentication response ticket in the authentication history DB, and the user ID and the authentication ticket ID are already stored in the authentication history DB. The authentication count is updated and stored, and the final signature time is updated and stored in the signature time included in the received authentication response ticket.
The authentication ticket verification unit accesses the authentication history DB, includes a user ID included in the received authentication response ticket and an authentication count and a final signature time associated with the authentication ticket ID, and the number of certifications is defined. If the number of times does not exceed the number of times, and / or the user ID included in the received authentication response ticket and the number of times of authentication and the last signature time associated with the authentication ticket ID exist, the signature time included in the authentication response ticket 10. The website login system according to claim 6, further comprising means for determining that the authentication is successful when is after the final signature time.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010140592A JP2012005037A (en) | 2010-06-21 | 2010-06-21 | Website login method and website login system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010140592A JP2012005037A (en) | 2010-06-21 | 2010-06-21 | Website login method and website login system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012005037A true JP2012005037A (en) | 2012-01-05 |
Family
ID=45536458
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010140592A Pending JP2012005037A (en) | 2010-06-21 | 2010-06-21 | Website login method and website login system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012005037A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014067175A (en) * | 2012-09-25 | 2014-04-17 | Denso Wave Inc | Authentication system |
| JP2014109985A (en) * | 2012-12-04 | 2014-06-12 | Kazunori Fujisawa | Utilization method of electronic coupon and utilization system of electronic coupon |
| JP2014181533A (en) * | 2013-03-21 | 2014-09-29 | Toppan Printing Co Ltd | Belt partition device and information provision system |
| WO2019116492A1 (en) * | 2017-12-14 | 2019-06-20 | 日本電気株式会社 | Ticket validity verification device, method, and program |
| WO2020053994A1 (en) * | 2018-09-12 | 2020-03-19 | 日本電気株式会社 | Information processing device, information processing system, member specification method, and non-transitory computer-readable medium in which program is stored |
| WO2021065636A1 (en) * | 2019-10-03 | 2021-04-08 | 株式会社ソニー・インタラクティブエンタテインメント | Initial setting method for information processing device, information processing device and terminal device |
-
2010
- 2010-06-21 JP JP2010140592A patent/JP2012005037A/en active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014067175A (en) * | 2012-09-25 | 2014-04-17 | Denso Wave Inc | Authentication system |
| JP2014109985A (en) * | 2012-12-04 | 2014-06-12 | Kazunori Fujisawa | Utilization method of electronic coupon and utilization system of electronic coupon |
| JP2014181533A (en) * | 2013-03-21 | 2014-09-29 | Toppan Printing Co Ltd | Belt partition device and information provision system |
| WO2019116492A1 (en) * | 2017-12-14 | 2019-06-20 | 日本電気株式会社 | Ticket validity verification device, method, and program |
| JPWO2019116492A1 (en) * | 2017-12-14 | 2020-12-03 | 日本電気株式会社 | Ticket validation device, method and program |
| WO2020053994A1 (en) * | 2018-09-12 | 2020-03-19 | 日本電気株式会社 | Information processing device, information processing system, member specification method, and non-transitory computer-readable medium in which program is stored |
| JPWO2020053994A1 (en) * | 2018-09-12 | 2021-08-30 | 日本電気株式会社 | Information processing equipment, information processing system, member identification method, and program |
| JP7147856B2 (en) | 2018-09-12 | 2022-10-05 | 日本電気株式会社 | Information processing device, information processing system, member identification method, and program |
| WO2021065636A1 (en) * | 2019-10-03 | 2021-04-08 | 株式会社ソニー・インタラクティブエンタテインメント | Initial setting method for information processing device, information processing device and terminal device |
| JP2021061479A (en) * | 2019-10-03 | 2021-04-15 | 株式会社ソニー・インタラクティブエンタテインメント | Initial setting method for information processing device, information processing device and terminal device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9979720B2 (en) | Passwordless strong authentication using trusted devices | |
| US8056122B2 (en) | User authentication method and system using user's e-mail address and hardware information | |
| KR101214836B1 (en) | Authentication method and authentication system | |
| JP4693171B2 (en) | Authentication system | |
| US9203825B2 (en) | Method of authenticating a user of a peripheral apparatus, a peripheral apparatus, and a system for authenticating a user of a peripheral apparatus | |
| JP4983197B2 (en) | Authentication system, authentication service providing apparatus, and authentication service providing program | |
| TWI221380B (en) | Authentication system, authentication acting device and terminal device | |
| JP2007102778A (en) | User authentication system and method therefor | |
| US20150222435A1 (en) | Identity generation mechanism | |
| KR101383761B1 (en) | User authentication system and method thereof | |
| JP2013524314A (en) | Authentication method and system using portable terminal | |
| US9124571B1 (en) | Network authentication method for secure user identity verification | |
| KR101025807B1 (en) | Authentication method and authentication server | |
| JP4960738B2 (en) | Authentication system, authentication method, and authentication program | |
| US10375061B2 (en) | Communication apparatus, reminder apparatus, and information recording medium | |
| JP2006244418A (en) | Service providing system and service providing device | |
| JP2012005037A (en) | Website login method and website login system | |
| JP2007133743A (en) | Service providing server and authentication system | |
| JP2007115226A (en) | User authentication system | |
| JP2007011756A (en) | Authentication method and its system | |
| JP2011209833A (en) | System and method for authenticating user, and program | |
| KR101964271B1 (en) | Method and server for authenticating user based on font information | |
| KR20120088236A (en) | User authentification system for contents service and method thereof | |
| JP7223196B1 (en) | Information processing device, information processing method, and program | |
| JP2011170795A (en) | Web authentication system, mobile terminal, web terminal, web server, web authentication method and program for them |