JP2017045192A - 認証システム、認証デバイス、情報端末、及びプログラム - Google Patents
認証システム、認証デバイス、情報端末、及びプログラム Download PDFInfo
- Publication number
- JP2017045192A JP2017045192A JP2015166066A JP2015166066A JP2017045192A JP 2017045192 A JP2017045192 A JP 2017045192A JP 2015166066 A JP2015166066 A JP 2015166066A JP 2015166066 A JP2015166066 A JP 2015166066A JP 2017045192 A JP2017045192 A JP 2017045192A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- connection destination
- information terminal
- authentication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】認証デバイスを用いた認証処理の利便性を高め、またセキュリティ上の安全性を向上することが可能な認証システム、認証デバイス、情報端末、及びプログラムを提供する。【解決手段】認証システム1は、認証デバイス3と、認証デバイス3から受け取った情報を基に認証処理を行う情報端末2とを備えて構成される。情報端末2では、WEBサービス等の認証が必要な接続先毎の識別子を生成して接続先と紐付けて接続先識別情報として記憶する。また、認証デバイス3に上述の識別子と認証情報とを送り、認証情報テーブルとして記憶する。情報端末2が接続先識別情報に格納されている接続先へ接続すると、その接続先の識別子に紐付けられた認証情報を認証デバイス3から取得して、接続先へのログイン時の認証処理に使用する。【選択図】図1
Description
本発明は、認証システム、認証デバイス、情報端末、及びプログラムに関し、詳細には、WEBサービスやオペレーティングシステム等へのログイン、またはセキュリティゲートの開錠時等における本人認証に関する。
従来より、WEBサービスやオペレーティングシステム等へのログインやセキュリティゲート等で必要となる本人認証では、一般にIDやパスワード等を用いた文字列(認証情報)による認証が行われている。また近年では、本人認証を補助または代替する技術として、ICカードやUSBデバイス、メモリカード等を認証デバイスとして使用し、ユーザ認証やシステム検証を行ったうえで装置を起動させる仕組みが提案されている。ここで、認証デバイスとはデータを秘匿に記憶できる可搬性のデバイスであり、社員証等で普及しているICカード、SIM(Subscriber Identity Module)、USIM(Universal Subscriber Identity Module)、ミニSIM、USBメモリ、演算機能を有するメモリカード等が用いられる。例えば、特許文献1では、USB互換記憶装置を暗号化キーの格納のための認証デバイスとして使用する例が提示されている。
このような認証デバイスでは、コンピュータ等の情報端末に接続(接触または数センチメートル以内の非接触通信)している間のみ、情報端末のソフトウエアを使用可能としたり、オペレーティングシステム等への自動ログインを可能とするものが提案されている。
また、WEBサービスへのログイン時にユーザが入力するIDやパスワードをブラウザに記憶させ、次回のログインからはIDやパスワードを入力しなくともワンクリックでログイン可能とするオートコンプリートと呼ばれる機能が利用されている。
しかしながら、上述の従来の認証デバイスでは、WEBサービス等の本人認証の必要な接続先が認証デバイス毎に特定されているため、複数の認証デバイスを管理・所持する必要があり、不便であった。また、上述のオートコンプリート機能では、ブラウザに保存されたIDやパスワード等の認証情報が、情報端末のユーザが本人であるか否かにかかわらず、不正に認証に利用されたり、閲覧されてしまう虞があった。
本発明は、このような課題に鑑みてなされたもので、認証デバイスを用いた認証処理の利便性を高め、またセキュリティ上の安全性を向上することが可能な認証システム、認証デバイス、情報端末、及びプログラムを提供することを目的とする。
前述した課題を解決するため第1の発明は、認証デバイスと、前記認証デバイスから受け取った情報を基に認証処理を行う情報端末と、を含む認証システムであって、前記情報端末は、認証が必要な接続先に接続する接続手段と、接続先を識別するための接続先識別情報を前記認証デバイスに送信する接続先識別情報送信手段と、前記認証デバイスから前記接続先識別情報に紐付けられた認証情報を受信する認証情報受信手段と、受信した認証情報を用いて前記接続先との認証処理を行う認証手段と、を備え、前記認証デバイスは、前記接続先識別情報と前記認証情報とを紐付けて保持する記憶手段と、前記情報端末から送信された接続先識別情報を受信する接続先識別情報受信手段と、受信した接続先識別情報に紐付く認証情報を前記記憶手段を検索して特定する認証情報特定手段と、特定した認証情報を前記情報端末に送信する認証情報送信手段と、を備えることを特徴とする認証システムである。
第1の発明によれば、情報端末は、認証が必要な接続先に接続する際に、接続先識別情報を認証デバイスに送信して認証デバイス側で保持されている接続先識別情報に紐付けられた認証情報を認証デバイスから受信し、受信した認証情報を用いて接続先との認証処理を行うことが可能となる。
これにより、1つの認証デバイスで複数の接続先の認証情報を使い分けることが可能となり利便性が向上する。また接続先の認証情報が認証処理を行う情報端末ではなく、認証デバイスに記憶されるため情報が分散され、情報端末と認証デバイスの双方の情報が盗まれない限り認証情報が使用できないものとなる。よってセキュリティ上の安全性が向上する。
これにより、1つの認証デバイスで複数の接続先の認証情報を使い分けることが可能となり利便性が向上する。また接続先の認証情報が認証処理を行う情報端末ではなく、認証デバイスに記憶されるため情報が分散され、情報端末と認証デバイスの双方の情報が盗まれない限り認証情報が使用できないものとなる。よってセキュリティ上の安全性が向上する。
第1の発明において、前記接続先識別情報は、ネットワークを介して前記情報端末と通信接続された記憶領域に記憶されることが望ましい。これにより、更に認証処理で用いる情報が複数の記憶領域に分散されるため、安全性が向上する。また前記接続先識別情報をネットワーク上の記憶領域に記憶することで、同一のネットワークに接続された他の情報端末からも認証処理を行うことができるようになり、利便性が向上する。
第2の発明は、認証デバイスと、前記認証デバイスから受け取った情報を基に認証処理を行う情報端末と、を含む認証システムであって、前記情報端末は、認証が必要な接続先に接続する接続手段と、暗号化された認証情報である暗号化認証情報を保持する記憶手段と、前記暗号化認証情報を前記認証デバイスに送信する暗号化認証情報送信手段と、前記認証デバイスによって復号された認証情報を受信する認証情報受信手段と、受信した認証情報を用いて前記接続先との認証処理を行う認証手段と、を備え、前記認証デバイスは、暗号鍵を保持する記憶手段と、前記情報端末から送信された暗号化認証情報を受信する暗号化認証情報受信手段と、前記記憶手段から暗号鍵を取得し、受信した暗号化認証情報を復号する復号手段と、復号した認証情報を前記情報端末へ送信する認証情報送信手段と、を備えることを特徴とする認証システムである。
第2の発明によれば、情報端末で接続先の暗号化認証情報を保持し、認証デバイスで暗号鍵を保持し、情報端末において認証が必要な接続先に接続する際に、その接続先の暗号化認証情報を認証デバイスに送信すると、認証デバイス側で保持されている暗号鍵を用いて暗号化認証情報が復号され、復号された認証情報を認証デバイスから受信し、受信した認証情報を用いて接続先との認証処理を行うことが可能となる。
これにより、接続先の認証情報は暗号化されて情報端末に保持され、その暗号鍵は認証デバイスに保持されるため、認証に用いる情報が分散され、認証デバイスまたは情報端末のいずれか一方では認証に必要な情報のすべてを得ることができない。よってセキュリティ上の安全性が向上する。また、認証情報は暗号化されて保存されるため容易に復元できず、情報端末と認証デバイスの双方の情報が盗まれない限り認証情報が使用できないものとなる。また、1つの認証デバイスで複数の接続先の暗号化認証情報を復号することも可能であるため、複数の接続先への接続が可能となり、利便性が向上する。
これにより、接続先の認証情報は暗号化されて情報端末に保持され、その暗号鍵は認証デバイスに保持されるため、認証に用いる情報が分散され、認証デバイスまたは情報端末のいずれか一方では認証に必要な情報のすべてを得ることができない。よってセキュリティ上の安全性が向上する。また、認証情報は暗号化されて保存されるため容易に復元できず、情報端末と認証デバイスの双方の情報が盗まれない限り認証情報が使用できないものとなる。また、1つの認証デバイスで複数の接続先の暗号化認証情報を復号することも可能であるため、複数の接続先への接続が可能となり、利便性が向上する。
第2の発明において、前記暗号鍵は接続先毎にそれぞれ生成され、接続先を識別する接続先識別情報と紐付けて前記認証デバイスの記憶手段に保持され、前記情報端末の暗号化認証情報送信手段は、前記接続先識別情報とともに前記暗号化認証情報を送信することが望ましい。これにより、接続先毎に異なる暗号鍵を生成して使用できるため安全性が向上する。
第3の発明は、認証デバイスと、前記認証デバイスから受け取った情報を基に認証処理を行う情報端末と、を含む認証システムであって、前記情報端末は、認証が必要な接続先に接続する接続手段と、暗号化された認証情報である暗号化認証情報を保持する記憶手段と、前記暗号化認証情報を復号するための暗号鍵の送信を要求する暗号鍵要求手段と、前記認証デバイスから前記暗号鍵を受信する暗号鍵受信手段と、受信した暗号鍵を用いて前記暗号化認証情報を復号する復号手段と、復号した認証情報を用いて前記接続先との認証処理を行う認証手段と、を備え、前記認証デバイスは、暗号鍵を保持する記憶手段と、前記情報端末からの要求に応答して前記暗号鍵を前記情報端末に送信する暗号鍵送信手段と、を備えることを特徴とする認証システムである。
第3の発明によれば、情報端末で接続先の暗号化認証情報を保持し、認証デバイスで暗号鍵を保持し、情報端末が認証が必要な接続先に接続する際に、その接続先の暗号鍵の送信要求を認証デバイスに送信すると、認証デバイス側で保持されている暗号鍵を受信して情報端末側で暗号化認証情報を復号し、復号した認証情報を用いて接続先との認証処理を行うことが可能となる。
