JP2016031625A - ユーザ認証装置 - Google Patents
ユーザ認証装置 Download PDFInfo
- Publication number
- JP2016031625A JP2016031625A JP2014153433A JP2014153433A JP2016031625A JP 2016031625 A JP2016031625 A JP 2016031625A JP 2014153433 A JP2014153433 A JP 2014153433A JP 2014153433 A JP2014153433 A JP 2014153433A JP 2016031625 A JP2016031625 A JP 2016031625A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- user
- information
- confirmation
- confirmation server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 34
- 238000012790 confirmation Methods 0.000 claims description 152
- 230000005540 biological transmission Effects 0.000 claims 1
- 230000006870 function Effects 0.000 description 32
- 238000012545 processing Methods 0.000 description 25
- 230000008569 process Effects 0.000 description 16
- 238000012795 verification Methods 0.000 description 8
- 230000008520 organization Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 4
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 3
- 241000700605 Viruses Species 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 239000003086 colorant Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000004900 laundering Methods 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
【課題】他人の端末を一時的に利用するような場合に、その端末の安全性を確認する方法を提供し、確認者が、金融サービスを受けていない人の端末を操作しようとしたとき、本人確認者に、他人の端末が安全な環境であるか否かを確認する手段を提供する。【解決手段】安全な実行環境を有する端末と、その安全性をネットワーク経由で検証できるサーバを用い、サーバは端末の環境が安全であるか否かを確認し、安全な場合にのみ、ユーザのみが知る秘密の情報を端末に表示させる。【選択図】図1
Description
本発明は、ユーザが端末利用する際の当該端末に対する認証を行う技術に関する。その中でも特に、貸与されるなどで一時的に端末を利用する際の認証に関する。
現在、モバイル端末、PCなどの端末が普及し、これら端末を活用したオンラインバンク等、様々なサービスが提供されている。このような業務を端末で行う場合、コンピュータウィルス等の不正ソフトウェア(マルウェア)が侵入し、安全に取引を行えない場合がある。例えば、マルウェアがオンラインバンクの画面を改ざんしたり、偽物の画面に誘導したりして、ユーザが入力したパスワードを窃取、取引内容の盗み見等の不正が行われる可能性がある。
このようなマルウェアに対して、端末にウィルス検知ソフトを導入して上記のような不正を検出することが一般に行われている。しかし、ウィルス検知ソフトによるマルウェアの検知は完全ではない。このような課題に対して、端末のセキュリティを向上させる技術がある。例えば、特許文献1では、端末のセキュアな実行環境として、通常のオペレーティングシステムやアプリケーションが稼働する環境とは独立した安全なソフトウェア実行環境と、ユーザへ情報を安全に伝達する表示手段、ユーザからの入力を安全に受ける入力手段、端末のアプリケーションが安全なものであることを、ネットワークを介して離れた場所から検証する手段(attestation)、端末が安全な状態にあることをインジケータを使ってユーザに示す手段、データを安全に保管する手段が示されている。
この仕組みが導入された端末をユーザが利用することで、マルウェアがオンラインバンク等の重要なアプリケーションの実行に介入することを排除し、そのアプリケーションとユーザとの間の入出力を安全にし、かつ、その安全な状態にあることをインジケータでユーザに示し、ユーザが安心してオンラインバンク等の取引を実行することが可能となる。また、その端末が安全な状態であることを、ネットワークを介してオンラインバンク等のサーバが確認することが確認できる。
特に、ユーザ自身が保有する端末を利用したときには、画面表示やンジケータの表示を正常な端末およびアプリケーションと同様に偽装するような不正な端末ではないことが期待できるため、ユーザはインジケータにより端末が安全な環境にあること、セキュアな実行環境がマルウェアの侵入を許さずにアプリケーションを実行していること、その端末の環境をオンラインバンク等のサーバが検証していることを確認することができる。
ここで、他人の端末を一時的に利用するような場合に、その端末の安全性を確認する方法が大きな課題となる。例えば、金融サービスを受けていない人(金融機関等の店舗に簡単には行けないような人、金融機関等が求める本人確認のための書類等を用意できない人)について、既に金融機関等の本人確認を受けている人が本人確認者として、本人確認を行い、金融サービスを受けていない人の利用する端末との対応を金融機関等に示すことができれば、以降、その端末を使って金融サービスを受けることができる。しかしこのために確認者が、金融サービスを受けていない人の端末を操作しようとしたとき、その端末が安全な環境であるか否か、本人確認者自身の端末ではないため確認することができない。本発明の課題は、このような場面で本人確認者に、他人の端末が安全な環境であるか否かを確認する手段を提供することである。