これにより、接続先の認証情報は暗号化されて情報端末に保持され、その暗号鍵は認証デバイスに保持されるため、認証に用いる情報が分散されて保存される。そのため認証デバイスまたは情報端末のいずれか一方では認証に必要な情報のすべてを得ることができない。情報端末と認証デバイスの双方の情報が盗まれない限り認証情報が使用できないものとなる。よってセキュリティ上の安全性が向上する。また1つの認証デバイスが保持する暗号鍵で複数の接続先の暗号化認証情報を復号することも可能であるため、利便性が向上する。また、情報端末と認証デバイスとの間で認証情報が送受信されないため、通信路での情報の傍受、漏洩を防止できる。
これにより、接続先の認証情報は暗号化されて情報端末に保持され、その暗号鍵は認証デバイスに保持されるため、認証に用いる情報が分散されて保存される。そのため認証デバイスまたは情報端末のいずれか一方では認証に必要な情報のすべてを得ることができない。情報端末と認証デバイスの双方の情報が盗まれない限り認証情報が使用できないものとなる。よってセキュリティ上の安全性が向上する。また1つの認証デバイスが保持する暗号鍵で複数の接続先の暗号化認証情報を復号することも可能であるため、利便性が向上する。また、情報端末と認証デバイスとの間で認証情報が送受信されないため、通信路での情報の傍受、漏洩を防止できる。
第3の発明において、前記暗号鍵は接続先毎にそれぞれ生成され、接続先を識別する接続先識別情報と紐付けて前記認証デバイスの記憶手段に保持され、前記情報端末の暗号鍵要求手段は、前記接続先識別情報を送信し、前記認証デバイスの暗号鍵送信手段は、受信した接続先識別情報に紐付けられた暗号鍵を前記記憶手段を検索して特定し、前記情報端末に送信することが望ましい。これにより、接続先毎に異なる暗号鍵を生成して使用できるため安全性が向上する。
また、第2、第3の発明において前記暗号化認証情報を保持する記憶手段は、ネットワークを介して前記情報端末と通信接続された記憶領域に設けられることが望ましい。これにより、認証処理で用いる情報が更に複数の記憶領域に分散されて保持されるため、安全性が向上する。また前記暗号化認証情報をネットワーク上の記憶領域に記憶することで、同一のネットワークに接続された他の情報端末からも認証処理を行うことができるようになり、利便性が向上する。
また第1〜第3の発明において、前記認証デバイスと前記情報端末との信頼性を判断するための検証処理を行う検証手段をさらに備え、前記検証手段によって信頼性ありと判定された場合に、前記認証デバイス及び前記情報端末は、認証処理に関する情報の送受信を行うことが望ましい。これにより、認証デバイスと情報端末との信頼関係の検証の成功をもって本人認証を成功とすることができる。
また第1〜第3の発明において、前記認証デバイスは同時に複数の前記情報端末と接続可能となることが望ましい。ここで同時に複数の情報端末と接続可能であるとは、ユーザが意識的に通信対象を切り替える必要なく、認証デバイスが複数の情報端末と情報の送受信が可能な接続形態を指し、各々の接続に一時的な切断が伴う形態を含む。1つの認証デバイスで同時に複数の情報端末と情報の送受信を行うことで、その都度の認証デバイスの抜き差し等が不要となり、利便性が更に向上する。
また第1〜第3の発明において、前記認証デバイスと前記情報端末とは無線通信により情報の送受信を行うことが望ましい。無線通信によって1つの認証デバイスで同時に複数台の情報端末に容易に接続できるため、利便性が向上する。また無線信号の電波強度の大小(認証デバイスと情報端末との距離)に応じた処理を行ってもよい。例えば、認証デバイスを所持したユーザが情報端末から離れた際に認証以前の状態に戻す(情報端末をロックする、WEBサービスからログアウトする等)ことで、離席時等の不正利用を抑制できる。
また第1〜第3の発明において、前記認証デバイスはユーザが装用可能な形態であることが望ましい。ウェアラブルな形態とすることで紛失や盗難による不正利用を抑制できる。
また第1〜第3の発明において、前記認証デバイスはユーザが装用可能な形態であることが望ましい。ウェアラブルな形態とすることで紛失や盗難による不正利用を抑制できる。
また第1〜第3の発明において、前記認証デバイスは、ユーザの生体情報を取得する生体情報取得手段と、取得した生体情報に基づいて前記ユーザの認証を行う生体認証手段と、を備えることが望ましい。生体認証によって認証デバイスのユーザを認証できるため本人以外のユーザによる使用を防止でき、認証システムの安全性を更に向上できる。
第4の発明は、認証が必要な接続先に接続する情報端末との間で情報を送受信する認証デバイスであって、前記接続先を識別するための接続先識別情報と認証情報とを紐付けて保持する記憶手段と、前記情報端末から送信された接続先識別情報を受信する接続先識別情報受信手段と、受信した接続先識別情報に紐付く認証情報を前記記憶手段を検索して特定する認証情報特定手段と、特定した認証情報を前記情報端末に送信する認証情報送信手段と、を備えることを特徴とする認証デバイスである。
第4の発明によれば、第1の発明の認証システムにおける認証デバイスを提供できる。
第4の発明によれば、第1の発明の認証システムにおける認証デバイスを提供できる。
第5の発明は、認証が必要な接続先に接続する情報端末との間で情報を送受信する認証デバイスであって、暗号鍵を保持する記憶手段と、前記情報端末から送信された暗号化認証情報を受信する暗号化認証情報受信手段と、前記記憶手段から暗号鍵を取得し、受信した暗号化認証情報を復号する復号手段と、復号した認証情報を前記情報端末へ送信する認証情報送信手段と、を備えることを特徴とする認証デバイスである。
第5の発明によれば、第2の発明の認証システムにおける認証デバイスを提供できる。
第5の発明によれば、第2の発明の認証システムにおける認証デバイスを提供できる。
第6の発明は、認証が必要な接続先に接続する情報端末との間で情報を送受信する認証デバイスであって、暗号鍵を保持する記憶手段と、前記情報端末からの要求に応答して前記暗号鍵を前記情報端末に送信する暗号鍵送信手段と、を備えることを特徴とする認証デバイスである。
第6発明によれば、第3の発明の認証システムにおける認証デバイスを提供できる。
第6発明によれば、第3の発明の認証システムにおける認証デバイスを提供できる。
第7の発明は、認証デバイスから受け取った情報を基に認証処理を行う情報端末であって、認証が必要な接続先に接続する接続手段と、接続先を識別するための接続先識別情報を生成し前記認証デバイスに送信する接続先識別情報送信手段と、前記認証デバイスから前記接続先識別情報に紐付けられた認証情報を受信する認証情報受信手段と、受信した認証情報を用いて前記接続先との認証処理を行う認証手段と、を備えることを特徴とする情報端末である。
第7の発明によれば、第1の発明の認証システムにおける情報端末を提供できる。
第7の発明によれば、第1の発明の認証システムにおける情報端末を提供できる。
第8の発明は、認証デバイスから受け取った情報を基に認証処理を行う情報端末であって、認証が必要な接続先に接続する接続手段と、暗号化された認証情報である暗号化認証情報を保持する記憶手段と、前記暗号化認証情報を前記認証デバイスに送信する暗号化認証情報送信手段と、前記認証デバイスによって復号された認証情報を受信する認証情報受信手段と、受信した認証情報を用いて前記接続先との認証処理を行う認証手段と、を備えることを特徴とする情報端末である。
第8の発明によれば、第2の発明の認証システムにおける情報端末を提供できる。
第8の発明によれば、第2の発明の認証システムにおける情報端末を提供できる。
第9の発明は、認証デバイスから受け取った情報を基に認証処理を行う情報端末であって、認証が必要な接続先に接続する接続手段と、暗号化された認証情報である暗号化認証情報を保持する記憶手段と、前記暗号化認証情報を復号するための暗号鍵の送信を要求する暗号鍵要求手段と、前記認証デバイスから前記暗号鍵を受信する暗号鍵受信手段と、受信した暗号鍵を用いて前記暗号化認証情報を復号する復号手段と、復号した認証情報を用いて前記接続先との認証処理を行う認証手段と、を備えることを特徴とする情報端末である。
第9の発明によれば、第3の発明の認証システムにおける情報端末を提供できる。
第9の発明によれば、第3の発明の認証システムにおける情報端末を提供できる。
第10の発明は、コンピュータを、第4〜第6の発明の認証デバイスとして機能させるプログラムである。第10の発明により、コンピュータを第4〜第6の発明の認証デバイスとして機能させることが可能となる。
第11の発明は、コンピュータを、第7〜第9の発明の情報端末として機能させるプログラムである。第11の発明により、コンピュータを第7〜第9の発明の情報端末として機能させることが可能となる。
本発明により、認証デバイスを用いた認証処理の利便性を高め、またセキュリティ上の安全性を向上することが可能な認証システム、認証デバイス、情報端末、及びプログラムを提供できる。
以下、図面に基づいて本発明の好適な実施形態について詳細に説明する。
[第1の実施形態]
図1は、本発明に係る認証システム1のシステム構成を示す図である。
認証システム1は、認証デバイス3と、情報端末2とを備えて構成される。
[第1の実施形態]
図1は、本発明に係る認証システム1のシステム構成を示す図である。
認証システム1は、認証デバイス3と、情報端末2とを備えて構成される。
情報端末2は、認証が必要な接続先に接続し認証処理を行う端末であり、例えば、スマートフォン、コンピュータ、タブレット、その他の各種の情報端末を含む。図1は、情報端末2がネットワーク4を介して複数のWEBサーバ5と通信接続可能であることを示している。情報端末2における認証処理は、例えば図1に示すようにWEBサーバ5へ通信接続時、すなわちWEBサービスへのログイン時に行われる。なお、本発明はこの例に限定されず、例えば情報端末2がハードディスク(記憶装置)へアクセスする際のロック解除時、情報端末2がオペレーティングシステムへアクセスする際のログイン時、ソフトウェアアプリケーションのアクティベート時、情報端末2を用いた電子決済の情報入力時、セキュリティゲートの開閉時等にも適用できる。
情報端末2は通信接続された認証デバイス3から受け取った情報を基に認証処理を行う。
情報端末2は通信接続された認証デバイス3から受け取った情報を基に認証処理を行う。
認証デバイス3はデータを記憶し、情報端末2との通信が可能な可搬性のデバイスである。認証デバイス3は、例えば、社員証等で普及しているICカード、SIM(Subscriber Identity Module)、USIM(Universal Subscriber Identity Module)、ミニSIM、USBメモリ、演算機能を有するメモリカード等が用いられる。
認証デバイス3と情報端末2とは無線通信により情報の送受信を行う。また1つの認証デバイス3で複数の情報端末2との通信を可能とするものであることが好ましい。認証デバイス3と情報端末2との間の通信には、例えば、Bluetooth(登録商標)のように、1対複数の無線通信が可能なものを用いることが好適である。また通信範囲は、数メートル程度の近距離〜中距離の範囲とすることが好ましい。
また図1に示すように、認証デバイス3は、例えばリストバンドや腕時計のように、ユーザが装用可能な形態とすることが望ましい。ユーザが常に身に付けて使用できるものであれば、離席時の置き忘れを防ぎ、紛失や盗難による不正利用を抑制できる。
図2は、情報端末2のハードウエア構成を示す図である。
図2に示すように、情報端末2は、制御部21、記憶部22、メディア入出力部23、周辺機器I/F部24、無線通信部25、入力部26、表示部27、通信I/F28等がバス29を介して接続されて構成される。
図2に示すように、情報端末2は、制御部21、記憶部22、メディア入出力部23、周辺機器I/F部24、無線通信部25、入力部26、表示部27、通信I/F28等がバス29を介して接続されて構成される。
制御部21は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等により構成される。
CPUは、記憶部22、ROM、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス29を介して接続された各部を駆動制御する。制御部21のCPUは、認証が必要な接続先に接続する際に、後述する手順で認証デバイス3と情報を送受信し、認証デバイス3から受け取った情報を基に認証情報の登録処理や認証処理(図5参照)を実行する。これらの処理の詳細については後述する。
CPUは、記憶部22、ROM、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス29を介して接続された各部を駆動制御する。制御部21のCPUは、認証が必要な接続先に接続する際に、後述する手順で認証デバイス3と情報を送受信し、認証デバイス3から受け取った情報を基に認証情報の登録処理や認証処理(図5参照)を実行する。これらの処理の詳細については後述する。
ROMは、コンピュータのブートプログラムやBIOS等のプログラム、データ等を恒久的に保持する。RAMは、ロードしたプログラムやデータを一時的に保持するとともに、制御部21が各種処理を行うために使用するワークエリアを備える。
記憶部22は、例えば、ハードディスクドライブ等の記憶装置である。記憶部22には制御部21が実行するプログラムや、プログラム実行に必要なデータ、オペレーティングシステム等が格納されている。これらのプログラムコードは、制御部21により必要に応じて読み出されてRAMに移され、CPUに読み出されて実行される。
メディア入出力部23(ドライブ装置)は、例えば、フロッピー(登録商標)ディスクドライブ、CDドライブ、DVDドライブ、MOドライブ等のメディア入出力装置であり、データの入出力を行う。
周辺機器I/F(インターフェース)部24は、周辺機器を接続させるためのポートであり、周辺機器I/F部24を介して周辺機器とのデータの送受信を行う。周辺機器I/F部24は、USB等で構成されており、通常複数の周辺機器I/Fを有する。周辺機器との接続形態は有線、無線を問わない。
無線通信部25は、情報端末2と認証デバイス3との通信を媒介するインターフェースであり、認証デバイス3側に備えられる無線通信部33に対応した方式の無線通信を行う。例えば、数メートル程度の通信範囲で複数機器との通信接続が可能なBluetooth(登録商標)等を用いることが好適であるが、これに限定されない。
入力部26は、例えば、キーボード、マウス等のポインティング・デバイス、テンキー等の入力装置であり、入力されたデータを制御部21へ出力する。
表示部27は、例えば液晶パネル、CRTモニタ等のディスプレイ装置と、ディスプレイ装置と連携して表示処理を実行するための論理回路(ビデオアダプタ等)で構成され、制御部21の制御により入力された表示情報をディスプレイ装置上に表示させる。
通信I/F28は、通信制御装置、通信ポート等を有し、ネットワーク4等との通信を制御する。
通信I/F28は、通信制御装置、通信ポート等を有し、ネットワーク4等との通信を制御する。
バス29は、各装置間の制御信号、データ信号等の授受を媒介する経路である。
図3は、認証デバイス3の内部構成を示す図である。
認証デバイス3は、演算部31と、データの書き換えが可能な記憶部32と、1または複数の情報端末2との間で無線通信を行う無線通信部33を備える。
認証デバイス3は、演算部31と、データの書き換えが可能な記憶部32と、1または複数の情報端末2との間で無線通信を行う無線通信部33を備える。
認証デバイス3は、通信範囲内にある1または複数の情報端末2と通信接続し、情報端末2との間で認証に必要な情報を送受信する。
具体的には認証デバイス3は、予め行われる登録処理を行う。登録処理では、認証デバイス3は、情報端末2が接続する複数の接続先を識別する識別子(接続先識別情報)とそれらの認証情報とを紐付けて記憶部32に登録する。情報端末2で認証処理を実行する際には、認証デバイス3は情報端末2から無線通信部33を介して識別子(接続先識別情報)を受信すると、認証デバイス3は受信した識別子(接続先識別情報)に紐付けて記憶されている認証情報を記憶部32から検索する。そして検索により特定した認証情報を無線通信部33を介して情報端末2に送信する。情報端末2では認証デバイス3から取得した認証情報を用いて、接続先との認証処理を行うことが可能となる。
具体的には認証デバイス3は、予め行われる登録処理を行う。登録処理では、認証デバイス3は、情報端末2が接続する複数の接続先を識別する識別子(接続先識別情報)とそれらの認証情報とを紐付けて記憶部32に登録する。情報端末2で認証処理を実行する際には、認証デバイス3は情報端末2から無線通信部33を介して識別子(接続先識別情報)を受信すると、認証デバイス3は受信した識別子(接続先識別情報)に紐付けて記憶されている認証情報を記憶部32から検索する。そして検索により特定した認証情報を無線通信部33を介して情報端末2に送信する。情報端末2では認証デバイス3から取得した認証情報を用いて、接続先との認証処理を行うことが可能となる。
ここで図4を参照して、認証システム1のデータ構成について説明する。図4(a)は認証デバイス3が保持する認証情報テーブル61の例を示し、図4(b)は情報端末2が保持する接続先識別情報62(認証条件)の例を示す。
図4に示すように、接続先のURL等の接続先情報と、各接続先の認証情報とは別に保存され、各接続先を識別する識別子(接続先識別情報)によって接続先情報と認証情報とが紐付けられている。
図4(a)に示すように認証情報テーブル61には、識別子と認証情報とが紐付けて格納されている。識別子は各接続先を識別するための識別情報である。識別子は情報端末2によって接続先毎に生成される。認証情報は各接続先(WEBサービス等)に登録されているID及びパスワード等である。この認証情報テーブル61は、認証デバイス3の記憶部32に記憶される。なお、認証情報テーブル61への認証情報及び識別子の登録は、情報端末2と認証デバイス3とが通信接続された状態で、後述する登録処理(図5参照)の手順で行われる。
図4(b)に示すように接続先識別情報62には、情報端末2が接続する複数の接続先の接続先情報と識別子とが紐付けて格納される。接続先情報は、例えばWEBサービスのURL等である。識別子は情報端末2によって生成された値であり、各接続先情報に一つずつ割り振られている。図4(b)に示す接続先識別情報62は、認証処理を行うかを判断するための認証条件となる。つまり、情報端末2がWEBサービスへアクセスする際に参照され、接続先識別情報62に格納されている接続先へアクセスした場合に、図5に示す認証処理を行うものとする。
このように認証システム1では、認証情報テーブル61と接続先識別情報62とを認証デバイス3と情報端末2とで分けて記憶する。これにより一方の情報だけでは認証できないものとなる。
次に、図5を参照して、第1の実施形態における認証システム1の動作について説明する。
図5は、情報端末2と認証デバイス3との通信時の動作を示すシーケンス図である。
図5は、情報端末2と認証デバイス3との通信時の動作を示すシーケンス図である。
情報端末2の制御部21は、記憶部22から図5に示す処理に関するプログラム及びデータを読み出し、このプログラム及びデータに基づいて処理を実行する。また認証デバイス3の演算部31も、図5に示す処理に関するプログラム及びデータを読み出し、このプログラム及びデータに基づいて処理を実行する。認証デバイス3は情報端末2と無線通信可能な範囲にあるものとする。以下、WEBサービスへのログイン時の認証処理を例として、認証システム1の動作を説明する。図5は、認証デバイス3に情報端末2の接続先の認証情報を登録する登録処理と、認証デバイス3に登録されている認証情報を基に情報端末2が接続先(WEBサービス等)との認証を行う認証処理とを含む。
登録処理(ステップS101〜ステップS108)は、例えば、認証が必要な接続先(WEBサービス等)への初回接続時に行われる。具体的には、情報端末2は所望の接続先(URL等)を指定してWEBサービスにアクセスする。情報端末2はログインのため、接続先のWEBサービスに登録されている認証情報(ID/パスワード)を入力する(ステップS101)。
このとき情報端末2は、認証デバイス3に対して接続要求を行う(ステップS102)。認証デバイス3は、情報端末2から接続要求に対して応答する(ステップS103)。これにより、情報端末2と認証デバイス3との通信接続が確立する。
次に情報端末2は、接続先を識別する識別子を生成し(ステップS104)、ステップS101で入力された認証情報(ID/パスワード)とともに認証デバイス3へ送信する(ステップS105)。認証デバイス3は、情報端末2から送信された識別子と認証情報とを紐付けて認証情報テーブル61として記憶部32に記憶する(ステップS106)。図4(a)に認証情報テーブル61の一例を示す。
また、情報端末2では生成した識別子と接続先(認証が必要なURL等)とを紐付けた情報である接続先識別情報62を情報端末2の記憶部22に記憶する(ステップS107)。接続先識別情報62は、情報端末2がWEBサービス等へアクセスする際に認証処理が必要なサイトであるか否かを判定するための認証条件として参照される。図4(b)に接続先識別情報62の一例を示す。
情報端末2は、登録処理または認証処理を行った後、その都度、認証デバイス3との通信を切断する指示を送ることが望ましい(ステップS108)。これは、認証デバイス3は複数の情報端末2との通信接続を想定するため、別の情報端末2との通信路を確保するためである。ステップS108の切断指示によって、情報端末2と認証デバイス3との接続は切断される。