上記の課題を解決するために、本発明では、端末の環境に対する認証および接続先への接続について、操作者(例えば、第3者たる確認者)における確認を可能とするものである。より詳細には、安全なアプリケーションの実行環境を提供する端末と、金融機関のユーザ登録サーバと、金融機関のユーザを確認する確認者が登録している確認サーバを用いる。端末の保有者は自身で氏名や住所を入力した後に、端末を確認者に手渡す。確認者は、当該端末を用いて確認サーバに接続し、確認者を識別するための識別情報を送信する。このとき確認サーバは、端末のアプリケーション実行環境を検証し、アプリケーションが安全に動作する環境であることを確認した場合に、処理を続行する。この状態で、確認者が知る確認サーバに事前に登録した秘密の情報を、確認サーバは端末へ送信し、端末はこれを表示する。これにより、確認者は、端末が確かに正しい確認サーバに接続していることと、確認サーバが端末の安全性を確認したことを知ることができ、当該端末が他人の端末であり、これを一時的に利用しているような状況であっても、確認者は安心して確認サーバへログインするための認証情報を端末に入力することができる。端末は確認者の認証情報の入力を受け、確認サーバへ送信する。確認サーバは端末から、確認者が確認した端末の保有者の個人情報を受信し、この情報が確認済であることを示す情報を作成して端末へ送信する。端末は金融機関のユーザ登録サーバへ接続し、確認済の個人情報を送信する。ユーザ登録サーバはこの確認済の個人情報により、ユーザに対する金融取引を許可する。
また、秘密の情報として、確認者があらかじめ確認サーバに登録した画像データを用いてもよい。この場合、確認サーバは確認者が登録した画像データを非精細化した画像を秘密の情報として端末へ送信する。端末は操作者(確認者)から精細化すべき箇所の指定を受け、この情報を確認サーバへ送信する。確認サーバは指定を受けた場所を元の精細な画像で置き換えた(一部を精細化した)画像を端末へ送信する。これにより、確認者は端末が正しい確認サーバへ接続していることを知ることができる。
本発明により、端末の保有者でない者が端末を一時的に利用する場合のように、端末が必ずしも安全であるか否かが判断できない場合であっても、当該端末が安全な環境にあるか否かを確認することができる。
本実施形態では端末の保有者が金融機関等のサービスを新たに受けようとする場合に、他人である確認者が、端末を一時的に利用して、確認者自身を認証する確認サーバに接続して認証し、端末の保有者の本人確認を行う方法を示す。この中で、確認者が他人の端末を利用して確認サーバで認証するためのパスワードを入力するために、確認者が他人の端末の環境の安全性を確認する処理を以下、図面を用いて示す。なお、以降では、端末の保有者が銀行口座を開設するために、確認者が銀行に代わって端末の保有者の本人確認を行う場合を例として示すが、金融以外を含めた他の分野にも適用できる。
図1は本発明の一実施形態のシステムの全体であり、銀行に設置するユーザ登録サーバ110、確認者の認証を行う確認サーバ120、新規に銀行のサービスを受けようとするユーザが保有する端末130と、それらを接続するネットワーク150からなる。ユーザ登録サーバは端末の保有者を銀行の新規ユーザとして登録するユーザ登録受付機能111、銀行のユーザを登録するユーザ情報113を持つ。確認サーバ120は端末130での確認者の認証を行う第三者確認受付機能121、端末の環境を認証する端末認証機能124、登録済みの第三者を認証するための第三者確認情報テーブル122および第三者画像確認情報123からなる。なお確認サーバはユーザ登録サーバ110を保持する銀行の中にあっても、別の組織が管理していてもよい。端末130は例えばスマートフォンやPCであり、新規ユーザ登録機能131とその中で呼び出される第三者確認機能132、銀行に登録する端末の保有者の情報を記録する新規ユーザ情報133を持つ。また、端末130はアプリケーションを安全に実行するセキュア実行環境134を持つ。ネットワーク150は例えばインターネット、携帯電話網である。
図2にユーザ登録サーバ110、確認サーバ120の構成を示す。ユーザ登録サーバ110、確認サーバ120は、CPU201、メモリ202、記憶装置203、入力装置204、出力装置205、通信制御装置206とそれらを接続するバス207からなる。CPU201は記憶装置203からメモリ202へプログラムを読み込み、これを実行することでユーザ登録サーバ110または確認サーバ120の全体の動作を制御する。以降、CPU201がメモリ202のプログラムを実行する処理を、ユーザ登録サーバ110または確認サーバ120の処理として記載する。記憶装置203は例えばハードディスクであり、プログラムや処理に必要なデータ、テーブルの情報を記憶する。入力装置204は例えばキーボードである。出力装置205は例えばディスプレイである。通信制御装置206はネットワーク150に接続し情報の授受を行う。
図3に端末130の構成を示す。端末130はユーザ登録サーバ110等と同様の構成に、インジケータ308が加わっている。インジケータ308は端末130がセキュアな実行環境にあることをユーザに示す装置であり、例えばランプである。具体的には、CPU201がセキュアな実行環境のプログラムを実行する状態にあり、入力装置204、出力装置205との情報の授受の安全が保たれている場合に点灯する。なお、入力装置204と出力装置205は画面とタッチパネルが一体化したものであってもよい。
次に図4により、本実施形態の全体の処理フローを示す。図4は端末130の新規ユーザ登録機能131と、ユーザ登録サーバ110のユーザ登録受付機能111の処理を示す。このフローは、自身の端末による金融取引のために口座を開設したい者が、他の人に本人確認を手伝ってもらう処理を示す。具体的には端末130の新規ユーザ登録機能131の処理のうち、ステップ群411は口座を開設したい端末の保有者が操作しているときの処理、ステップ群413は、端末の保有者を確認する確認者が操作しているときの処理、ステップ群415は、再度、端末の保有者が操作しているときの処理である。これらのステップ群411、413、415の間で、端末130が受け渡されることを想定している。処理の概要としては、実世界で何らかの関係のある保有者と確認者の2人により、端末130が操作されることを前提とする。何らかの関係とは、例えば保有者の氏名や住所を確認者が確認できるような関係であり、双方が同一の家族や組織の一員であったり、確認者が自治体職員で保有者がその住民、あるいは同じ地域の住民である場合等である。まずステップ群411では、端末の保有者が自身の個人情報(氏名や住所等)を端末130に入力する。この時点では入力された情報は端末130の保有者が自身で入力した情報であり、銀行は信頼をおくことができない。次にステップ群413の処理(詳細は第三者確認機能132の処理として後述する)において、確認者が端末130の安全性を確認した上で確認サーバに接続して認証し、端末130の保有者が入力した個人情報を確認する。これにより、端末の保有者が入力した個人情報は、確認者により確認済みとなり、銀行が一定の度合い(銀行が確認者をどの程度信頼できるのかに依存する)で信頼できるものとなる。この状態で確認者が端末130を端末の保有者に返却し、ステップ群415において端末の保有者が端末130を操作してユーザ登録サーバ110に自身の本人情報を送信して口座開設を行う。以降、これらの処理の詳細を示す。
まずステップ412では、端末130は入力装置204により、端末の保有者の個人情報の入力を受ける。入力を受けた個人情報は新規ユーザ情報133に登録する。この時点では新規ユーザ情報133は、単に氏名等の情報が保存されており、信頼性のある情報ではない。このステップの処理の最後で、端末130は出力装置205に端末を確認者へ手渡すべき旨を表示する(文章を表示する)。次のステップは、端末130の保有者は端末130を確認者へ手渡したものと想定した処理である。端末130は引き続き、第三者確認機能132を実行し(ステップ414)、確認者による操作を受ける。このステップ414の完了後、保有者の本人情報は確認者による確認済みとなる(例えば確認サーバ120による電子署名が付与される)。第三者確認機能132の詳細は後述する。この時点で出力装置205は、確認者による確認が完了し、端末130を保有者へ返却すべき旨を表示する(文章を表示する)。
次に端末130は、銀行のユーザ登録サーバ110への接続の指示を受ける。これは例えば入力装置204の例えばタッチパネルから端末の保有者が次の処理に進むボタンに触れることによる。この指示を受けた端末130は、銀行のユーザ登録サーバ110に接続し、ユーザ登録サーバ110はこの接続要求を受け付ける(ステップ416、ステップ421)。次に端末130は第三者の確認済みの個人情報(例えば、確認サーバ120の電子署名のついた氏名および住所の情報)をユーザ登録サーバ110へ送信する(ステップ417)。ユーザ登録サーバ110はこれを受信し(ステップ422)、新規にユーザ登録を行う(ステップ423)。ここでユーザ登録とは、銀行の口座を開設することや、その他のサービスの利用を開始するために、ユーザ情報113に氏名や住所を登録することである。これはユーザ登録サーバ110が、他のサーバに個人情報を送信して、当該他のサーバが行ってもよい。このとき、ユーザ登録サーバ110は、個人情報が確認済である場合に、ステップ423へ進むものとする。
次にユーザ登録サーバ110は認証情報をユーザ情報113に氏名や住所と対応付けて登録した上で、端末130へ送信する。ここで認証情報とは、端末130のユーザが以降で口座のサービスを受けるときの認証に必要な情報であり、例えばユーザIDおよびパスワードや、暗号鍵である。ユーザIDパスワードの場合、端末130はこれらを出力装置205へ表示する。ユーザが銀行のサービスを受ける場合には、このユーザIDとパスワードを用いて認証を行う。暗号鍵の場合は、これは例えば端末130はこれを記憶装置203に保存する。以降でユーザが端末130を用いて銀行のサービスを受ける場合には、この暗号鍵により認証が行われる。なお、暗号鍵を端末130のセキュアな実行環境における安全なデータ保管機能を用いてもよい。これにより、この新規ユーザ登録機能131を実行した端末130のみから、以降の金融等の取引を行えることとなる。
次に図5においてステップ414から呼び出す端末130の第三者確認機能132と、これと対で利用する確認サーバ120の第三者確認受付機能121の処理フローを示す。
まず、端末はステップ511において確認サーバ120への接続を行う(ステップ511)。このとき、端末130は図7に示す確認サーバ選択画面701を表示する。図7は端末130がモバイル端末であり、入力装置204の画面と出力装置205のタッチパネルが一体化しており、インジケータ308は端末上のランプである場合の例を示す(以降の例も同様)。図7に示すサーバ選択画面701において、端末130は確認サーバの候補を表示し、その選択を受ける(選択肢702で、タッチパネルにより候補の一つの選択を受ける)。端末130はこれらの選択肢の情報と、その選択肢毎の接続先の特定情報(URL、IPアドレス等)をあらかじめ記憶装置203に保持しているものとする。端末130は、選択肢702で一つの選択を受け、OKボタン702の押下を受けた場合、確認サーバ120に接続する。この接続は、選択された選択肢に対応する接続先の特定情報により行い、以降のステップでは端末130は、この特定情報で特定される確認サーバ120へ接続するものとする。
まず、端末はステップ511において確認サーバ120への接続を行う(ステップ511)。このとき、端末130は図7に示す確認サーバ選択画面701を表示する。図7は端末130がモバイル端末であり、入力装置204の画面と出力装置205のタッチパネルが一体化しており、インジケータ308は端末上のランプである場合の例を示す(以降の例も同様)。図7に示すサーバ選択画面701において、端末130は確認サーバの候補を表示し、その選択を受ける(選択肢702で、タッチパネルにより候補の一つの選択を受ける)。端末130はこれらの選択肢の情報と、その選択肢毎の接続先の特定情報(URL、IPアドレス等)をあらかじめ記憶装置203に保持しているものとする。端末130は、選択肢702で一つの選択を受け、OKボタン702の押下を受けた場合、確認サーバ120に接続する。この接続は、選択された選択肢に対応する接続先の特定情報により行い、以降のステップでは端末130は、この特定情報で特定される確認サーバ120へ接続するものとする。
なお、このステップ511でサーバ選択画面701を表示する前に、端末130はセキュア実行環境134を起動し、以降の処理をこのセキュア実行環境で行うものとする。このセキュア実行環境134の起動により、表示やタッチスクリーンでの入力を、マルウェアに改ざん、盗み見されない状態となり、インジケータ308が点灯する。なお、この状態で端末130は安全な状態となるが、この端末130の保有者ではない確認者は、端末130が改造されている可能性も考慮すると、端末130の安全性を信頼できない。
確認サーバ120は端末130から接続要求を受け付けると(ステップ521)、端末130と連携して端末環境の認証を行う(ステップ512とステップ522)。ここで端末環境の認証とは、端末130で実行されているプログラムが安全であることを、確認サーバ120が端末認証機能124によりネットワーク150を介して行う処理であり、処理の詳細は省略する(先行技術文献を参照)。また、確認サーバ120は以降における端末130との通信においては、端末130の安全な実行環境とのみ行う(例えば、端末130の安全な環境との間で暗号鍵の交換を行い、以降の通信はこの鍵で暗号化する)。
次に端末130は識別情報の入力を受ける(ステップ513)。これは、端末130が図8に示す識別情報入力画面801を表示し、識別情報の入力を識別情報項目802に受ける(タッチパネルからの入力)ことによる。ここで識別情報とは、確認サーバ120において確認者を識別する情報である。端末130はOKボタン803の押下を受けると、入力された識別情報を確認サーバ120へ送信する。