情報端末2がアクセスする各接続先(WEBサービス等)について、それぞれステップS101〜ステップS108の登録処理が行われる。その結果、複数の接続先について、それぞれ接続先情報(URL等)と識別子とが紐付けられた接続先識別情報62が情報端末2に記憶される。また、各識別子とその識別子で識別される接続先の認証情報とが紐付けられて認証デバイス3の記憶部32に記憶される。つまり、接続先の情報とその認証情報とが、別の記憶領域に分けて記憶されることとなる。
次に情報端末2と接続先との認証処理について説明する。
情報端末2の制御部21はブラウザでページ遷移する都度、接続先識別情報62に登録されているURL(接続先)に到達したか否かを検証する(ステップS109)。
接続先識別情報62に登録されているURL(接続先)に到達した場合、情報端末2は認証デバイス3に対して接続要求を行う(ステップS110)。認証デバイス3は、情報端末2からの接続要求に対して応答する(ステップS111)。これにより、情報端末2と認証デバイス3との通信接続が確立する。
情報端末2の制御部21はブラウザでページ遷移する都度、接続先識別情報62に登録されているURL(接続先)に到達したか否かを検証する(ステップS109)。
接続先識別情報62に登録されているURL(接続先)に到達した場合、情報端末2は認証デバイス3に対して接続要求を行う(ステップS110)。認証デバイス3は、情報端末2からの接続要求に対して応答する(ステップS111)。これにより、情報端末2と認証デバイス3との通信接続が確立する。
情報端末2の制御部21は到達した接続先に紐付けられている識別子を接続先識別情報62から検索し、取得する(ステップS112)。
制御部21は、取得した識別子を認証デバイス3へ送信する(ステップS113)。認証デバイス3は識別子を受信すると、受信した識別子に紐付けられている認証情報を記憶部32の認証情報テーブル61から検索して取得する(ステップS114)。認証デバイス3は識別子に紐付けられた認証情報を情報端末2へ送信する(ステップS115)。
情報端末2では、受信した認証情報を用いて接続先へのログイン(認証処理)を行う(ステップS116)。その後、情報端末2は認証デバイス3に対して通信を切断する指示を送信する。切断指示によって、情報端末2と認証デバイス3との接続は切断される(ステップS117)。
以上説明したように、第1の実施形態の認証システム1では、情報端末2で接続先毎の識別子を生成して接続先と紐付けて接続先識別情報62として記憶する。また、認証デバイス3に上述の識別子と認証情報とを送り、認証情報テーブル61として記憶する。そして、情報端末2が接続先識別情報62に格納されている接続先へ接続すると、その接続先の識別子に紐付けられた認証情報を認証デバイス3から取得して、接続先へのログイン時等の認証処理に使用する。
したがって、認証デバイス3または情報端末2のいずれか一方のみでは接続先の認証情報を得ることができず、所望の接続先(WEBサービス等)への接続ができないものとなる。適正な認証デバイス3が情報端末2と接続されていれば、互いに記憶している情報を利用することで所望の接続先(WEBサービス等)での認証処理を行えるようになる。
なお、第1の実施形態において、情報端末2と認証デバイス3との間で通信が確立したときにセッション鍵を交換し、情報端末2と認証デバイス3との間の通信路を暗号化するようにしてもよい。第1の実施形態では、認証情報が情報端末2と認証デバイス3との間で受け渡されるため、通信路が暗号化されていれば通信中の情報の傍受を防止でき、安全性が向上する。
[第2の実施形態]
次に、図6、図7を参照して、第2の実施形態における認証システム1の動作について説明する。図6は、第2の実施形態における情報端末2と認証デバイス3との通信時の動作を示すシーケンス図である。図7は第2の実施形態の認証システム1におけるデータ構成を示す図である。
次に、図6、図7を参照して、第2の実施形態における認証システム1の動作について説明する。図6は、第2の実施形態における情報端末2と認証デバイス3との通信時の動作を示すシーケンス図である。図7は第2の実施形態の認証システム1におけるデータ構成を示す図である。
以下の説明では、第1の実施形態と同様にWEBサービスサイトへのログイン時の認証処理を例として説明する。なお、第2の実施形態の認証システム1の構成は、第1の実施形態と同様であるため、重複する説明を省略し、同一の各部には同一の符号を付して以下の説明を行う。
図6に示すように、まず情報端末2は認証デバイス3に認証情報を登録する登録処理を行う。登録処理は、第1の実施形態と同様に、例えば認証が必要なWEBサービスへの初回接続時に行われる。登録処理において、情報端末2はWEBサービス等の所望の接続先を指定して通信接続する。情報端末2はログインのため、接続先のWEBサービスに登録されている認証情報(ID/パスワード)を入力する(ステップS201)。このとき、情報端末2は、認証デバイス3に対して接続要求を行う(ステップS202)。認証デバイス3は、情報端末2から接続要求に対して応答する(ステップS203)。これにより、情報端末2と認証デバイス3との通信接続が確立する。
次に情報端末2は、接続先を識別する識別子を生成し(ステップS204)、ステップS201で入力された認証情報(ID/パスワード)とともに認証デバイス3へ送信する(ステップS205)。認証デバイス3は、識別子と認証情報を受信する。
ここで、第2の実施形態の認証デバイス3は暗号鍵を生成する(ステップS206)。そして情報端末2から受信した識別子とステップS206で生成した暗号鍵とを紐付けて認証デバイス3の記憶部32に記憶する(ステップS207)。図7(a)は暗号鍵テーブル63の一例を示す図である。
暗号鍵が生成されると、認証デバイス3は、情報端末2から受信した認証情報をステップS206で生成した暗号鍵で暗号化する(ステップS208)。
認証デバイス3は、ステップS208で暗号化された認証情報を情報端末2に送信する(ステップS209)。情報端末2は、受信した暗号化された認証情報を、認証条件(接続先情報)及び識別子と紐付けて記憶部22に登録する(ステップS210)。図7(b)はステップS210の処理により生成される暗号化認証情報テーブル64を示している。
その後、情報端末2は認証デバイス3との無線通信を切断する指示を送信する。切断指示によって、情報端末2と認証デバイス3との接続は切断される(ステップS211)。
情報端末2がアクセスする各接続先について、それぞれステップS201〜ステップS211の登録処理が行われる。その結果、図7(b)に示すように複数の接続先について、接続先情報(URL)と識別子と暗号化認証情報とが紐付けられた暗号化認証情報テーブル64が生成され、情報端末2に記憶される。一方、認証デバイス3には、図7(a)に示すように各識別子と暗号鍵がそれぞれ紐付けられて格納された暗号鍵テーブル63が記憶された状態となる。つまり、接続先の暗号化認証情報とその暗号化認証情報を復号する暗号鍵とが、別の記憶領域に分けて記憶されることとなる。
暗号化認証情報テーブル64は、情報端末2がWEBサービス等へアクセスする際に認証処理が必要なサイトであるか否かを判定するための認証条件として参照される。また、暗号化認証情報テーブル64に格納された暗号化認証情報は、WEBサービスへの次回以降の接続時における認証処理で使用される。
次に情報端末2と接続先との認証処理について説明する。
情報端末2の制御部21はブラウザでページ遷移する都度、暗号化認証情報テーブル64に登録されているURL(接続先)に到達したか否かを検証する(ステップS212)。
情報端末2の制御部21はブラウザでページ遷移する都度、暗号化認証情報テーブル64に登録されているURL(接続先)に到達したか否かを検証する(ステップS212)。
暗号化認証情報テーブル64に登録されているURL(接続先)に到達した場合、情報端末2は、認証デバイス3に対して接続要求を行う(ステップS213)。認証デバイス3は、情報端末2からの接続要求に対して応答する(ステップS214)。これにより、情報端末2と認証デバイス3との通信接続が確立する。
情報端末2の制御部21は到達した接続先に紐付けられている識別子、及び暗号化認証情報を記憶部22に記憶されている暗号化認証情報テーブル64から検索する(ステップS215)。
情報端末2の制御部21は、検索の結果取得した識別子及び暗号化認証情報を認証デバイス3へ送信する(ステップS216)。認証デバイス3は情報端末2から識別子及び暗号化認証情報を受信すると、受信した識別子に紐付けられている暗号鍵を暗号鍵テーブル63を検索して取得する(ステップS217)。そして、取得した暗号鍵で暗号認証情報を復号する(ステップS218)。認証デバイス3は復号された認証情報を情報端末2へ送信する(ステップS219)。
情報端末2では、受信した認証情報を用いて接続先へのログイン(認証処理)を行う(ステップS220)。その後、情報端末2は認証デバイス3に対して通信を切断する指示を送信する。切断指示によって、情報端末2と認証デバイス3との接続は切断される(ステップS221)。
以上説明したように、第2の実施形態では、情報端末2側で生成された接続先毎の識別子と、認証デバイス3で生成された暗号鍵とが認証デバイス3に登録され(暗号鍵テーブル63)、識別子と接続先情報と認証デバイス3で暗号化された暗号化認証情報とが情報端末2に登録される(暗号化認証情報テーブル64)。そして、情報端末2が暗号化認証情報テーブル64に格納されている接続先へ接続すると、情報端末2は、その接続先の識別子と暗号化された認証情報とを認証デバイス3へ送る。認証デバイス3側では受信した識別子に紐付けられている暗号鍵を暗号鍵テーブル63から検索して取得し、その暗号鍵を用いて暗号化認証情報を復号する。そして復号された認証情報を情報端末2に送る。このような手順により、情報端末2は接続先に対応する認証情報を認証デバイス3から受け取って、認証処理を行うことができる。
なお、第2の実施形態においても、第1の実施形態と同様に、情報端末2と認証デバイス3との間でセッション鍵を交換し、情報端末2と認証デバイス3との間の通信路を暗号化するようにしてもよい。これにより通信中の情報の傍受を防止でき、安全性が向上する。
[第3の実施形態]
次に、図8を参照して、第3の実施形態における認証システム1の動作について説明する。図8は、第3の実施形態における情報端末2と認証デバイス3との通信時の動作を示すシーケンス図である。
次に、図8を参照して、第3の実施形態における認証システム1の動作について説明する。図8は、第3の実施形態における情報端末2と認証デバイス3との通信時の動作を示すシーケンス図である。