確認サーバ120は識別情報を受信する(ステップ523)。次に確認サーバ120は、識別情報の検証を行い、秘密の情報を送信する(ステップ524)。この検証は、図6に示す第三者確認情報テーブル122により行う。第三者確認情報テーブル122は、氏名611、識別情報612、秘密の情報613、秘密の情報の使用回数614、ID615、パスワード616からなるテーブルであり、複数の確認者の識別情報を保持する。氏名611は確認者の氏名である。識別情報612は確認者を識別する文字列であり、1人の確認者に対して1つまたは複数の識別情報612を持つ。秘密の情報613は確認者のみが知りうる情報であり、識別情報612毎に持つ。この秘密の情報613は、例えば「最初に買ったペットの名前:ポチ」のような文章であり、確認サーバ120が、事前に確認者からの届出を受け、第三者確認情報122に記録しておくものとする。または、確認サーバ120が確認者にサービスを提供する組織が管理しているものである場合には、確認サーバ120はそのサービス提供の中で、得た情報であってもよい。例えば確認サーバを金融機関が管理している場合には確認者の家族の情報(配偶者の生年月日)や最後に預金を引き出した日時でもよい。また、確認サーバをオンライン通販サービスを提供している企業が管理している場合には、確認者による購買の履歴(最後に購入した日時や、購入した品名)でもよい。
秘密の情報使用回数614は、秘密の情報613毎にステップ523を行った回数である。ID615とパスワード616は確認サーバ120にログインするために用いるものであり、秘密の情報613と同様にあらかじめ第三者確認情報テーブル122に記録しておく。これらのID615とパスワード616の利用については後述する。確認サーバ120は、端末130から受信した識別情報を用いて、第三者識別情報テーブルから識別情報612を検索し、該当する氏名611、秘密の情報613、秘密の情報使用回数614を抽出する。このとき、秘密の情報使用回数614が、あらかじめ記憶装置203に記憶した一定の数値(例えば5)を超えている場合には、確認サーバ120は処理を中断する。これは、確認者の識別情報が漏洩する可能性があるため、一つの識別情報の利用回数を制限するためである。識別情報612に対応する秘密の情報使用回数614がこの数値を超えている場合でも、確認者は別の識別情報を利用することで、処理を継続できる(当該識別情報の秘密の情報使用回数614が一定の数値以下の場合)。確認サーバ120は、端末130から受信した識別情報が、第三者確認情報テーブル122の識別情報612に無かった場合にも処理を中断する。確認サーバ120は、端末130から受信した識別情報が、第三者確認情報テーブル122の識別情報612に存在し、かつ、当該秘密の情報の使用回数614が一定の回数以下であった場合には、秘密の情報使用回数614の数値を1を加えた値に書き換える。
端末130は確認サーバ120から秘密の情報を受信すると(ステップ514)、これを図9に示す秘密の情報表示画面901に表示する(ステップ515)。秘密の情報表示画面901において、端末130は、確認サーバから受信した秘密の情報902を表示し、OKボタン903の押下を受ける。ここで確認者は秘密の情報902が、自身が確認サーバ120に登録したものである場合にのみ、OKボタン903を押下するように教育を受けているものとする。
なお、この秘密の情報表示画面901が表示されたとき、確認者は次のことを把握することが可能である。まず、確認者しか知りえず確認サーバ120に登録した秘密の情報が表示されたことから、端末130が確認者が事前に秘密の情報を登録した確認サーバ120に接続したことが分かる。また確認サーバ120は、端末130の安全性を確認(ステップ522と512)した場合にのみ、秘密の情報を送信するものであることを確認者が把握しておくことで、確認者が操作している他人の端末の環境が、確認サーバ120により安全性が確認されたことが分かる。これらにより確認者は、端末130が、確認者があらかじめ登録をしている確認サーバから安全性を確認されたことを把握することができ、以降の操作を安心して行うことができる。
OKボタン903の押下がされた場合、次に端末130は、図10に示す確認者のログイン入力画面1001において、IDの入力項目1002とパスワードの入力項目1003を表示し、入力装置204のタッチパネルによりそれぞれの入力を受ける。それぞれの入力がされ、OKボタン1004が押下された場合、端末120はIDとパスワードを確認サーバ120へ送信する(ステップ516)。
端末130からIDとパスワードを受け取った確認サーバ120は、第三者確認情報テーブル122により、ステップ523で受信した識別情報と、受け取ったIDとパスワードの組合せを確認する(ステップ525)。この確認は第三者確認情報テーブルにおいて同じ行で対応付けられる識別情報612、ID615、パスワード616であるか否かを確認する。確認の結果、対応付けられた場合には、ログイン成功であるとして、その旨を端末130へ送信する。対応が付けられなかった場合にはログイン失敗であるとして、確認サーバ120は処理を中断する。
ログインが成功した場合、端末130は端末の保有者の個人情報の確認入力を図11に示す確認入力画面1101で受ける(ステップ517)。確認入力画面1101は、端末130が新規ユーザ登録機能131のステップ412で入力を受けたユーザの個人情報を表示し(図11の氏名および住所1102)、OKボタン1103またはNOボタン1104のいずれかの押下を受けるものである。ここでは、確認者が端末130の確認入力画面1101に表示された氏名および住所1102が、当該端末の保有者のものと一致するか否かを確認し、その結果の入力を受ける。端末130はこの結果を確認サーバ120へ送信し、確認サーバはこれを受信する(ステップ526)。確認サーバ130は確認の結果が氏名および住所1102が端末の保有者のものと一致する場合には、氏名および住所に確認済情報を付与して、端末130へ送信する。ここで確認済情報とは、例えば確認サーバ130による電子署名である。端末130は確認済情報を受信し、これを保存し、第三者確認機能を終了する(ステップ518)。
以上の処理により、端末130の保有者ではない確認者が、端末130の安全性を確認した上で確認サーバに安全にログインし、端末の保有者の氏名および住所を確認し、それを端末の保有者の銀行(ユーザ登録サーバを管理している組織)に伝える本人確認業務を行ったこととなる。
なお、本処理では、確認者と端末130の保有者が共謀した場合には、端末130の保有者の氏名および住所を偽った状態で、ユーザ登録サーバ110に登録することが可能となる。これに対応するために、ステップ527における確認済情報の付与では、確認サーバ120の電子署名の他に、確認者を特定する情報(例えば確認サーバ120を持つ組織の名称と、その確認者のID615を組み合わせた情報や、確認者の氏名)、確認者の属性情報(例えば所属する組織名、肩書き、当該確認サーバを運用する組織と確認者の過去の取引の種類(例えば「預金口座を持つ」))を加えてもよい。これらの確認者を特定する情報と確認者の属性情報は、確認サーバ120が記憶装置203にあらかじめ登録を受けているものとする。端末130がステップ518でこれらを受信し、ユーザ登録サーバ110へステップ417で送信し、ユーザ登録サーバはこれをステップ422で受信し保存しておく。
以降、もし端末130の保有者の氏名および住所が真実と異なることが判明した場合には、その端末130の保有者を確認した確認者が確認した他の端末130の保有者について、銀行等のシステムがサービスの対象から除外する等の処理を行う。このとき、確認者を特定する情報を、同じ確認者が確認した他の端末130の保有者を特定するために利用する。また、図4の処理フローでは端末130の保有者が口座を開設することを例としたが、その他の取引でもよく、また確認者に応じて可能な取引を制約してもよい。これは、ユーザ登録サーバ110はステップ422で受信した確認者の属性情報を参照し、端末130の保有者が行える取引を制約することによる。例えば確認者の属性が「預金口座を持つ」であれば、モバイル端末の保有者に口座を開設することは認めても、マネーロンダリングの危険性の高まる他の口座への送金を認めない。また、確認者の属性が「自治体職員」である場合のように信頼性が高い場合には、他の口座への送金も認める、というような制約である。これらの制約は、ユーザ登録サーバ110が記憶装置203にあらかじめ、確認者の属性に対して、モバイル端末130の保有者が可能な取引の一覧を保持しておくことにより実現する。
次に、図5の第三者確認機能の一部の別実現方式について、図12を用いて示す。図5の方式は、確認者のみが知っている(と推測されるないし可能性が高い)文字列である秘密の情報を用いるものである。この方法により、確認者は端末が確認サーバ120により安全と確認されているか否かを判断することができるが、ステップ513で入力する識別情報が窃取された場合には、秘密の情報の全てが窃取されるという課題がある。これに対応するために、確認者はステップ513で識別情報を入力したがその後の処理に失敗した場合(画面が遷移しないなど、様々な要因での失敗を含む)、その識別情報がもはや安全ではないと判断する必要がある。また、識別情報が窃取されたとしても、第三者確認情報122で識別情報612を確認者ごとに複数保持し、また秘密の情報使用回数614により、秘密の情報の利用回数を制限しておくことで、秘密の情報が窃取される危険性をある程度緩和することができる。しかし、この方法では確認者が秘密の情報が窃取されており、改ざんされた端末130により偽物の、秘密の情報表示画面901が表示されている可能性を排除できない。
そこで、画像の精細化手続きを用いて、この危険性を排除する仕組みについて示す。この仕組みは、秘密の情報がどの程度利用されたのか、確認者が把握できる仕組みである。図12は、図5の第三者確認機能のステップ514、ステップ515、第三者確認受付機能のステップ524の別の実現方式であり、端末130のステップ513の完了後からステップ516の前まで、確認サーバ120のステップ523の完了後からステップ525の前までを置き換える処理フローを示す。また図13は、第三者確認情報122に代えて利用する第三者画像確認情報123の構成を示す図である。まず、図13について説明する。図13の第三者画像確認情報123は、氏名1311、識別情報1312、精細画像データ1313、非精細画像データ1314、画像使用回数1315からなるテーブルである。氏名1311および識別情報1312は図6の第三者識別情報122の氏名611および識別情報612と同様である。精細画像データ1313は、識別情報1312毎に画像データ(ビットマップ形式の画像データ)を蓄積する項目である。この画像データは、例えば確認者が保有するモバイル端末等で撮影され、事前に確認サーバ120に送信されて第三者画像確認情報123に記録されているものとする。非精細画像データ1314は、初期段階では精細画像データ1313を非精細化した画像データを記録する。具体的には、確認サーバ120に確認者のモバイル端末等から画像データが送信され、精細画像データ1313に記録したときに確認サーバ120が画像の全体をぼかして非精細画像データ1314 に記録する。なお、ぼかすとは例えば画像データの各画素の色を、その画素を中心とした近傍の画素の色の平均値の色とすることである。なお非精細化は、元の画像に戻すことが困難であり、かつ、元画像を知っている人が非精細化された画像を見たときに、元画像を想起することができるようなものであれば、具体的な非精細化方法は問わない。図14および図15に精細画像データ1313と非精細画像データ1314の例を示す。図14は複数の人が写り込んだ精細な画像データである。確認者が撮影した知人の集合写真等である。図15はこれを非精細化した画像の例を示す。図14の画像の個別の人の顔の判別が困難な程度に非精細化されたものである。画像使用回数1315は、精細画像データ1313毎に、ステップ1224を行った回数である。
図12を用いて、画像の精細化を用いる方法について述べる。まず、確認サーバはステップ523の完了後、ステップ523で受信した識別情報により、第三者画像確認情報123から、対応する非精細画像データ1314を抽出して端末130へ送信する(ステップ1221)。なお、ある確認者が登録した画像による最初のステップ1221では、画像の全体が非精細化された(ぼかされた)画像が端末130へ送信される。またこのとき、抽出した非精細画像データ1314の画像使用回数1315が、あらかじめ記憶装置203に記憶した一定の数値(例えば15)を超えている場合には、確認サーバ120は処理を中断する。これは確認者の識別情報が漏洩する可能性があるためである。
端末130は非精細画像を受信し、出力装置205に図16に示す精細化箇所指定画面1601の画像1602として表示する。精細化箇所指定画面は、確認サーバ120から受信した非精細画像を表示し、確認者に対して精細化箇所の指示を促す画面である。端末130は、入力装置204の例えばタッチパネルにより精細化箇所の指示を受ける(ステップ1212)。これは、例えば非精細画像の一点の指定を受けて、その近傍(例えば半径50ピクセル)を精細化箇所とするか、タッチパネルを指でなぞった経路の指定を受けて、その経路で囲まれる範囲を精細化箇所とする。精細化箇所の情報は、非精細画像における位置(一点の指定の場合はそのピクセルの画像中の縦・横軸での位置、経路の場合は経路上の各ピクセルの位置)として端末130は保持する。