なお、第3の実施形態の認証システム1の構成は、第1の実施形態と同様であるため、重複する説明を省略し、同一の各部には同一の符号を付して以下の説明を行う。
まず情報端末2は、認証デバイス3に認証情報を登録する登録処理を行う。登録処理は、第1の実施形態と同様に、例えば認証が必要なWEBサービスへの初回接続時に行われる。登録処理において、情報端末2はWEBサービス等の所望の接続先を指定して通信接続する。情報端末2はログインのため、接続先に登録されている認証情報(ID/パスワード)を入力する(ステップS301)。このとき、情報端末2は認証デバイス3に対して接続要求を行う(ステップS302)。認証デバイス3は、情報端末2から接続要求に対して応答する(ステップS303)。これにより、情報端末2と認証デバイス3との通信接続が確立する。
次に情報端末2は、接続先を識別する識別子を生成し(ステップS304)、認証デバイス3へ送信する(ステップS305)。認証デバイス3は、識別子を受信する。
ここで、認証デバイス3は暗号鍵を生成する(ステップS306)。そして情報端末2から受信した識別子とステップS306で生成した暗号鍵とを紐付けて認証デバイス3の記憶部32に記憶する(ステップS307)。第2の実施形態と同様に、図7(a)に示すような暗号鍵テーブル63が生成され、記憶部32に記憶される。認証デバイス3は、ステップS306で生成した暗号鍵を情報端末2へ送信する(ステップS308)。
情報端末2は、認証デバイス3から暗号鍵を受信し、受信した暗号鍵を用いてステップS301で入力された認証情報を暗号化する(ステップS309)。そして暗号化された認証情報(暗号化認証情報)を認証条件(接続先情報)及び識別子と紐付けて記憶部22に登録する(ステップS310)。図7(b)に示すような暗号化認証情報テーブル64が生成され、情報端末2の記憶部22に記憶される。
暗号鍵テーブル63及び暗号化認証情報テーブル64の内容は、第2の実施形態と同様である。第3の実施形態では、第2の実施形態と異なり認証情報を認証デバイス3に渡さず、暗号鍵を認証デバイス3から情報端末2へ渡す。認証情報の暗号化処理は情報端末2側で行う。
その後、情報端末2は認証デバイス3との無線通信を切断する指示を送信する。切断指示によって、情報端末2と認証デバイス3との接続は切断される(ステップS311)。
情報端末2がアクセスする各接続先について、それぞれステップS301〜ステップS311の登録処理が行われる。その結果、図7(b)に示すように複数の接続先について、URL(接続先)と識別子と暗号化された認証情報とが紐付けられた暗号化認証情報テーブル64が生成され、情報端末2に記憶される。一方、認証デバイス3には、図7(a)に示すように各識別子と暗号鍵がそれぞれ紐付けられて格納された暗号鍵テーブル63が記憶された状態となる。第2の実施形態と同様に、接続先の暗号化認証情報とその暗号化認証情報を復号する暗号鍵とが、別の記憶領域に分けて記憶されることとなる。
次に情報端末2と接続先との認証処理について説明する。
情報端末2の制御部21はブラウザでページ遷移する都度、暗号化認証情報テーブル64に登録されているURL(接続先)に到達したか否かを検証する(ステップS312)。
情報端末2の制御部21はブラウザでページ遷移する都度、暗号化認証情報テーブル64に登録されているURL(接続先)に到達したか否かを検証する(ステップS312)。
暗号化認証情報テーブル64に登録されているURL(接続先)に到達した場合、情報端末2は、認証デバイス3に対して接続要求を行う(ステップS313)。認証デバイス3は、情報端末2からの接続要求に対して応答する(ステップS314)。これにより、情報端末2と認証デバイス3との通信接続が確立する。
情報端末2の制御部21は、記憶部22に記憶されている暗号化認証情報テーブル64から到達した接続先に紐付けられている識別子、及び暗号化認証情報を検索し取得する(ステップS315)。
情報端末2の制御部21は、ステップS315で取得した識別子を認証デバイス3へ送信する(ステップS316)。認証デバイス3は情報端末2から識別子を受信すると、受信した識別子に紐付けられている暗号鍵を暗号鍵テーブル63から検索し取得する(ステップS317)。そして、取得した暗号鍵を情報端末2へ送信する(ステップS318)。情報端末2は、受信した暗号鍵を用いて暗号化認証情報を復号する(ステップS319)。情報端末2では、復号した認証情報を用いて接続先へのログイン(認証処理)を行う(ステップS320)。
その後、情報端末2は認証デバイス3に対して無線通信を切断する指示を送信する。切断指示によって、情報端末2と認証デバイス3との通信接続は切断される(ステップS321)。
以上説明したように、第3の実施形態では、情報端末2側で生成された接続先毎の識別子と、認証デバイス3で生成された暗号鍵とを認証デバイス3側に登録し(暗号鍵テーブル63)、認証情報の暗号化処理は情報端末2側で行って、情報端末2側で暗号化認証情報を接続先及び識別子とともに記憶する(暗号化認証情報テーブル64)。そして、情報端末2が暗号化認証情報テーブル64に格納されている接続先へ接続すると、情報端末2は、その接続先の識別子を認証デバイス3へ送る。認証デバイス3側では受信した識別子に紐付けられている暗号鍵を暗号鍵テーブル63から検索して情報端末2に送る。情報端末2では、受信した暗号鍵を用いて暗号化認証情報テーブル64に格納されている暗号化認証情報を復号する。このような手順により、情報端末2は認証デバイス3から受け取った暗号鍵によって、接続先に対応する暗号化認証情報を復号して認証処理を行うことが可能となる。
なお、第3の実施形態においても、第1、第2の実施形態と同様に、情報端末2と認証デバイス3との間でセッション鍵を交換し、情報端末2と認証デバイス3との間の通信路を暗号化するようにしてもよい。これにより安全性が向上する。また、第2、第3の実施形態では、接続先毎に識別子を生成し、接続先(識別子)毎の暗号鍵を生成するものとしたが、暗号鍵をすべての接続先で共通のものを利用するものとしてもよい。この場合は、認証デバイス3は識別子毎の暗号鍵を生成せずに、情報端末2からの要求に応答して暗号鍵(共通鍵)を送信するようにすればよい。
[第4の実施形態]
次に、図9〜図11を参照して第4の実施形態における認証システム1の動作について説明する。
次に、図9〜図11を参照して第4の実施形態における認証システム1の動作について説明する。
図9は、第4の実施形態の認証システム1における処理全体の流れを示すフローチャートである。
図9に示すように、第4の実施形態の認証システム1では、例えば第1〜第3の実施形態で示したような認証デバイス3と情報端末2との間の認証情報等の送受信を開始する前に、まず認証デバイス3と情報端末2とが互いに信頼できるものであるかを検証する検証処理を行う(ステップS401)。検証成功し、認証デバイス3と情報端末2とが互いに信頼できる場合は(ステップS402;Yes)、第1〜第3の実施形態に示すように、認証処理に関する情報(認証情報や暗号鍵等)の送受信を行う(ステップS403)。その後、情報端末2は認証デバイス3から受信した情報を基に認証処理を行う(ステップS404)。検証失敗した場合は(ステップS402;No)、認証デバイス3と情報端末2との間で認証情報の送受信を行わないものとする。
図9に示すように、第4の実施形態の認証システム1では、例えば第1〜第3の実施形態で示したような認証デバイス3と情報端末2との間の認証情報等の送受信を開始する前に、まず認証デバイス3と情報端末2とが互いに信頼できるものであるかを検証する検証処理を行う(ステップS401)。検証成功し、認証デバイス3と情報端末2とが互いに信頼できる場合は(ステップS402;Yes)、第1〜第3の実施形態に示すように、認証処理に関する情報(認証情報や暗号鍵等)の送受信を行う(ステップS403)。その後、情報端末2は認証デバイス3から受信した情報を基に認証処理を行う(ステップS404)。検証失敗した場合は(ステップS402;No)、認証デバイス3と情報端末2との間で認証情報の送受信を行わないものとする。
ステップS401の検証処理の具体的な手順について図10を参照して説明する。図10は第4の実施形態における情報端末2と認証デバイス3との検証処理の動作を示すシーケンス図である。
図10に示す検証処理を開始する前に、情報端末2には、端末番号、端末秘密鍵、デバイス番号のリスト、及びデバイス公開鍵のリストが登録されているものとする。端末番号とは情報端末2の識別情報であり、デバイス番号とは認証デバイス3の識別情報である。また認証デバイス3には、デバイス番号、デバイス秘密鍵、端末番号のリスト、及び端末公開鍵のリストが登録されているものとする。
図10に示す検証処理において、まず認証デバイス3は、仮デバイス番号を生成し(ステップS501)、周囲にある無線通信可能なすべての情報端末2へ送信する(ステップS502)。情報端末2は認証デバイス3から仮デバイス番号を受信すると、仮デバイス番号の検証を行う(ステップS503)。なお、仮デバイス番号は認証デバイス3の起動毎や一定時間経過毎に変更し、トラッキングを防止することが望ましい。
ここで仮デバイス番号の検証処理について図11を参照して説明する。
情報端末2は受信した仮デバイス番号が過去に検証済みのものであるか否かを判定する(ステップS601)。過去に検証済みでなければ(ステップS601;No)、送信元の認証デバイス3に接続要求を送信する(ステップS602)。一方、受信した仮デバイス番号が過去に検証済みのものである場合は(ステップS601;Yes)、仮デバイス番号に紐付くデバイス番号が情報端末2に事前登録されているデバイス番号リスト内に存在するか否かを判定する(ステップS603)。
情報端末2は受信した仮デバイス番号が過去に検証済みのものであるか否かを判定する(ステップS601)。過去に検証済みでなければ(ステップS601;No)、送信元の認証デバイス3に接続要求を送信する(ステップS602)。一方、受信した仮デバイス番号が過去に検証済みのものである場合は(ステップS601;Yes)、仮デバイス番号に紐付くデバイス番号が情報端末2に事前登録されているデバイス番号リスト内に存在するか否かを判定する(ステップS603)。
仮デバイス番号に紐付くデバイス番号がデバイス番号リスト内に存在しない場合は(ステップS603;No)、そのまま仮デバイス番号の検証処理を終了する。一方、仮デバイス番号に紐付くデバイス番号がデバイス番号リスト内に存在する場合は(ステップS603;Yes)、電波強度が閾値以上であるか否かを判定する(ステップS604)。電波強度が閾値以上である場合は(ステップS604;Yes)、そのまま仮デバイス番号の検証処理を終了し、もとの処理へ戻る。電波強度が閾値より小さい場合は(ステップS604;No)、情報端末2のロック、サービスのログアウト等を行う(ステップS605)。なお、ステップS604〜ステップS605の処理は、電波強度に応じた処理を行うものとしてもよい。
図10の説明に戻る。
ステップS503における仮デバイス番号の検証の結果(図11参照)、仮デバイス番号を過去に検証済みでない場合には、情報端末2は認証デバイス3に対して接続を要求する(ステップS504)。認証デバイス3は情報端末2からの要求に対して応答を返す(ステップS505)。
ステップS503における仮デバイス番号の検証の結果(図11参照)、仮デバイス番号を過去に検証済みでない場合には、情報端末2は認証デバイス3に対して接続を要求する(ステップS504)。認証デバイス3は情報端末2からの要求に対して応答を返す(ステップS505)。
認証デバイス3から接続応答を受け取ると、情報端末2はチャレンジ・レスポンスの手順で互いが信用できるものであるかを検証する。
すなわち、情報端末2は乱数列(チャレンジ)を生成し(ステップS506)、情報端末2の端末番号とともに認証デバイス3へ送る(ステップS507)。認証デバイス3は、情報端末2の端末番号とチャレンジを受信すると、認証デバイス3の記憶部32に事前登録されているデバイス秘密鍵でチャレンジに署名し、これをレスポンスとする(ステップS508)。さらに、認証デバイス3のデバイス番号を端末公開鍵で暗号化する(ステップS509)。認証デバイス3は、ステップS508で生成したレスポンス(署名されたチャレンジ)とステップS509で暗号化されたデバイス番号とを情報端末2へ送信する(ステップS510)。
すなわち、情報端末2は乱数列(チャレンジ)を生成し(ステップS506)、情報端末2の端末番号とともに認証デバイス3へ送る(ステップS507)。認証デバイス3は、情報端末2の端末番号とチャレンジを受信すると、認証デバイス3の記憶部32に事前登録されているデバイス秘密鍵でチャレンジに署名し、これをレスポンスとする(ステップS508)。さらに、認証デバイス3のデバイス番号を端末公開鍵で暗号化する(ステップS509)。認証デバイス3は、ステップS508で生成したレスポンス(署名されたチャレンジ)とステップS509で暗号化されたデバイス番号とを情報端末2へ送信する(ステップS510)。
情報端末2は、受信した暗号化されたデバイス番号を端末秘密鍵で復号する(ステップS511)。そして仮デバイス番号と復号したデバイス番号とを紐付ける(ステップS512)。また、復号したデバイス番号に紐づくデバイス公開鍵を検索する(ステップS513)。検索の結果、取得したデバイス公開鍵でレスポンスを検証する(ステップS514)。検証成功した場合はその旨の信号を認証デバイス3へ送る(ステップS515)。
次に、認証デバイス3は乱数列(チャレンジ)を生成し(ステップS516)、情報端末2へ送信する(ステップS517)。情報端末2は記憶部22に事前登録されている端末秘密鍵でチャレンジに署名し(ステップS518)、これをレスポンスとして認証デバイス3へ送信する(ステップS519)。認証デバイス3は、ステップS507で情報端末2から送信された端末番号に紐付く端末公開鍵を検索し(ステップS520)、端末公開鍵でレスポンスを検証する(ステップS521)。検証成功した場合は、その旨の信号を情報端末2へ送る(ステップS522)。情報端末2がセキュリティゲートの場合は、認証デバイス3から検証成功の信号を受け取ると、情報端末2はセキュリティゲートを開錠してもよい。
上述の手順で検証成功した場合は、情報端末2及び認証デバイス3は互いを信頼する。その後、情報端末2は認証デバイス3に対して無線通信を切断する指示を送信する。切断指示によって、情報端末2と認証デバイス3との通信接続は切断される(ステップS523)。検証処理の結果、互いに信頼できるものという結果を得た場合、ステップS523の後、例えば、第1〜第3の実施形態で説明したように、情報端末2と認証デバイス3との間で認証情報等の送受信を許可とする。
以上説明したように、第4の実施形態では、情報端末2及び認証デバイス3は、互いを信頼できるものであるかを検証する。これにより、認証デバイス3と情報端末2との信頼関係の検証の成功をもって本人認証を成功とすることができ、検証成功した場合に、情報端末2と認証デバイス3との間で、WEBサービスのログイン時の認証処理等に関する情報の送受信を許可するようにできる。
なお、情報端末2は事前登録情報として端末番号、端末秘密鍵、デバイス番号のリスト、及びデバイス公開鍵のリストを保持するものとしたが、これらの事前登録情報は、情報端末2からネットワーク4を介してアクセス可能な記憶領域(DBサーバ等)に登録しておき、検証処理に際して、ネットワーク4を介して該当する記憶領域にアクセスし、事前登録情報を得るようにしてもよい。また、認証デバイス3についても同様に、事前登録情報であるデバイス番号、デバイス秘密鍵、端末番号のリスト、及び端末公開鍵のリストをネットワーク4を介してアクセス可能な記憶領域(DBサーバ等)に登録しておき、信頼性が既に検証されている情報端末2等からネットワーク4を介して該当する記憶領域にアクセスし、事前登録情報を得るようにしてもよい。
[第5の実施形態]
次に、図12を参照して認証システム1における信頼性の検証処理の別の例について説明する。図12は第5の実施形態における情報端末2と認証デバイス3との検証処理の動作を示すシーケンス図である。
次に、図12を参照して認証システム1における信頼性の検証処理の別の例について説明する。図12は第5の実施形態における情報端末2と認証デバイス3との検証処理の動作を示すシーケンス図である。
なお、第4の実施形態と同様に、図12に示す処理を開始する前に、情報端末2には、端末番号、端末秘密鍵、デバイス番号のリスト、及びデバイス公開鍵のリストが登録されているものとする。また認証デバイス3には、デバイス番号、デバイス秘密鍵、端末番号のリスト、及び端末公開鍵のリストが登録されているものとする。
図12に示す検証処理においてステップS701〜ステップS706の処理は第4の実施形態のステップS501〜ステップS506と同様である。すなわち、まず認証デバイス3は、仮デバイス番号を生成し(ステップS701)、周囲にある無線通信可能なすべての情報端末2へ送信する(ステップS702)。情報端末2は認証デバイス3から仮デバイス番号を受信すると、仮デバイス番号の検証を行う(ステップS703)。なお、仮デバイス番号は認証デバイス3の起動毎や一定時間経過毎に変更し、トラッキングを防止する。ステップS703における仮デバイス番号の検証の結果(図11参照)、仮デバイス番号を過去に検証済みでない場合には情報端末2は認証デバイス3に対して接続を要求する(ステップS704)。認証デバイス3は情報端末2からの要求に対して応答を返す(ステップS705)。
認証デバイス3から接続応答を受け取ると、情報端末2はチャレンジ・レスポンスの手順で互いが信用できるものであるかを検証する。すなわち、情報端末2は乱数列(チャレンジ)を生成し(ステップS706)、認証デバイス3へ送る(ステップS707)。
認証デバイス3はチャレンジを受信すると、認証デバイス3の記憶部32に事前登録されているデバイス秘密鍵でチャレンジに署名し、これをレスポンスとする(ステップS708)。さらにチャレンジとデバイス番号との組み合わせ(チャレンジ+デバイス番号)に対してハッシュ計算を行う(ステップS709)。
認証デバイス3は、ステップS708で生成したレスポンス(署名されたチャレンジ)とステップS709で生成したハッシュ値(チャレンジ+デバイス番号のハッシュ値)とを情報端末2へ送信する(ステップS710)。
情報端末2では、デバイス番号のリスト全件について、チャレンジ+デバイス番号でハッシュ計算を行い(ステップS711)、ステップS710で認証デバイス3から送信されたハッシュ値に一致するデバイス番号を検索し(ステップS712)、検索の結果、取得したデバイス番号を仮デバイス番号と紐付ける(ステップS713)。更に情報端末2は、デバイス番号に紐付くデバイス公開鍵を検索し(ステップS714)、デバイス公開鍵でレスポンスを復号し、検証する(ステップS715)。検証成功した場合はその旨の信号を認証デバイス3へ送る(ステップS716)。
次に認証デバイス3は乱数列(チャレンジ)を生成し(ステップS717)、情報端末2へ送信する(ステップS718)。情報端末2は記憶部22に事前登録されている端末秘密鍵でチャレンジに署名し、これをレスポンスとする(ステップS719)。また、ステップS714で取得したデバイス公開鍵で端末番号を暗号化する(ステップS720)。そして情報端末2はレスポンス(署名されたチャレンジ)と暗号化された端末番号を認証デバイス3へ送信する(ステップS721)。
認証デバイス3は、デバイス秘密鍵で端末番号を復号し(ステップS722)、端末番号に紐付く端末公開鍵を検索し(ステップS723)、検索の結果取得した端末公開鍵でレスポンスを検証する(ステップS724)。検証成功した場合は、その旨の信号を情報端末2へ送る(ステップS725)。情報端末2がセキュリティゲートの場合は、認証デバイス3から検証成功の信号を受け取ると、情報端末2はセキュリティゲートを開錠してもよい。
上述の手順で互いに検証成功した場合は、情報端末2及び認証デバイス3は互いを信頼する。その後、情報端末2は認証デバイス3に対して無線通信を切断する指示を送信する。切断指示によって、情報端末2と認証デバイス3との通信接続は切断される(ステップS726)。検証処理の結果、互いに信頼できるものという結果を得た場合、ステップS726の後、例えば、第1〜第3の実施形態で説明したように、情報端末2と認証デバイス3との間で認証情報等の送受信を可能とする。
以上説明したように、第5の実施形態では、情報端末2及び認証デバイス3は、互いを信頼できるものであるかを検証する。これにより、認証デバイス3と情報端末2との信頼関係の検証成功をもって本人認証を成功することができる。検証処理の結果、互いに信頼できるものとの結果を得た場合に、例えば、第1〜第3の実施形態等の手順を利用して、WEBサービスへのログイン時の認証処理等に関する情報の送受信を許可するようにできる。また、第5の実施形態では、情報端末2と認証デバイス3との間で端末番号が暗号化されて送受信されるため、情報端末2のトラッキングを防止できる。
なお、第4の実施形態と同様に、第5の実施形態においても、事前登録情報を情報端末2からネットワーク4を介してアクセス可能な記憶領域(DBサーバ等)に登録しておき、図12の検証処理に際して該当する記憶領域にアクセスして事前登録情報を得るようにしてもよい。
[第6の実施形態]
次に、図13を参照して第6の実施形態の認証システム1Aについて説明する。
本発明に係る認証システムは、図13に示す認証システム1Aのように、認証デバイス3及び情報端末2に加え、DBサーバ7等の記憶領域を備えた構成としてもよい。
DBサーバ7は、情報端末2からネットワーク4を介して通信接続可能な記憶装置である。DBサーバ7は、情報を記憶可能なものであればどのような形態としてもよい。例えば、情報端末2と専用のネットワーク4で接続された記憶装置としてもよいし、クラウドコンピューティングと呼ばれる仕組みを利用したもの等のようにインターネット等を介して接続可能な記憶装置でもよい。
次に、図13を参照して第6の実施形態の認証システム1Aについて説明する。
本発明に係る認証システムは、図13に示す認証システム1Aのように、認証デバイス3及び情報端末2に加え、DBサーバ7等の記憶領域を備えた構成としてもよい。
DBサーバ7は、情報端末2からネットワーク4を介して通信接続可能な記憶装置である。DBサーバ7は、情報を記憶可能なものであればどのような形態としてもよい。例えば、情報端末2と専用のネットワーク4で接続された記憶装置としてもよいし、クラウドコンピューティングと呼ばれる仕組みを利用したもの等のようにインターネット等を介して接続可能な記憶装置でもよい。
第6の実施形態の認証システム1Aでは、例えば、第1の実施形態の認証システム1において情報端末2が保持する接続先識別情報62(図4(b)参照)を、DBサーバ7に記憶する。情報端末2は、認証処理が必要な接続先へ接続する際にDBサーバ7へアクセスし、記憶されている接続先識別情報62を取得して、図5に示す手順で認証処理を行う。
また、第2及び第3の実施形態の認証システム1において、情報端末2が保持する暗号化認証情報テーブル64(図7(b)参照)を、DBサーバ7に記憶するようにしてもよい。この場合、情報端末2は、例えば認証処理が必要な接続先へ接続する際にDBサーバ7へアクセスし、記憶されている暗号化認証情報テーブル64から接続先の暗号化認証情報や識別子を取得して、図6、図8に示す手順で認証処理を行う。
また、第4及び第5の実施形態の認証システム1において、情報端末2に事前登録されている端末番号、端末秘密鍵、デバイス番号のリスト、及びデバイス公開鍵のリストや、認証デバイス3に事前登録されているデバイス番号、デバイス秘密鍵、端末番号のリスト、及び端末公開鍵のリストをDBサーバ7に記憶するようにしてもよい。この場合、情報端末2は検証処理の開始前にDBサーバ7へアクセスし、記憶されている事前登録情報を取得して、図10、図12に示す手順で認証処理を行う。
このように、接続先との認証に用いる情報を、認証処理を行う情報端末2以外の端末の記憶領域に記憶することにより、情報が更に分散されるため、安全性が更に向上する。また接続先との認証に用いる情報をネットワーク4上の記憶領域に記憶することで、同一のネットワーク4に接続された他の情報端末2からも認証処理を行うことができるようになり、利便性が向上する。
[第7の実施形態]
次に、図14及び図15を参照して第7の実施形態について説明する。
第1〜第6の実施形態の認証システム1の認証デバイス3は、更に生体認証機能を備えるものとしてもよい。
次に、図14及び図15を参照して第7の実施形態について説明する。
第1〜第6の実施形態の認証システム1の認証デバイス3は、更に生体認証機能を備えるものとしてもよい。
図14は第7の実施形態の認証デバイス3Aの内部構成を示す図である。
図14に示すように、演算部31、記憶部32、無線通信部33に加え、生体情報取得部34を備える。
演算部31は、生体情報取得部34により取得した生体情報に基づいてユーザの認証を行う生体認証処理を行う。
図14に示すように、演算部31、記憶部32、無線通信部33に加え、生体情報取得部34を備える。
演算部31は、生体情報取得部34により取得した生体情報に基づいてユーザの認証を行う生体認証処理を行う。
生体認証処理は、例えば、指紋、声、静脈、虹彩等、生体から得られる個人の特徴情報を用いて個人を認証する処理である。生体情報取得部34は、演算部31で行う生体認証処理に対応した生体情報を取得する装置を用いる。
生体認証機能を備えた認証デバイス3Aの動作を図15のフローチャートを参照して説明する。
図15に示すように、認証デバイス3Aは生体情報取得部34により生体情報を取得する(ステップS801)。演算部31は、取得した生体情報を用いて生体認証処理を行う(ステップS802)。生体認証処理では、取得した生体情報と予め登録されている生体情報とを照合し、一致すれば認証成功とする。生体認証が成功すると(ステップS803;Yes)、演算部31は認証デバイス3Aをアクティブ化する(ステップS804)。生体認証が失敗した場合は(ステップS803;No)、認証デバイス3Aは非アクティブの状態を維持する。
図15に示すように、認証デバイス3Aは生体情報取得部34により生体情報を取得する(ステップS801)。演算部31は、取得した生体情報を用いて生体認証処理を行う(ステップS802)。生体認証処理では、取得した生体情報と予め登録されている生体情報とを照合し、一致すれば認証成功とする。生体認証が成功すると(ステップS803;Yes)、演算部31は認証デバイス3Aをアクティブ化する(ステップS804)。生体認証が失敗した場合は(ステップS803;No)、認証デバイス3Aは非アクティブの状態を維持する。
アクティブ化後、認証デバイス3Aは、例えば第1〜第6の実施形態の認証デバイス3と同様に情報端末2と通信を行い、情報端末2との間で情報を送受信する。
以上説明したように、第6の実施形態の認証デバイス3Aは、生体認証機能を備えるため、認証デバイス3Aのユーザを認証できる。そのため本人以外のユーザによる使用を防止でき、認証システム1の安全性を更に向上できる。
以上、添付図面を参照して、本発明に係る認証システム等の好適な実施形態について説明したが、本発明は係る例に限定されない。当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
1、1A………認証システム
2………………情報端末
3、3A………認証デバイス
4………………ネットワーク
5………………WEBサーバ
61……………認証情報テーブル
62……………接続先識別情報
63……………暗号鍵テーブル
64……………暗号化認証情報テーブル
7………………DBサーバ
2………………情報端末
3、3A………認証デバイス
4………………ネットワーク
5………………WEBサーバ
61……………認証情報テーブル
62……………接続先識別情報
63……………暗号鍵テーブル
64……………暗号化認証情報テーブル
7………………DBサーバ
Claims (20)
- 認証デバイスと、前記認証デバイスから受け取った情報を基に認証処理を行う情報端末と、を含む認証システムであって、
前記情報端末は、
認証が必要な接続先に接続する接続手段と、
接続先を識別するための接続先識別情報を前記認証デバイスに送信する接続先識別情報送信手段と、
前記認証デバイスから前記接続先識別情報に紐付けられた認証情報を受信する認証情報受信手段と、
受信した認証情報を用いて前記接続先との認証処理を行う認証手段と、を備え、
前記認証デバイスは、
前記接続先識別情報と前記認証情報とを紐付けて保持する記憶手段と、
前記情報端末から送信された接続先識別情報を受信する接続先識別情報受信手段と、
受信した接続先識別情報に紐付く認証情報を前記記憶手段を検索して特定する認証情報特定手段と、
特定した認証情報を前記情報端末に送信する認証情報送信手段と、
を備えることを特徴とする認証システム。 - 前記接続先識別情報は、ネットワークを介して前記情報端末と通信接続された記憶領域に記憶されることを特徴とする請求項1に記載の認証システム。
- 認証デバイスと、前記認証デバイスから受け取った情報を基に認証処理を行う情報端末と、を含む認証システムであって、
前記情報端末は、
認証が必要な接続先に接続する接続手段と、
暗号化された認証情報である暗号化認証情報を保持する記憶手段と、
前記暗号化認証情報を前記認証デバイスに送信する暗号化認証情報送信手段と、
前記認証デバイスによって復号された認証情報を受信する認証情報受信手段と、
受信した認証情報を用いて前記接続先との認証処理を行う認証手段と、を備え、
前記認証デバイスは、
暗号鍵を保持する記憶手段と、
前記情報端末から送信された暗号化認証情報を受信する暗号化認証情報受信手段と、
前記記憶手段から暗号鍵を取得し、受信した暗号化認証情報を復号する復号手段と、
復号した認証情報を前記情報端末へ送信する認証情報送信手段と、
を備えることを特徴とする認証システム。 - 前記暗号鍵は接続先毎にそれぞれ生成され、接続先を識別する接続先識別情報と紐付けて前記認証デバイスの記憶手段に保持され、
前記情報端末の暗号化認証情報送信手段は、前記接続先識別情報とともに前記暗号化認証情報を送信すること特徴とする請求項3に記載の認証システム。 - 認証デバイスと、前記認証デバイスから受け取った情報を基に認証処理を行う情報端末と、を含む認証システムであって、
前記情報端末は、
認証が必要な接続先に接続する接続手段と、
暗号化された認証情報である暗号化認証情報を保持する記憶手段と、
前記暗号化認証情報を復号するための暗号鍵の送信を要求する暗号鍵要求手段と、
前記認証デバイスから前記暗号鍵を受信する暗号鍵受信手段と、
受信した暗号鍵を用いて前記暗号化認証情報を復号する復号手段と、
復号した認証情報を用いて前記接続先との認証処理を行う認証手段と、を備え、
前記認証デバイスは、
暗号鍵を保持する記憶手段と、
前記情報端末からの要求に応答して前記暗号鍵を前記情報端末に送信する暗号鍵送信手段と、
を備えることを特徴とする認証システム。 - 前記暗号鍵は接続先毎にそれぞれ生成され、接続先を識別する接続先識別情報と紐付けて前記認証デバイスの記憶手段に保持され、
前記情報端末の暗号鍵要求手段は、前記接続先識別情報を送信し、
前記認証デバイスの暗号鍵送信手段は、受信した接続先識別情報に紐付けられた暗号鍵を前記記憶手段を検索して特定し、前記情報端末に送信すること特徴とする請求項5に記載の認証システム。 - 前記暗号化認証情報を保持する記憶手段は、ネットワークを介して前記情報端末と通信接続された記憶領域に設けられることを特徴とする請求項3または請求項5に記載の認証システム。
- 前記認証デバイスと前記情報端末との信頼性を判断するための検証処理を行う検証手段をさらに備え、
前記検証手段によって信頼性ありと判定された場合に、前記認証デバイス及び前記情報端末は、認証処理に関する情報の送受信を行うことを特徴とする請求項1から請求項7のいずれかに記載の認証システム。 - 前記認証デバイスと複数の前記情報端末とが同時に情報の送受信を行うことを特徴とする請求項1から請求項8のいずれかに記載の認証システム。
- 前記認証デバイスと前記情報端末とは無線通信により情報の送受信を行うことを特徴とする請求項1から請求項9のいずれかに記載の認証システム。
- 前記認証デバイスはユーザが装用可能な形態であることを特徴とする請求項1から請求項10のいずれかに記載の認証システム。
- 前記認証デバイスは、
ユーザの生体情報を取得する生体情報取得手段と、
取得した生体情報に基づいて前記ユーザの認証を行う生体認証手段と、
を備えることを特徴とする請求項1から請求項11のいずれかに記載の認証システム。 - 認証が必要な接続先に接続する情報端末との間で情報を送受信する認証デバイスであって、
前記接続先を識別するための接続先識別情報と認証情報とを紐付けて保持する記憶手段と、
前記情報端末から送信された接続先識別情報を受信する接続先識別情報受信手段と、
受信した接続先識別情報に紐付く認証情報を前記記憶手段を検索して特定する認証情報特定手段と、
特定した認証情報を前記情報端末に送信する認証情報送信手段と、
を備えることを特徴とする認証デバイス。 - 認証が必要な接続先に接続する情報端末との間で情報を送受信する認証デバイスであって、
暗号鍵を保持する記憶手段と、
前記情報端末から送信された暗号化認証情報を受信する暗号化認証情報受信手段と、
前記記憶手段から暗号鍵を取得し、受信した暗号化認証情報を復号する復号手段と、
復号した認証情報を前記情報端末へ送信する認証情報送信手段と、
を備えることを特徴とする認証デバイス。 - 認証が必要な接続先に接続する情報端末との間で情報を送受信する認証デバイスであって、
暗号鍵を保持する記憶手段と、
前記情報端末からの要求に応答して前記暗号鍵を前記情報端末に送信する暗号鍵送信手段と、
を備えることを特徴とする認証デバイス。 - 認証デバイスから受け取った情報を基に認証処理を行う情報端末であって、
認証が必要な接続先に接続する接続手段と、
接続先を識別するための接続先識別情報を生成し前記認証デバイスに送信する接続先識別情報送信手段と、
前記認証デバイスから前記接続先識別情報に紐付けられた認証情報を受信する認証情報受信手段と、
受信した認証情報を用いて前記接続先との認証処理を行う認証手段と、
を備えることを特徴とする情報端末。 - 認証デバイスから受け取った情報を基に認証処理を行う情報端末であって、
認証が必要な接続先に接続する接続手段と、
暗号化された認証情報である暗号化認証情報を保持する記憶手段と、
前記暗号化認証情報を前記認証デバイスに送信する暗号化認証情報送信手段と、
前記認証デバイスによって復号された認証情報を受信する認証情報受信手段と、
受信した認証情報を用いて前記接続先との認証処理を行う認証手段と、
を備えることを特徴とする情報端末。 - 認証デバイスから受け取った情報を基に認証処理を行う情報端末であって、
認証が必要な接続先に接続する接続手段と、
暗号化された認証情報である暗号化認証情報を保持する記憶手段と、
前記暗号化認証情報を復号するための暗号鍵の送信を要求する暗号鍵要求手段と、
前記認証デバイスから前記暗号鍵を受信する暗号鍵受信手段と、
受信した暗号鍵を用いて前記暗号化認証情報を復号する復号手段と、
復号した認証情報を用いて前記接続先との認証処理を行う認証手段と、
を備えることを特徴とする情報端末。 - コンピュータを、請求項13から請求項15のいずれかに記載の認証デバイスとして機能させるプログラム。
- コンピュータを、請求項16から請求項18のいずれかに記載の情報端末として機能させるプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015166066A JP2017045192A (ja) | 2015-08-25 | 2015-08-25 | 認証システム、認証デバイス、情報端末、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015166066A JP2017045192A (ja) | 2015-08-25 | 2015-08-25 | 認証システム、認証デバイス、情報端末、及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017045192A true JP2017045192A (ja) | 2017-03-02 |
Family
ID=58211350
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015166066A Pending JP2017045192A (ja) | 2015-08-25 | 2015-08-25 | 認証システム、認証デバイス、情報端末、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2017045192A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021043957A (ja) * | 2019-09-09 | 2021-03-18 | ザ・スウォッチ・グループ・リサーチ・アンド・ディベロップメント・リミテッド | 可搬電子認証デバイス |
JP2022030084A (ja) * | 2020-08-06 | 2022-02-18 | セイコーソリューションズ株式会社 | 認証システム、認証システムの制御方法及び認証装置 |
-
2015
- 2015-08-25 JP JP2015166066A patent/JP2017045192A/ja active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021043957A (ja) * | 2019-09-09 | 2021-03-18 | ザ・スウォッチ・グループ・リサーチ・アンド・ディベロップメント・リミテッド | 可搬電子認証デバイス |
JP7041209B2 (ja) | 2019-09-09 | 2022-03-23 | ザ・スウォッチ・グループ・リサーチ・アンド・ディベロップメント・リミテッド | 可搬電子認証デバイス |
US11632673B2 (en) | 2019-09-09 | 2023-04-18 | The Swatch Group Research And Develonment Ltd | Portable electronic authentication device |
JP2022030084A (ja) * | 2020-08-06 | 2022-02-18 | セイコーソリューションズ株式会社 | 認証システム、認証システムの制御方法及び認証装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6703151B2 (ja) | ブルートゥースインタフェースを備える認証装置 | |
US20150281227A1 (en) | System and method for two factor user authentication using a smartphone and nfc token and for the automatic generation as well as storing and inputting of logins for websites and web applications | |
US20140380445A1 (en) | Universal Authentication and Data Exchange Method, System and Service | |
US10848304B2 (en) | Public-private key pair protected password manager | |
WO2017071493A1 (zh) | 身份识别、业务处理以及生物特征信息的处理方法和设备 | |
KR101575687B1 (ko) | 생체인식 본인인증 방법 | |
KR101451639B1 (ko) | 일회용 랜덤키를 이용한 본인 확인 및 도용 방지 시스템 및 방법 | |
CN104954132A (zh) | 信息处理装置、信息处理方法、和记录介质 | |
JP2017085225A (ja) | 通信装置、通信方法および通信システム | |
KR101650870B1 (ko) | 웨어러블 단말기와 동작 방법 및 이를 위한 인증 어플리케이션, 이를 이용하는 인증 시스템 및 인증 방법 | |
JP2008299457A (ja) | 認証システム、認証方法及び認証ソケット装置 | |
KR101206854B1 (ko) | 고유식별자 기반 인증시스템 및 방법 | |
KR101831381B1 (ko) | 메신저서비스를 이용한 스마트 로그인 방법 및 그 장치 | |
JP2017045192A (ja) | 認証システム、認証デバイス、情報端末、及びプログラム | |
KR101537564B1 (ko) | 생체인식 중계 인증 시스템 및 그 방법 | |
JP6934442B2 (ja) | 管理サーバ、認証方法、コンピュータプログラム及びサービス連携システム | |
JP5937545B2 (ja) | 携帯端末、サーバ装置、情報端末、および共用端末管理システム | |
TWI696963B (zh) | 票證發行與入場驗證系統與方法及使用於票證發行與入場驗證系統之用戶終端裝置 | |
CA2878269A1 (en) | System and method for two factor user authentication using a smartphone and nfc token and for the automatic generation as well as storing and inputting of logins for websites and web applications | |
KR101257761B1 (ko) | 이미지 기반 인증시스템 및 방법 | |
KR101308081B1 (ko) | 두 대의 통신단말기를 이용한 인증방법 | |
CN107818263B (zh) | 电子文档处理方法和装置、电子文档加密方法和装置 | |
KR20170111942A (ko) | 고유정보연동 오티피(otp) 방식의 전자 인증 방법 및 전자 인증 시스템 | |
KR101206852B1 (ko) | 이미지 기반 인증시스템 및 방법 | |
KR101592475B1 (ko) | 회원제 인터넷 사이트 불법 이용 방지 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180625 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190417 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190604 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20191203 |