次に端末130は精細化箇所の情報を確認サーバに送信し、確認サーバ120はこれを受信する(ステップ1213、ステップ1222)。確認サーバ120は精細化箇所の情報を受信すると、指定領域の精細化を行う(ステップ1223)。指定領域の精細化とは、図13の非精細画像データ1314(ステップ1221で抽出したもの)について、精細化箇所を対応する精細画像データのピクセルと置き換える処理である。確認サーバ120はこの一部を精細化した画像データを端末130へ送信する(ステップ1224)。またこのとき、確認サーバ120は、第三者画像確認情報123の画像使用回数1315を1を足した値に更新する。端末130は一部を精細化した画像データを受信し(ステップ1214)、図17に示す指定箇所精細化画面1701に画像1702として表示する(ステップ1215)。確認者はこの画面を見て、指定した箇所が正しく精細化されているか否かを確認し、OKボタン1703を押下する。端末130はOKボタン1703が押下された場合には、ステップ516へ進む。
この画像の精細化により、確認者は自身があらかじめ登録した画像データを、その時点で端末130が接続している先に接続しているか否かを確認することができる。これは、非精細化した画像のみから精細な画像を復元することが困難なためであることと、確認者自身が登録した画像であるため、精細化された画像を見てそれが正しく精細化されていることを確認できることによる。また、この画像の精細化は、精細化する箇所の指定が多彩に行える。例えば一点の指定をする場合でも、画像内の多様な箇所を選ぶことができる。また、経路を指定する場合には、さらに多様な精細化の対象を指定することができる。単純な秘密の文章では一度、窃取されると安全性が保てないが、画像を用いると複数回利用することができる。このため、不正な意図を持った者が識別情報1312を窃取して端末130からステップ1214までを画像使用回数1315が、あらかじめ定めた回数に達する直前まで繰り返したとしても、非精細画像データ1314の全体は精細化されない。この状態で確認者を騙して改造した端末130を利用させたとしても、確認者が精細化の対象として指定した箇所は、まだ精細化していない箇所である可能性を高くすることができる。そのため、確認サーバ120が端末130の安全性を確認していない状態では、改造した端末130では新たに精細化すべき箇所の精細な画像を取得できない(確認サーバ120はステップ522以降に進まない)。
110 ユーザ登録サーバ
111 ユーザ登録受付機能
113 ユーザ情報
120 確認サーバ
121 第三者確認受付機能
122 第三者確認情報
123 第三者画像確認情報
124 端末認証機能
130 端末
131 新規ユーザ登録機能
132 第三者確認機能
133 新規ユーザ情報
134 セキュア実行環境
111 ユーザ登録受付機能
113 ユーザ情報
120 確認サーバ
121 第三者確認受付機能
122 第三者確認情報
123 第三者画像確認情報
124 端末認証機能
130 端末
131 新規ユーザ登録機能
132 第三者確認機能
133 新規ユーザ情報
134 セキュア実行環境
Claims (8)
- 所定の業務を実行するためのアプリケーションの実行環境を提供する端末が、当該端末のユーザから当該ユーザの識別情報の入力を受け、
前記端末が、前記識別情報を前記確認サーバへ送信し、
前記確認サーバが、前記端末から前記識別情報を受信し、
前記確認サーバが、前記識別情報のユーザの秘密の情報を記録し、
前記確認サーバが、前記識別情報に対応する前記秘密の情報を特定し、
前記確認サーバが、前記秘密の情報を端末へ送信し、
前記端末が、前記確認サーバから送信された前記ユーザの秘密の情報を表示し、
前記端末が、前記秘密の情報の表示を行い、当該表示に対する前記ユーザからの入力に従って前記確認サーバとの間の認証を行うことを特徴とするユーザ認証方法。 - 請求項1に記載のユーザ認証方法において、
前記端末が、非精細化した画像データで表示して、精細化すべき領域の指定を受け、
前記端末が、前記領域の指定を前記確認サーバへ送信し、
前記確認サーバが、前記秘密の情報として、前記指定された領域の精細化された画像を送信することを特徴とするユーザ認証方法。 - 所定の業務を実行するためのアプリケーションの実行環境を提供する端末であって、
当該端末のユーザから、当該ユーザの識別情報の入力を受ける手段と、
前記識別情報をネットワークで接続された確認サーバへ送信する手段と、
前記確認サーバから前記識別情報の送信に従って特定される前記ユーザの秘密の情報を受信する手段と、
前記秘密の情報の表示を行い、当該表示に対する前記ユーザからの入力に従って前記確認サーバとの間の認証を行う手段とを有することを特徴とする端末。 - 請求項3に記載の端末であって、
非精細化した画像データで表示して、精細化すべき領域の指定を受ける手段と、
前記領域の指定を前記確認サーバへ送信する手段とをさらに有し、
前記秘密の情報を受信する手段は、前記確認サーバから前記指定された領域の精細化された画像を受信することを特徴とする端末。 - 安全なアプリケーションの実行環境を提供する端末と通信する確認サーバであって、
前記端末からユーザの識別情報を受信する手段と、
前記識別情報のユーザの秘密の情報を記録する手段と、
前記識別情報に対応する前記秘密の情報を前記記録する手段から抽出する手段と、
前記秘密の情報を端末へ送信する手段とを有し、
前記端末において、前記秘密の情報の表示を行い、当該表示に対する前記ユーザからの入力に従って前記確認サーバとの間の認証を行うことを特徴とする確認サーバ。 - 請求項5に記載の確認サーバであって、
前記端末から、当該端末で表示された非精細化した画像データに対して、受け付けられた精細化すべき領域の指定を受信し、
前記秘密の情報として、前記指定された領域の精細化された画像を送信することを特徴とする確認サーバ。 - 安全なアプリケーションの実行環境を提供する端末と通信するユーザ登録サーバであって、
前記端末が確認サーバへ接続して受信した前記端末のユーザの本人情報の確認情報を、前記ユーザ登録サーバは前記端末から受信する手段と、
前記確認情報の内容に応じた取引の権限を前記ユーザの権限として登録する手段とを有することを特徴とするユーザ登録サーバ - 請求項7に記載のユーザ登録サーバであって、
前記ユーザの不正があった場合には、前記ユーザの本人情報の確認を行った者を特定する手段と、
前記特定された者によって確認された他のユーザを特定する手段と、
前記他の者に対する権限を制約する手段とを有することを特徴とするユーザ登録サーバ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014153433A JP6349188B2 (ja) | 2014-07-29 | 2014-07-29 | ユーザ認証装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014153433A JP6349188B2 (ja) | 2014-07-29 | 2014-07-29 | ユーザ認証装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016031625A true JP2016031625A (ja) | 2016-03-07 |
| JP6349188B2 JP6349188B2 (ja) | 2018-06-27 |
Family
ID=55441970
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014153433A Expired - Fee Related JP6349188B2 (ja) | 2014-07-29 | 2014-07-29 | ユーザ認証装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6349188B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017145273A1 (ja) * | 2016-02-24 | 2017-08-31 | 株式会社日立製作所 | ユーザ認証装置 |
| JP2019185092A (ja) * | 2018-04-02 | 2019-10-24 | 大日本印刷株式会社 | デバイス、プログラム、インジケータ情報送信方法、及びインジケータ情報表示方法 |
| WO2020027055A1 (ja) * | 2018-07-30 | 2020-02-06 | 日本電信電話株式会社 | 情報処理装置、情報処理システム及び情報処理方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001265734A (ja) * | 2000-01-14 | 2001-09-28 | Fujitsu Ltd | 情報提供装置、情報提供処理用プログラム及びそのプログラムの記録媒体 |
| JP2003132290A (ja) * | 2001-10-25 | 2003-05-09 | Hitachi Ltd | 本人認証方法及びシステム、並びに本人認証プログラム及びこのプログラムを記録した記録媒体。 |
| JP2006072562A (ja) * | 2004-08-31 | 2006-03-16 | Nifty Corp | 認証用プログラム |
| JP2006171880A (ja) * | 2004-12-13 | 2006-06-29 | Oki Electric Ind Co Ltd | 窓口取引システムおよびその本人確認方法並びにその代理人確認方法 |
| JP2007511841A (ja) * | 2003-11-18 | 2007-05-10 | ギーゼッケ ウント デフリエント ゲーエムベーハー | 取引の認可 |
| US20090178120A1 (en) * | 2008-01-08 | 2009-07-09 | First Data Corporation | Electronic verification service systems and methods |
| US20130251212A1 (en) * | 2012-03-23 | 2013-09-26 | Ebay, Inc. | Hardening Security Images |
| JP2014075084A (ja) * | 2012-10-05 | 2014-04-24 | Fuji Xerox Co Ltd | 通信システム、クライアント装置、中継装置及びプログラム |
-
2014
- 2014-07-29 JP JP2014153433A patent/JP6349188B2/ja not_active Expired - Fee Related
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001265734A (ja) * | 2000-01-14 | 2001-09-28 | Fujitsu Ltd | 情報提供装置、情報提供処理用プログラム及びそのプログラムの記録媒体 |
| JP2003132290A (ja) * | 2001-10-25 | 2003-05-09 | Hitachi Ltd | 本人認証方法及びシステム、並びに本人認証プログラム及びこのプログラムを記録した記録媒体。 |
| JP2007511841A (ja) * | 2003-11-18 | 2007-05-10 | ギーゼッケ ウント デフリエント ゲーエムベーハー | 取引の認可 |
| JP2006072562A (ja) * | 2004-08-31 | 2006-03-16 | Nifty Corp | 認証用プログラム |
| JP2006171880A (ja) * | 2004-12-13 | 2006-06-29 | Oki Electric Ind Co Ltd | 窓口取引システムおよびその本人確認方法並びにその代理人確認方法 |
| US20090178120A1 (en) * | 2008-01-08 | 2009-07-09 | First Data Corporation | Electronic verification service systems and methods |
| US20130251212A1 (en) * | 2012-03-23 | 2013-09-26 | Ebay, Inc. | Hardening Security Images |
| JP2014075084A (ja) * | 2012-10-05 | 2014-04-24 | Fuji Xerox Co Ltd | 通信システム、クライアント装置、中継装置及びプログラム |
Non-Patent Citations (1)
| Title |
|---|
| 平手勇宇: "インターネットオークションにおける不正行為者の発見支援", 電子情報通信学会技術研究報告, vol. 第106巻,第150号, JPN6011012937, 7 July 2006 (2006-07-07), JP, pages 37 - 42, ISSN: 0003756298 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017145273A1 (ja) * | 2016-02-24 | 2017-08-31 | 株式会社日立製作所 | ユーザ認証装置 |
| JP2019185092A (ja) * | 2018-04-02 | 2019-10-24 | 大日本印刷株式会社 | デバイス、プログラム、インジケータ情報送信方法、及びインジケータ情報表示方法 |
| JP7021594B2 (ja) | 2018-04-02 | 2022-02-17 | 大日本印刷株式会社 | デバイス、プログラム、インジケータ情報送信方法、及びインジケータ情報表示方法 |
| WO2020027055A1 (ja) * | 2018-07-30 | 2020-02-06 | 日本電信電話株式会社 | 情報処理装置、情報処理システム及び情報処理方法 |
| JP2020021154A (ja) * | 2018-07-30 | 2020-02-06 | 日本電信電話株式会社 | 情報処理装置、情報処理システム及び情報処理方法 |
| JP7056446B2 (ja) | 2018-07-30 | 2022-04-19 | 日本電信電話株式会社 | 情報処理装置、情報処理システム及び情報処理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6349188B2 (ja) | 2018-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106688004B (zh) | 一种交易认证方法、装置、移动终端、pos终端及服务器 | |
| US10235672B2 (en) | Securely receiving from a remote user sensitive information and authorization to perform a transaction using the sensitive information | |
| US8843757B2 (en) | One time PIN generation | |
| EP2605567B1 (en) | Methods and systems for increasing the security of network-based transactions | |
| US20180268415A1 (en) | Biometric information personal identity authenticating system and method using financial card information stored in mobile communication terminal | |
| TWI688245B (zh) | 物聯網設備的登錄方法和裝置 | |
| KR20170040122A (ko) | 인증 장치의 등록을 위한 향상된 보안 | |
| KR20110081103A (ko) | 보안 트랜잭션 시스템 및 방법 | |
| JP6192082B1 (ja) | 生体データ登録システム及び決済システム | |
| KR20130107188A (ko) | 사운드 코드를 이용한 인증 서버 및 인증방법 | |
| KR101814079B1 (ko) | 모바일 단말기를 통한 간편 인증 방법, 이를 위한 인증 어플리케이션, 컴퓨터 프로그램 및 인증 서비스 장치 | |
| JP6484254B2 (ja) | セキュアな個人認証 | |
| US10580000B2 (en) | Obtaining user input from a remote user to authorize a transaction | |
| JP2018502410A (ja) | 共通識別データ置換システムおよび方法 | |
| EP3118760B1 (en) | Authentication information management system, authentication information management device, program, recording medium, and authentication information management method | |
| US8874912B2 (en) | Systems and methods for securely transferring personal identifiers | |
| JP6349188B2 (ja) | ユーザ認証装置 | |
| JP2020160652A (ja) | 仮想通貨の送金システム | |
| WO2017145273A1 (ja) | ユーザ認証装置 | |
| KR101360843B1 (ko) | 차세대 금융 거래 시스템 | |
| JP5919497B2 (ja) | ユーザ認証システム | |
| EP2939194B1 (en) | Securely receiving from a remote user sensitive information and authorization to perform a transaction using the sensitive information | |
| TWI651672B (zh) | 數位資產的交易方法 | |
| US20210168129A1 (en) | System and method for persistent authentication of a user for issuing virtual tokens | |
| TWI648688B (zh) | 交叉驗證轉帳方法及系統 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161128 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20161128 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170831 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170919 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171113 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180313 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180418 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180508 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180604 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6349188 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |