JP2021108088A - Authentication request system and authentication request method - Google Patents
Authentication request system and authentication request method Download PDFInfo
- Publication number
- JP2021108088A JP2021108088A JP2020004333A JP2020004333A JP2021108088A JP 2021108088 A JP2021108088 A JP 2021108088A JP 2020004333 A JP2020004333 A JP 2020004333A JP 2020004333 A JP2020004333 A JP 2020004333A JP 2021108088 A JP2021108088 A JP 2021108088A
- Authority
- JP
- Japan
- Prior art keywords
- information
- service system
- user
- authentication
- property
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 42
- 238000012545 processing Methods 0.000 claims abstract description 36
- 230000010365 information processing Effects 0.000 claims abstract description 9
- 230000008569 process Effects 0.000 claims description 27
- 238000004590 computer program Methods 0.000 claims description 4
- 230000000717 retained effect Effects 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 22
- 230000000052 comparative effect Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 8
- 238000002360 preparation method Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000005389 magnetism Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、概して、認証技術に関する。 The present invention generally relates to authentication techniques.
1要素認証や多要素認証が知られている。多要素認証の一例が、2要素認証である。2要素認証の技術は、例えば特許文献1に開示されている。 One-factor authentication and multi-factor authentication are known. An example of multi-factor authentication is two-factor authentication. The technique of two-factor authentication is disclosed in, for example, Patent Document 1.
1要素認証でも多要素認証でも、一般に、記憶情報としてパスワードが採用されている。しかし、パスワードは、記憶情報なので、忘れられてしまうことがある。また、記憶情報としてのパスワードは、漏洩する(盗られる)ことがあり、且つ、通常、ユーザは、パスワードが漏洩し(盗られ)ても、被害があるまで気づくことができない。 In both one-factor authentication and multi-factor authentication, a password is generally adopted as stored information. However, since passwords are stored information, they can be forgotten. Further, the password as stored information may be leaked (stolen), and even if the password is leaked (stolen), the user usually cannot notice it until it is damaged.
本願発明者が鋭意検討した結果、記憶情報を不要としても安全性を維持する認証方法の一つとして、ユーザの複数の所有物を認証するとの知見を得るに至った。 As a result of diligent studies by the inventor of the present application, it has been found that a plurality of possessions of a user are authenticated as one of the authentication methods for maintaining security even if stored information is unnecessary.
複数所有物の確認は、人間によって行われる業務プロセスの中で人間によって行われることがある。例えば、銀行のような所定の機関において、所定の用紙にユーザが印章を押すことで形成された印影と、ユーザの印鑑証明書との比較が人間により行われることがある。また、例えば、不在配達証明の所有者が不在配達証明を郵便局に持参した場合、局員は、不在配達証明の他に当該所有者の身分証(例えば、運転免許証又は健康保険証)を確認することがある。 Confirmation of multiple possessions may be performed by humans in a business process performed by humans. For example, in a predetermined institution such as a bank, a human may compare the imprint formed by the user stamping a seal on a predetermined paper with the user's seal stamp certificate. In addition, for example, when the owner of the absentee delivery certificate brings the absentee delivery certificate to the post office, the bureau staff confirms the owner's ID card (for example, a driver's license or a health insurance card) in addition to the absentee delivery certificate. I have something to do.
このように、所有物を複数とした場合、複数所有物の各々が個別に確認される。このため、サービスシステムでの認証に複数所有物の認証を適用した場合、サービスシステムは、複数所有物の各々を個別に認証することになる。 In this way, when there are a plurality of possessions, each of the plurality of possessions is individually confirmed. Therefore, when the authentication of a plurality of owners is applied to the authentication in the service system, the service system authenticates each of the plurality of owners individually.
しかし、そうすると、サービスシステムの処理負荷は、認証対象の所有物が多い程大きくなる。 However, in that case, the processing load of the service system increases as the number of properties to be authenticated increases.
第1の情報を持ちユーザに発行された第1の所有物と、ユーザの情報処理端末である第2の所有物にインストールされるアプリとが備えられる。ユーザに発行された第2の情報が第2の所有物に格納される。アプリが、第1の所有物から第1の情報を読み取る。アプリが、複数所有物がそれぞれ持つ複数の情報(読み取られた第1の情報と格納されている第2の情報とを含む)を用いて情報を生成する。アプリが、当該生成された情報を受信情報(サービスシステムから受信した情報)に対する処理で用いることで、サービスシステムによる認証処理において検証される情報である対象情報を生成する。アプリが、対象情報が関連付けられた認証リクエストをサービスシステムに送信する。「複数所有物がそれぞれ持つ複数の情報」は、第1の所有物から読み取られた第1の情報と、第2の所有物に格納されている第2の情報といった二つの情報でもよいし、当該二つの情報の他に、第1の所有物及び第2の所有物以外の一つ以上の所有物がそれぞれ持つ一つ以上の情報を含んでもよい。 A first property that has the first information and is issued to the user, and an application that is installed in the second property that is the information processing terminal of the user are provided. The second information issued to the user is stored in the second property. The app reads the first information from the first property. The application generates information using a plurality of information (including a first information read and a second information stored) possessed by the plurality of possessions. The application uses the generated information in the processing for the received information (information received from the service system) to generate the target information which is the information to be verified in the authentication process by the service system. The app sends an authentication request with the target information to the service system. The "plurality of information possessed by each of the plurality of possessions" may be two pieces of information such as the first information read from the first possession and the second information stored in the second possession. In addition to the two pieces of information, one or more pieces of information each possessed by one or more property other than the first property and the second property may be included.
なお、「所有物」しての物の所有権を必ずしもユーザが持たなくてもよい。例えば、少なくとも一つの所有物(例えば、第1の所有物)はユーザへ貸し出され所定の条件が満たされた場合に所定の返却先に返却される物でもよい。 It should be noted that the user does not necessarily have the ownership of the "property". For example, at least one property (for example, the first property) may be rented to a user and returned to a predetermined return destination when a predetermined condition is satisfied.
複数所有物がそれぞれ持つ複数の情報から情報が生成される。サービスシステムからの受信情報に対して当該情報を用いて処理することで得られた情報である対象情報が、サービスシステムへの認証リクエストに関連付けられる。所有物の数に関わらず、サービスシステムは、認証処理において当該対象情報を検証すればよい。このため、所有物が増えてもサービスシステムによる認証処理の処理負荷を増やさないようにすることができる。 Information is generated from multiple pieces of information held by multiple possessions. The target information, which is the information obtained by processing the received information from the service system using the information, is associated with the authentication request to the service system. Regardless of the number of possessions, the service system may verify the target information in the authentication process. Therefore, it is possible to prevent the processing load of the authentication process by the service system from increasing even if the number of possessions increases.
以下の説明では、「通信インターフェース装置」は、一つ以上の通信インターフェースデバイスでよい。一つ以上の通信インターフェースデバイスは、一つ以上の同種の通信インターフェースデバイス(例えば一つ以上のNIC(Network Interface Card))であってもよいし二つ以上の異種の通信インターフェースデバイス(例えばNICとHBA(Host Bus Adapter))であってもよい。 In the following description, the "communication interface device" may be one or more communication interface devices. One or more communication interface devices may be one or more communication interface devices of the same type (for example, one or more NICs (Network Interface Cards)) or two or more different types of communication interface devices (for example, NICs). It may be HBA (Host Bus Adapter)).
また、以下の説明では、「メモリ」は、一つ以上の記憶デバイスの一例である一つ以上のメモリデバイスであり、典型的には主記憶デバイスでよい。メモリにおける少なくとも一つのメモリデバイスは、揮発性メモリデバイスであってもよいし不揮発性メモリデバイスであってもよい。 Further, in the following description, the "memory" is one or more memory devices which are an example of one or more storage devices, and may be typically a main storage device. At least one memory device in the memory may be a volatile memory device or a non-volatile memory device.
また、以下の説明では、「永続記憶装置」は、一つ以上の記憶デバイスの一例である一つ以上の永続記憶デバイスでよい。永続記憶デバイスは、典型的には、不揮発性の記憶デバイス(例えば補助記憶デバイス)でよく、具体的には、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)、NVMe(Non-Volatile Memory Express)ドライブ、又は、SCM(Storage Class Memory)でよい。 Further, in the following description, the "permanent storage device" may be one or more permanent storage devices which are an example of one or more storage devices. The persistent storage device may typically be a non-volatile storage device (eg, auxiliary storage device), specifically, for example, HDD (Hard Disk Drive), SSD (Solid State Drive), NVMe (Non-Volatile). It may be a Memory Express) drive or SCM (Storage Class Memory).
また、以下の説明では、「記憶装置」は、メモリと永続記憶装置の少なくともメモリでよい。 Further, in the following description, the "storage device" may be at least a memory of a memory and a persistent storage device.
また、以下の説明では、「プロセッサ」は、一つ以上のプロセッサデバイスでよい。少なくとも一つのプロセッサデバイスは、典型的には、CPU(Central Processing Unit)のようなマイクロプロセッサデバイスでよいが、GPU(Graphics Processing Unit)のような他種のプロセッサデバイスでもよい。少なくとも一つのプロセッサデバイスは、シングルコアでもよいしマルチコアでもよい。少なくとも一つのプロセッサデバイスは、プロセッサコアでもよい。少なくとも一つのプロセッサデバイスは、処理の一部又は全部を行うハードウェア記述言語によりゲートアレイの集合体である回路(例えばFPGA(Field-Programmable Gate Array)、CPLD(Complex Programmable Logic Device)又はASIC(Application Specific Integrated Circuit))といった広義のプロセッサデバイスでもよい。 Further, in the following description, the "processor" may be one or more processor devices. The at least one processor device may typically be a microprocessor device such as a CPU (Central Processing Unit), but may be another type of processor device such as a GPU (Graphics Processing Unit). At least one processor device may be single-core or multi-core. At least one processor device may be a processor core. At least one processor device is a circuit (for example, FPGA (Field-Programmable Gate Array), CPLD (Complex Programmable Logic Device) or ASIC (Application) which is an aggregate of gate arrays by a hardware description language that performs a part or all of processing. It may be a processor device in a broad sense such as Specific Integrated Circuit)).
また、以下の説明では、「xxxテーブル」といった表現にて、入力に対して出力が得られる情報を説明することがあるが、当該情報は、どのような構造のデータでもよいし(例えば、構造化データでもよいし非構造化データでもよいし)、入力に対する出力を発生するニューラルネットワーク、遺伝的アルゴリズムやランダムフォレストに代表されるような学習モデルでもよい。従って、「xxxテーブル」を「xxx情報」と言うことができる。また、以下の説明において、各テーブルの構成は一例であり、一つのテーブルは、二つ以上のテーブルに分割されてもよいし、二つ以上のテーブルの全部又は一部が一つのテーブルであってもよい。 Further, in the following description, information obtained by obtaining an output for an input may be described by an expression such as "xxx table", but the information may be data having any structure (for example, a structure). It may be structured data or unstructured data), it may be a neural network that generates an output for an input, a learning model represented by a genetic algorithm or a random forest. Therefore, the "xxx table" can be referred to as "xxx information". Further, in the following description, the configuration of each table is an example, and one table may be divided into two or more tables, or all or a part of the two or more tables may be one table. You may.
また、以下の説明では、「yyy部」の表現にて機能を説明することがあるが、機能は、一つ以上のコンピュータプログラムがプロセッサによって実行されることで実現されてもよいし、一つ以上のハードウェア回路(例えばFPGA又はASIC)によって実現されてもよいし、それらの組合せによって実現されてもよい。プログラムがプロセッサによって実行されることで機能が実現される場合、定められた処理が、適宜に記憶装置及び/又はインターフェース装置等を用いながら行われるため、機能はプロセッサの少なくとも一部とされてもよい。機能を主語として説明された処理は、プロセッサあるいはそのプロセッサを有する装置が行う処理としてもよい。プログラムは、プログラムソースからインストールされてもよい。プログラムソースは、例えば、プログラム配布計算機又は計算機が読み取り可能な記録媒体(例えば非一時的な記録媒体)であってもよい。各機能の説明は一例であり、複数の機能が一つの機能にまとめられたり、一つの機能が複数の機能に分割されたりしてもよい。 Further, in the following description, the function may be described by the expression of "yy part", but the function may be realized by executing one or more computer programs by the processor, or one. It may be realized by the above hardware circuit (for example, FPGA or ASIC), or may be realized by a combination thereof. When a function is realized by executing a program by a processor, the specified processing is appropriately performed using a storage device and / or an interface device, so that the function may be at least a part of the processor. good. The process described with the function as the subject may be a process performed by a processor or a device having the processor. The program may be installed from the program source. The program source may be, for example, a program distribution computer or a computer-readable recording medium (eg, a non-temporary recording medium). The description of each function is an example, and a plurality of functions may be combined into one function, or one function may be divided into a plurality of functions.
また、以下の説明では、同種の要素を区別しないで説明する場合には、参照符号のうちの共通符号を使用し、同種の要素を区別する場合は、参照符号を使用することがある。 Further, in the following description, a common code among reference codes may be used when the same type of elements are not distinguished, and a reference code may be used when distinguishing the same type of elements.
図1は、実施形態に係るシステム全体の構成を示す。 FIG. 1 shows the configuration of the entire system according to the embodiment.
本実施形態において、ユーザ14の複数所有物は、サービス企業15(又は、他の所定の機関)からユーザ14に発行されたカード28と、ユーザ14のスマートフォン11である。スマートフォン11に後述の認証アプリ(アプリの一例)がインストールされ実行される。認証アプリが、複数所有物がそれぞれ持つ複数の情報を用いて情報を生成し、当該生成された情報をサービスシステム13からの受信情報に対する処理で用いることで対象情報(サービスシステム13による認証処理において検証される情報)を生成し、対象情報が関連付けられた認証リクエスト(認証のリクエスト)をサービスシステム13に送信する。複数所有物は、カード28及びスマートフォン11の少なくとも一つに代えて又は加えて、一つ以上の他種の所有物が採用されてもよい。例えば、カード28及びスマートフォン11の他に、USB(Universal Serial Bus)メモリのような可搬型の記憶装置がユーザの所有物の一例として採用されてもよい。本実施形態では、説明を簡単にするために、複数所有物は、カード28及びスマートフォン11という2つの所有物である。
In the present embodiment, the plurality of possessions of the user 14 are the
本実施形態では、多段階認証の一例としての2段階認証が採用される。例えば、スマートフォン11の認証アプリからの上述の認証リクエストに応答してサービスシステム13により行われる認証が、1段階目の認証の一例である。1段階目の認証に成功した後に、スマートフォン11の別アプリ(又は、PC(Personal Computer)12のようなスマートフォン11とは別の情報処理端末)からパスワード(例えば、ワンタイムパスワード、又は、ユーザの記憶情報としてのパスワード)がサービスシステム13に入力され、当該入力されたパスワードの検証が、2段階目の認証の一例である。2段階目の認証に成功した場合に、サービスシステム13は、ユーザに対して、サービスシステム13へのログインを許可したり、サービスシステム13が提供するサービスの利用を許可したりすることができる。 In this embodiment, two-step verification is adopted as an example of multi-step verification. For example, the authentication performed by the service system 13 in response to the above-mentioned authentication request from the authentication application of the smartphone 11 is an example of the first-stage authentication. After successful in the first step of authentication, a password (for example, a one-time password or a user's password) is sent from another application of the smartphone 11 (or an information processing terminal different from the smartphone 11 such as a PC (Personal Computer) 12). A password as stored information) is input to the service system 13, and verification of the input password is an example of the second stage authentication. When the second stage authentication is successful, the service system 13 can allow the user to log in to the service system 13 or allow the user to use the service provided by the service system 13.
カード28は、ユーザ14に発行された第1の所有物の一例である。カード28は、磁気カードやICカードといった任意の種類のカードでよい。カード28は、情報1(第1の情報の一例)を持つ。本実施形態では、カード28は、二次元バーコード27を一方の面(例えば表面)に有し、二次元バーコード27が、情報1を表す。情報1は、二次元バーコード27として表されることに代えて又は加えて、磁気やICのような、カードが持つ記憶領域に格納されてもよい。
The
スマートフォン11は、情報処理端末の一例である。スマートフォン11に代えて、タブレットPCが採用されてもよい。スマートフォン11は、タッチパネル型ディスプレイ111、記憶装置113と、通信インターフェース装置114と、読取装置115と、それらに接続されたプロセッサ112とを有する。タッチパネル型ディスプレイ111は、入力デバイスと表示デバイスが一体になった装置である。読取装置115は、一つ以上の読取デバイスでよい。読取デバイスは、情報1の読取が可能なデバイスであればよく、本実施形態では、二次元バーコード27を撮影するためのカメラである。読取装置115は、カメラに代えて又は加えて、他種の読取デバイス、例えば非接触型のカードリーダを含んでもよい。
The smartphone 11 is an example of an information processing terminal. A tablet PC may be adopted instead of the smartphone 11. The smartphone 11 has a touch
スマートフォン11に、情報2(第2の情報の一例)が格納される。情報1及び情報2の少なくとも一方が、ユーザ14に固有の情報である。 Information 2 (an example of the second information) is stored in the smartphone 11. At least one of the information 1 and the information 2 is information unique to the user 14.
サービスシステム13は、本実施形態では一つ以上の物理的な計算機であるが、それに代えて、クラウド基盤のような計算リソース群(複数の計算リソース)上に実現されるシステム(例えば、クラウドコンピューティングのサービスシステム)でもよい。サービスシステム13は、通信インターフェース装置133と、記憶装置131と、それらに接続されたプロセッサ132とを有する。
The service system 13 is one or more physical computers in the present embodiment, but instead, it is a system (for example, cloud computing) realized on a computing resource group (plural computing resources) such as a cloud platform. It may be a service system of the cloud. The service system 13 includes a
サービスシステム13を管理するサービス企業15がある。サービス企業15(又は、他の所定の機関)からユーザ14にカード28が発行される。
There is a
本実施形態では、準備フェーズと運用フェーズとがある。準備フェーズは、サービスシステム13が提供するサービスの利用のための準備処理が行われるフェーズである。運用フェーズは、準備処理が完了したユーザ14がサービスシステム13の認証処理を経てサービスシステム13のサービスを利用するフェーズである。 In this embodiment, there are a preparation phase and an operation phase. The preparation phase is a phase in which preparation processing for using the service provided by the service system 13 is performed. The operation phase is a phase in which the user 14 who has completed the preparation process uses the service of the service system 13 after the authentication process of the service system 13.
図2は、準備フェーズでの準備処理の流れを示す。 FIG. 2 shows the flow of the preparatory process in the preparatory phase.
ユーザ14が、スマートフォン11(或いはPC12)のような情報処理端末を通じて、サービスシステム13に対し、サービスシステム13が提供するサービスの利用のための申込を行う(S1)。S1の申込では、ユーザの氏名、住所、電話番号、メールアドレス及びユーザIDのような所定の複数種類の情報項目の各々について、ユーザにより情報がサービスシステム13に入力される。 The user 14 makes an application to the service system 13 for using the service provided by the service system 13 through an information processing terminal such as the smartphone 11 (or PC 12) (S1). In the application of S1, information is input to the service system 13 by the user for each of a predetermined plurality of types of information items such as the user's name, address, telephone number, email address, and user ID.
S1においてサービスシステム13に入力された情報が、必要に応じてサービス企業15により審査される(S2)。
The information input to the service system 13 in S1 is examined by the
ユーザ14がS2の審査にパスした場合、サービス企業15からユーザ14に対し、カード28及び案内用紙26が郵送される(S3)。カード28は、ユーザ14の認証対象となる所有物であり、情報1(第1の情報の一例)を表す二次元バーコード27を持つ。案内用紙26は、所定の案内(説明)と情報2(第2の情報の一例)を表す二次元バーコード25とを持つ。二次元バーコード25は、情報2の他に、サービスシステム13の名称のような他種の情報を表してもよい。
If the user 14 passes the examination of S2, the
ユーザ14は、スマートフォン11に、アプリストア20(アプリのマーケットプレイス)から、認証アプリ201をインストールする(S4)。
The user 14 installs the
インストールされた認証アプリ201はスマートフォン11において起動される。認証アプリ201は、ユーザ操作(スマートフォン11に対してユーザ14が行う操作)に応答して、スマートフォン11のカメラを通じて、案内用紙26の二次元バーコード25が表す情報2を読み取る(S5)。認証アプリ201は、読み取った情報2を、認証アプリ201が管理する記憶領域(例えば、認証アプリ201それ自体の所定のフィールド)に設定する(S6)。これにより、準備処理が完了し、認証アプリ201から認証リクエストをサービスシステム13に送るための処理を行うことが可能な状態となる。なお、認証アプリ201が管理する記憶領域は、スマートフォン11の記憶装置113が提供する記憶領域の一部でよい。
The installed
以上の準備処理は一例でよい。例えば、ユーザ14用のカード28がユーザ14に渡りユーザ14用の情報2がユーザ14のスマートフォン11にインストールされた認証アプリ201に設定さえされれば、どのような方法が採用されてもよい。例えば、認証アプリ201が二次元バーコード25から情報2を読み取ることに代えて、認証アプリ201がサービスシステム13から情報2を取得することが採用されてもよい。また、例えば、案内用紙26に掲載されている二次元バーコード25が情報2を表すことに代えて、人間が理解可能な文字列が情報2を表してもよく、ユーザ14が、当該文字列を、認証アプリ201に手入力してもよい。
The above preparatory process may be an example. For example, any method may be adopted as long as the
また、案内用紙26が持つ二次元バーコード25は、情報2の他に、他種の情報、例えばサービスシステム13の名称及びURL(Uniform Resource Locator)を含む情報を表してもよい。認証アプリ201は、二次元バーコード25から読み取った情報を、認証アプリ201が管理する記憶領域に設定してよい。
また、準備処理の方法は、全てのサービスや全てのサービスシステム13に共通でなくてもよい。例えば、認証アプリ201に情報2を設定する方法として、第1のサービス(又は、第1のサービスシステム)に関しては、二次元バーコードから読み取られた情報2を設定する方法が採用され、第2のサービス(又は、第2のサービスシステム)に関しては、文字列が表す情報2をユーザ14が手入力することにより設定する方法が採用されてよい。
同様に、カード28のような第1の所有物の種類や、情報1を表す方法や、情報1を認証アプリ201が取得する方法も、全てのサービスや全てのサービスシステム13に共通でなくてもよい。
Further, the two-
Further, the method of preparation processing does not have to be common to all services and all service systems 13. For example, as a method of setting the information 2 in the
Similarly, the type of the first possession such as the
図3は、認証アプリ201及びサービスシステム13の機能を示す。図3において、破線矢印は、準備フェーズでの流れを示し、実線矢印は、運用フェーズでの流れを示す。
FIG. 3 shows the functions of the
認証アプリ201は、読取部301及び認証リクエスト部303を有する。また、認証アプリ201は、設定管理テーブル302を管理する。設定管理テーブル302は、認証アプリ201が管理する記憶領域に設定された情報を保持するテーブルである。
The
読取部301は、スマートフォン11が有する読取装置115(図1参照)の一例であるカメラを通じて、案内用紙26が持つ二次元バーコード25から情報を読み取ったり、カード28が持つ二次元バーコード27から情報を読み取ったりする。読取部301は、案内用紙26が持つ二次元バーコード25から読み取った情報を、設定管理テーブル302に登録する。情報2を含む情報を設定管理テーブル302に登録することが、情報2を含む情報を認証アプリ201が管理する記憶領域に設定することである。読取部301は、カード28が持つ二次元バーコード27から読み取った情報(情報1を含む情報)を、認証リクエスト部303に渡す。
The
設定管理テーブル302は、サービスシステム13毎にレコードを有し、レコードが、当該サービスシステム13に対応した情報(二次元バーコード25から読み取られた情報)を保持する。当該情報は、情報2の他に、サービスシステム13の名称及びURLを含む。このように、本実施形態では、複数のサービスシステム13A、13B、…について認証アプリ201を一つとする(共通とする)ことができる。言い換えれば、認証アプリ201は、サービスシステム13毎に用意されてもよいが、本実施形態のように、サービスシステム13が複数存在しても認証アプリ201は1つで済ますことができる。なお、サービスシステム13毎に、サービスシステム13のURLは、案内用紙26が持つ二次元バーコード25から読み取られ設定管理テーブル302に設定されることに代えて又は加えて、当該サービスシステム13に対応したカード28が持つ二次元バーコード27から読み取られてもよい。いずれにしても、ユーザ14に送付された正しい情報の一部としてのURLに従うアクセスが行われるので、偽のサイトに誘い込まれるといったことを防ぐことができる。
The setting management table 302 has a record for each service system 13, and the record holds information corresponding to the service system 13 (information read from the two-dimensional bar code 25). The information includes the name and URL of the service system 13 in addition to the information 2. As described above, in the present embodiment, the
認証リクエスト部303は、設定管理テーブル302を参照し、設定管理テーブル302に登録されているサービスシステム名(サービスシステム13の名称)の一覧であるサービスシステム一覧を、スマートフォン11のディスプレイ111に表示する。サービスシステム名には、サービスシステムのURLが関連付けられていてよい。認証リクエスト部303は、サービスシステム一覧からユーザ所望のサービスシステム名を選択するユーザ操作(例えば、ユーザ所望のサービスシステム13のサービスシステム名に対するタッチ操作)を受け付ける。認証リクエスト部303は、当該ユーザ操作に応答して、ユーザ所望のサービスシステム13Aに対する認証リクエストを生成し、生成した認証リクエストを、当該サービスシステム13Aに送信する。認証リクエストの生成において、認証リクエスト部303は、サービスシステム13Aに対応した情報2を設定管理テーブル302から取得し、当該情報2と、読取部301からの情報1(カード28が持つ二次元バーコード27から読み取られた情報1)とを用いて一つの情報を生成する。認証リクエスト部303は、当該生成した情報をサービスシステム13Aからの受信情報に対する処理に用いることで対象情報を生成し、ユーザID及び対象情報を関連付けた認証リクエストを生成し、当該認証リクエストをサービスシステム13Aに送信する。認証リクエストに関連付けられるユーザIDは、下記のうちのいずれでもよい。
・スマートフォン11に対してユーザ14から手入力されたユーザID。
・設定管理テーブル302から取得されたユーザID。(案内用紙26が持つ二次元バーコード25が表す、情報2以外の情報が、ユーザIDを含んでおり、設定管理テーブル302にユーザIDが登録されていてよい。)
・読取部301から受けたユーザID。(カード28が持つ二次元バーコード27が表す、情報1以外の情報が、ユーザIDを含んでおり、認証リクエスト部303が、カード28が持つ二次元バーコード27から読み取られた情報1及びユーザIDを読取部301から受けてよい。)
The
-A user ID manually input by the user 14 to the smartphone 11.
-User ID acquired from the setting management table 302. (Information other than the information 2 represented by the two-
-User ID received from the
サービスシステム13において、記憶装置131に格納されている一つ以上のプログラムをプロセッサ132が実行することで、認証処理部311及びサービス提供部313が実現される。また、ユーザ管理テーブル312が、記憶装置131に格納される。ユーザ管理テーブル312は、ユーザ毎にレコードを有し、レコードが、ユーザのユーザIDと、当該ユーザに対する送信情報(当該ユーザに対して認証処理のために送信された情報)とを保持する。ユーザに対する送信情報が、認証アプリ201にとってはサービスシステム13からの受信情報である。
In the service system 13, the
認証処理部311が、認証アプリ201から認証リクエストを受信し、当該認証リクエストに応答して、当該認証リクエストに関連付けられている対象情報を検証する認証処理を行う。例えば、認証処理部311は、認証処理において、認証リクエストに関連付けられているユーザIDに対応した送信情報をユーザ管理テーブル312から特定し、特定された送信情報に、認証リクエストに関連付けられている対象情報が適合するか否かを判定してよい。
The
サービス提供部313は、認証処理部311の認証処理において認証が成功した場合、認証リクエストの送信元のユーザに対してサービスを提供する。
The
本実施形態では、認証は2段階である。 In this embodiment, the certification is in two stages.
図4は、2段階の認証フェーズを示す。 FIG. 4 shows a two-step authentication phase.
1段階目の認証フェーズでは、サービスシステム13へ第1の認証リクエストを送信することと(S401)、当該第1の認証リクエストに応答してサービスシステム13により第1の認証処理を行うこと(S402)、及び、第1の認証処理の結果に従う第1のレスポンスを返すこと(S403)が行われる。 In the first authentication phase, the first authentication request is transmitted to the service system 13 (S401), and the service system 13 performs the first authentication process in response to the first authentication request (S402). ), And returns a first response according to the result of the first authentication process (S403).
2段階目の認証フェーズでも、サービスシステム13へ第2の認証リクエストを送信することと(S451)、当該第2の認証リクエストに応答してサービスシステム13により第2の認証処理を行うこと(S452)、及び、第2の認証処理の結果に従うレスポンスを返すこと(S453)が行われる。 Also in the second authentication phase, the second authentication request is sent to the service system 13 (S451), and the service system 13 performs the second authentication process in response to the second authentication request (S452). ), And returns a response according to the result of the second authentication process (S453).
複数所有物認証の認証フェーズは、1段階目の認証フェーズと2段階目の認証フェーズのどちらでもよい。例えば、1段階目の認証フェーズにおいて複数所有物の認証が行われ、当該認証に成功した場合に、2段階目の認証フェーズにおいて、スマートフォン11及びPC12のいずれかからユーザID及びパスワードが関連付けられた第2の認証リクエストが送信されてもよい。或いは、例えば、1段階目の認証フェーズにおいてユーザID及びパスワードが関連付けられた第1の認証リクエストがサービスシステム13に送信されて当該パスワードの認証が行われ、当該認証に成功した場合に、2段階目の認証フェーズにおいて、複数所有物の認証が行われてよい。
また、2段階の認証フェーズは、次のように表現されてよい。すなわち、1段階目の認証フェーズは、サービスシステム13においてユーザ14に関しclosedの状態の認証シャッター(第2の認証リクエストの受け付けを制御するための論理的なシャッター)をopenの状態に変更するための認証フェーズでよい。2段階目の認証フェーズは、ユーザ14に関し認証シャッターの状態がopenの場合に当該ユーザ14について第2の認証リクエストを受け付ける認証フェーズでよい。認証シャッターの状態がopenになってから一定時間経過したら自動的に認証シャッターの状態はclosedとされてよい。認証シャッターの状態がclosedの場合、第2の認証リクエストの受け付けは不可である。
The authentication phase of the multiple property authentication may be either the first stage authentication phase or the second stage authentication phase. For example, when the authentication of a plurality of possessions is performed in the first stage authentication phase and the authentication is successful, the user ID and password are associated with either the smartphone 11 or the
Further, the two-stage authentication phase may be expressed as follows. That is, the first authentication phase is for changing the authentication shutter in the closed state (logical shutter for controlling the acceptance of the second authentication request) of the user 14 to the open state in the service system 13. The authentication phase is fine. The second authentication phase may be an authentication phase that accepts a second authentication request for the user 14 when the authentication shutter state is open for the user 14. The state of the authentication shutter may be automatically set to closed after a certain period of time has passed since the state of the authentication shutter was opened. When the authentication shutter status is closed, the second authentication request cannot be accepted.
また、必ずしも2段階の認証のような多段階認証が採用されなくてもよい。また、例えば、1段階目の認証フェーズにおける認証リクエストに、2段階目の認証フェーズでの認証処理において検証される情報も関連付けることで、2段階目の認証フェーズでの認証リクエストが不要とされてもよい。 In addition, multi-step authentication such as two-step authentication does not necessarily have to be adopted. Further, for example, by associating the authentication request in the first stage authentication phase with the information verified in the authentication process in the second stage authentication phase, the authentication request in the second stage authentication phase is not required. May be good.
本実施形態では、認証対象の複数所有物は、カード28とスマートフォン11である。サービスシステム13毎に、ユーザ14に対して発行された情報として、情報1と情報2のように、ユーザ14の所有物の数に応じた数の情報があり、各々の情報は、いずれかの所有物に保持される。本実施形態では、情報1を、カード28が持ち、情報2を、スマートフォン11が持つ。以下の説明において情報1として採用される情報は、情報1として採用されることに代えて情報2として採用されてもよく、同様に、以下の説明において情報2として採用される情報は、情報2として採用されることに代えて情報1として採用されてもよい(つまり、情報1と情報2が逆であってもよい)。ユーザ14に対して発行された複数の情報の秘密性が異なっている場合、秘密性の高い情報を、スマートフォン11に格納される情報2とし、秘密性の低い情報を、カード28が持つ情報1とすることが好ましい。
In the present embodiment, the plurality of possessions to be authenticated are the
情報1、情報2及び対象情報(認証リクエストに関連付けられる情報)として採用される情報は様々である。一例として、下記比較例1及び2がある。
・比較例1(図5参照):情報1が、ユーザの公開鍵証明書である。情報2が、当該公開鍵に対応する秘密鍵である。サービスシステム13からの受信情報が、何らかの情報である。対象情報が、情報1と、情報2で署名された受信情報である。認証処理では、情報1と署名との各々が検証される。
・比較例2(図6参照):情報1が、ユーザ証明書A(第1のユーザ証明書)である。情報2が、ユーザ証明書B(第2のユーザ証明書)である。対象情報が、情報1と情報2である。認証処理では、情報1と情報2との各々が検証される。
There are various types of information adopted as information 1, information 2, and target information (information associated with an authentication request). As an example, there are the following Comparative Examples 1 and 2.
Comparative Example 1 (see FIG. 5): Information 1 is a user's public key certificate. Information 2 is the private key corresponding to the public key. The information received from the service system 13 is some kind of information. The target information is the received information signed by the information 1 and the information 2. In the authentication process, each of the information 1 and the signature is verified.
Comparative Example 2 (see FIG. 6): Information 1 is a user certificate A (first user certificate). Information 2 is the user certificate B (second user certificate). The target information is information 1 and information 2. In the authentication process, each of the information 1 and the information 2 is verified.
比較例1に係る対象情報は、以下の(情報X)の一例である。比較例2に係る対象情報は、以下の(情報Y)である。
(情報X)情報1と情報2とのうちの一方の情報をサービスシステム13からの受信情報に対して用いることで生成された情報と、情報1と情報2とのうちの他方の情報。
(情報Y)情報1と情報2。
The target information according to Comparative Example 1 is an example of the following (Information X). The target information according to Comparative Example 2 is the following (information Y).
(Information X) Information generated by using one of the information 1 and the information 2 for the received information from the service system 13, and the other information of the information 1 and the information 2.
(Information Y) Information 1 and information 2.
比較例1及び比較例2のいずれでも、複数所有物認証それ自体は実現され、故に、ユーザ14の記憶情報を不要にすることが可能である。 In both Comparative Example 1 and Comparative Example 2, the multiple property authentication itself is realized, and therefore, it is possible to eliminate the need for the stored information of the user 14.
しかし、比較例1及び比較例2のいずれも、二つの所有物のいずれもが正しい所有物であろうという仮定の下、二つの所有物の各々についての情報が検証される。つまり、比較例1及び比較例2のいずれについても、対象情報が、所有物の数に応じた数の情報を含み、情報毎の検証が必要となる。 However, in both Comparative Example 1 and Comparative Example 2, information about each of the two possessions is verified under the assumption that both of the two possessions would be the correct possessions. That is, in both Comparative Example 1 and Comparative Example 2, the target information includes a number of information corresponding to the number of possessions, and verification for each information is required.
そこで、本実施形態では、下記の(情報Z)の一例としての情報が、対象情報として採用される。つまり、本実施形態では、二つの所有物のどちらも正しい所有物でないと得られない一つの情報を用いて生成された情報が対象情報とされ、当該対象情報について検証が行われればよい。このため、所有物が増えてもサービスシステム13による認証処理の処理負荷を増やさないようにすることができる。
(情報Z)情報1と情報2を用いて生成された情報をサービスシステム13からの受信情報に対する処理で用いることで生成された情報。
Therefore, in the present embodiment, the information as an example of the following (information Z) is adopted as the target information. That is, in the present embodiment, the information generated by using one piece of information that cannot be obtained unless both of the two possessions are the correct possessions is set as the target information, and the target information may be verified. Therefore, it is possible to prevent the processing load of the authentication process by the service system 13 from increasing even if the number of possessions increases.
(Information Z) Information generated by using information generated by using information 1 and information 2 in processing for information received from the service system 13.
具体的には、(情報Z)は、情報1及び情報2を用いて生成された情報を鍵として、サービスシステム13からの受信情報を暗号化又は復号する、或いは、サービスシステム13からの受信情報に電子署名を付与することで生成された情報でよい。サービスシステム13からの受信情報(例えば乱数r)は、認証リクエストがサービスシステム13に送信された後から(情報Z)が作成される前までの間の任意のタイミングにおいて認証アプリ201がサービスシステム13から受信した情報でよい。また、情報1及び情報2のいずれも、どのような情報でもよい。すなわち、情報1及び情報2のいずれも、(情報Z)を作成するために必要な任意の情報でよい。
Specifically, (information Z) encrypts or decrypts the received information from the service system 13 using the information generated by using the information 1 and the information 2 as a key, or the received information from the service system 13. The information generated by giving an electronic signature to the information may be used. As for the received information (for example, random number r) from the service system 13, the
図7は、ケース1に係る認証と種々の情報とを示す。 FIG. 7 shows the authentication according to Case 1 and various information.
ケース1によれば、情報2が、ck(ユーザ14の共通鍵)であり、情報1が、Encck(sk)(ckで暗号化されたsk(ユーザ14の秘密鍵))である。サービスシステム13からの受信情報が、r(サービスシステム13により生成された乱数)である。対象情報が、Encsk(r)(skで暗号化されたr)である。上述した(情報Z)によれば、認証アプリ201は対象情報を次のように生成する。すなわち、認証アプリ201は、情報1(Encck(sk))を情報2(ck)で復号することでskを生成し、rをskで暗号化することでEncsk(r)を生成する。サービスシステム13(ユーザ管理テーブル312)は、ユーザ毎に、ユーザIDの他に当該ユーザのskを保持している。サービスシステム13の認証処理部311が、認証リクエストに関連付いているユーザIDに対応したsk及びrをユーザ管理テーブル312から取得する。認証処理部311が、認証リクエストに関連付いているEncsk(r)を取得したskを用いてEncsk(r)からrを復号し、復号されたrを、テーブル312から取得されたrを用いて検証する。このように、所有物が複数でも、検証対象の情報は1つのrである。
According to Case 1, the information 2 is ck (common key of user 14), and the information 1 is Enc ck (sk) (sk encrypted by ck (private key of user 14)). The information received from the service system 13 is r (random number generated by the service system 13). The target information is Enc sk (r) (r encrypted with sk). According to the above-mentioned (information Z), the
図8は、ケース2に係る認証と種々の情報とを示す。 FIG. 8 shows the authentication according to Case 2 and various information.
ケース1との相違点は、認証アプリ201が、skを用いてrを暗号化することに代えて、skを用いた電子署名をrに付与する点と、サービスシステム13(ユーザ管理テーブル312)は、ユーザ毎に、skに代えてpk(ユーザ14の公開鍵)を保持している点である。このため、対象情報が、Signsk(r)(skを用いた電子署名付きのr)であり、認証処理部311が、認証リクエストに関連付いているSignsk(r)から、ユーザIDに対応したpkを用いてrを取得し、当該取得されたrを、テーブル312から取得されたrを用いて検証する。
The difference from Case 1 is that the
ケース1及びケース2は、いずれも、サービスシステム13の認証処理部311が、対象情報に対して処理を施すことで取得された情報を検証することの例である。
Both Case 1 and Case 2 are examples in which the
別の例として、サービスシステム13からの受信情報が、サービスシステム13により発行された情報の暗号化情報(サービスシステム13により発行された情報に対して何らかの処理が施された情報の一例)であり、認証アプリ201が、当該暗号化情報に対して復号処理を行ってもよい。当該別の例の具体例が、ケース3及びケース4である。
As another example, the information received from the service system 13 is encrypted information of the information issued by the service system 13 (an example of information in which some processing has been performed on the information issued by the service system 13). , The
図9は、ケース3に係る認証と種々の情報とを示す。 FIG. 9 shows the authentication according to Case 3 and various information.
ケース1との相違点は、サービスシステム13からの受信情報が、Encpk(r)(pkで暗号化されたr)である点と、サービスシステム13(ユーザ管理テーブル312)が、ユーザ毎に、skに代えてpkを保持している点である。このため、認証アプリ201が、情報1と情報2から得られたskを用いてEncpk(r)からrを復号し、当該復号されたrを、テーブル312から取得されたrを用いて検証する。すなわち、共通鍵暗号系の場合は、skで暗号化し、skで復号するが、公開鍵暗号系の場合は、pkで暗号化しskで復号する。pkは、秘密鍵skに対応する公開鍵である。 The difference from Case 1 is that the information received from the service system 13 is Enc pk (r) (r encrypted with pk), and the service system 13 (user management table 312) is for each user. , It holds pk instead of sk. Therefore, the authentication application 201 decodes r from Enc pk (r) using the sk obtained from information 1 and information 2, and verifies the decoded r using r obtained from table 312. do. That is, in the case of a common key cryptosystem, it is encrypted with sk and decrypted with sk, but in the case of a public key cryptosystem, it is encrypted with pk and decrypted with sk. pk is the public key corresponding to the private key sk.
図10は、ケース4に係る認証と種々の情報とを示す。 FIG. 10 shows the authentication according to Case 4 and various information.
ケース1との相違点は、サービスシステム13からの受信情報が、Encsk(r)(skで暗号化されたr)である点である。このため、認証アプリ201が、情報1と情報2から得られたskを用いてEncsk(r)からrを復号し、当該復号されたrを、テーブル312から取得されたrを用いて検証する。 The difference from Case 1 is that the information received from the service system 13 is Enc sk (r) (r encrypted with sk). Therefore, the authentication application 201 decodes r from Enc sk (r) using the sk obtained from the information 1 and the information 2, and verifies the decoded r using the r obtained from the table 312. do.
ケース3及びケース4のように、サービスシステム13からの受信情報が、サービスシステム13の情報が暗号化された情報であり、認証アプリ201は、情報1及び情報2を用いて生成された情報の一例であるskを用いて当該受信情報を復号できた場合に、認証リクエストを生成しサービスシステム13に送信してよい。言い換えれば、認証アプリ201は、情報1及び情報2を用いて生成されたskを用いて当該受信情報を復号できなかった場合、認証リクエストをサービスシステム13に送信しない(例えば、認証リクエストを生成しない)でよい。これにより、下記のうちの少なくとも一つが期待される。
・サービスシステム13へ無駄に認証リクエストが送信されないので、ネットワークの通信量を減る。
・復号が失敗した理由の一つとして、サービスシステム13が不正なサービスシステムであることが考えられるが、そのような不正なサービスシステムに情報を送信してしまうこと。
As in case 3 and case 4, the information received from the service system 13 is the information in which the information of the service system 13 is encrypted, and the
-Since the authentication request is not unnecessarily sent to the service system 13, the amount of network communication is reduced.
-One of the reasons why the decryption fails is that the service system 13 is an unauthorized service system, but information is transmitted to such an unauthorized service system.
また別の例として、情報1及び情報2から得られるskは、秘密分散法に従い用意されたsk1及びsk2(いずれもskの要素)から生成されてよい。このような例の具体例が、ケース5乃至ケース7である。 As another example, the sk obtained from the information 1 and the information 2 may be generated from the sk1 and the sk2 (both are elements of the sk) prepared according to the secret sharing method. Specific examples of such an example are Case 5 to Case 7.
図11は、ケース5に係る認証と種々の情報とを示す。図12は、ケース6に係る認証と種々の情報とを示す。図13は、ケース7に係る認証と種々の情報とを示す。 FIG. 11 shows the authentication according to Case 5 and various information. FIG. 12 shows the authentication according to Case 6 and various information. FIG. 13 shows the authentication according to Case 7 and various information.
ケース5乃至ケース7のケース1との相違点は、情報1及び情報2のペアが、下記のうちのいずれかである点である。いずれについても、情報1及び情報2からskが生成される。
・情報1がsk1であり、情報2がsk2である。
・情報1がEncck(sk1)(ckで暗号化されたsk1)であり、情報2が、ckとsk2とのセットである。
The difference from Case 1 of Cases 5 to 7 is that the pair of Information 1 and Information 2 is one of the following. In each case, sk is generated from information 1 and information 2.
-Information 1 is sk1 and information 2 is sk2.
-Information 1 is Enc ck (sk1) (sk1 encrypted with ck), and information 2 is a set of ck and sk2.
ケース1との他の相違点は、これまで説明したケース2〜4のいずれかと同様である。例えば、ケース5では、対象情報は、ケース2のようにSignsk(r)(サービスシステム13からの受信情報rに、skを用いた電子署名が付与された情報)でもよいし、それに代えて、Encsk(r)又はEncpk(r)が採用されてもよい。また、ケース6では、受信情報は、ケース4のようにEncsk(r)でもよい。また、ケース7では、受信情報は、ケース3のようにEncpk(r)でもよい。 Other differences from Case 1 are the same as any of Cases 2 to 4 described above. For example, in case 5, the target information may be Sign sk (r) (information received from the service system 13 with an electronic signature using sk) as in case 2, or instead. , Enc sk (r) or Enc pk (r) may be adopted. Further, in case 6, the received information may be Enc sk (r) as in case 4. Further, in case 7, the received information may be Enc pk (r) as in case 3.
以上、一実施形態を説明したが、これは本発明の説明のための例示であって、本発明の範囲をこの実施形態にのみ限定する趣旨ではない。本発明は、他の種々の形態でも実行することが可能である。 Although one embodiment has been described above, this is an example for explaining the present invention, and the scope of the present invention is not limited to this embodiment. The present invention can also be practiced in various other forms.
例えば、第1の所有物は、カード28に限らず任意の物が採用されてもよい。また、第1の所有物が有する情報1は、二次元バーコードに代えて又は加えて、他種の媒体(例えば、IC又は可搬型メモリ)から読み取られてもよい。また、情報1の読取方式としては、任意の方式が採用されてよい。
For example, the first property is not limited to the
また、例えば、第2の所有物は、スマートフォン11に限らず任意の情報処理端末が採用されてもよい。例えば、認証アプリ201は、スマートフォン11に代えて、PC12にインストールされてもよい。PC12にカメラやICカードリーダのような読取装置が接続され、当該読取装置を通じて、情報1及び情報2が読み取られてもよい。
Further, for example, the second property is not limited to the smartphone 11, and any information processing terminal may be adopted. For example, the
また、例えば、カード28が、サービスシステム13のワンタイムパスワードを表示してもよい。認証アプリ201が、情報1の他にカード28が表示しているワンタイムパスワードも読み取ってよい。例えば、ワンタイムパスワードの表示エリアと二次元バーコード27とがカード28の同一面にあり、認証アプリ201が、カメラの撮影画像から情報1とワンタイムパスワードを取得してもよい。認証アプリ201が、当該ワンタイムパスワードをサービスシステム13に送信してもよい(例えば、ユーザID及び対象情報の他に当該ワンタイムパスワードを認証リクエストに関連付けてもよい)。これにより、1段階目又は2段階目の認証フェーズにおいてユーザ14がワンタイムパスワードを手入力する必要が無い。また、なお、カード28に表示のワンタイムパスワードは、サービスシステム13との間で同期がとられていて一定時間毎に表示が変更されてもよいし、或いは、カード28に予め記述されている表(時期とワンタイムパスワードとの関係を表す表)であってもよい。また、ワンタイムパスワードは、所定回数(例えば1回)又は一定期間(例えば1分間)有効なパスワードでよい。ワンタイムパスワードの一般的な目的は、パスワード管理をシステム側が行うことであり、このため、通常、ユーザの手入力が必要となるが、この例では、カメラを通じてカード28の撮影画像から情報を読み取る複数所有物認証を利用して、ワンタイムパスワードの手入力を不要とすることができる。なお、サービスシステム13に送信されるワンタイムパスワードは、カード28から読み取られたワンタイムパスワードに代えて又は加えて、認証アプリ201又は別アプリから得られたワンタイムパスワードでもよい。
Further, for example, the
また、例えば、カード28が持つ二次元バーコード27が表す情報(第1の所有物から読み取られた情報の一例)と、案内用紙26が持つ二次元バーコード25が表す情報(第2の情報と共に読み取られた情報の一例)との少なくとも一方が、ユーザIDとサービスシステム13のURL(Uniform Resource Locator)とを含んでよい。認証アプリ201が、読み取られたURLにあるサービスシステム13に、読み取られたユーザIDが関連付けられた認証リクエストを送信してよい。これによれば、ユーザIDの手入力不要に、正しいサービスシステム13へ正しい認証リクエストを送信することを自動で行うことが期待できる。
Further, for example, the information represented by the two-
また、例えば、スマートフォン11は、生体認証によりユーザ14によるユーザ操作を許可してよい。認証アプリ201は、認証リクエストの送信先のサービスシステム13に、ユーザ14の生体認証が行われたことを表す情報を通知してよい(例えば、当該情報を認証リクエストに関連付けてよい)。
Further, for example, the smartphone 11 may allow the user operation by the user 14 by biometric authentication. The
また、例えば、カード28が持つ二次元バーコード27から情報を読み取ることは、サービスシステム13に接続する都度に行われてもよいし、一度生成された対象情報を認証アプリ201が保持していて以後の接続(例えば、以後一定期間内での接続)では読み取りが不要とされてもよい。
Further, for example, reading the information from the two-
また、例えば、スマートフォン11の機種変更が行われた場合、図2に例示の準備処理が機種変更後のスマートフォン11を用いて行われてもよいが、そのような準備処理を不要にすることができる。具体的には、例えば、カード28が持つ情報を「A」とした場合、カード28は、pk=f(A, r)となるAを持つ。pkは、情報1及び情報2から得られるsk(秘密鍵)に対応する公開鍵(又は公開鍵証明書)である。rは、乱数であり、サービスシステム13(ユーザ管理テーブル312)がユーザ毎に持つ。fは、関数であり、例えば排他的論理和である。スマートフォン11の機種変更(特に、機種変更前のスマートフォンからデータを引き継げない機種変更)が行われる場合、pk’(新しい公開鍵(又は公開鍵証明書))とsk’(新しい秘密鍵)に対してf(A, r’)=pk’となるr’(新しい乱数)をサービスシステム13(ユーザ管理テーブル312)がrの代わりに持つ。
Further, for example, when the model of the smartphone 11 is changed, the preparatory process illustrated in FIG. 2 may be performed using the smartphone 11 after the model change, but such a preparatory process may be unnecessary. can. Specifically, for example, when the information held by the
また、例えば、サービスシステム13(ユーザ管理テーブル312)が、ユーザ毎に、最新の(有効な)カードID(例えば製造番号)又は古い(無効な)カードIDを保持してもよい。認証アプリ201がカード28の二次元バーコード27から読み取った情報は、当該カード28のカードIDを含んでよく、認証アプリ201は、認証リクエストに、当該カードIDも関連付けてよい。サービスシステム13の認証処理部311は、認証リクエストに関連付いているカードIDが、最新のカードIDではない場合(或いは、古いカードIDに該当する場合)、認証が失敗したと判定してよい。なお、サービスシステム13(ユーザ管理テーブル312)は、更に、カード28の発行回数を、ユーザ毎に保持してもよい。
また、例えば、ユーザに割り当てられている所有物の個数を「N」とし、複数所有物認証にパスするために(認証が成功となるために)必要な所有物の個数を「T」とした場合、必ずしも、N=Tである必要は無い。準備処理やその後の所有物追加等により、N個の所有物が1人のユーザ14に割り当てられ、ユーザ14の複数所有物の認証は、N個の所有物のうちのT個の所有物の認証でよい(Tは、2以上の整数、且つ、T≦N)。つまり、ここで、「複数所有物」とは、N個の所有物のうちのT個の所有物を意味してよい。
Further, for example, the service system 13 (user management table 312) may hold the latest (valid) card ID (for example, serial number) or old (invalid) card ID for each user. The information read from the two-
Further, for example, the number of possessions assigned to the user is set to "N", and the number of possessions required to pass the multiple property authentication (for the authentication to be successful) is set to "T". In this case, it is not always necessary that N = T. N possessions are assigned to one user 14 due to the preparatory process and the subsequent addition of possessions, and the authentication of the multiple possessions of the user 14 is performed by T possessions out of the N possessions. Authentication may be performed (T is an integer of 2 or more and T ≦ N). That is, here, the "plurality of possessions" may mean T possessions out of N possessions.
11:スマートフォン、13:サービスシステム、28:カード 11: Smartphone, 13: Service system, 28: Card
Claims (8)
前記複数所有物のうち情報処理端末である第2の所有物にインストールされるアプリと
を備え、
前記ユーザに発行された第2の情報が前記第2の所有物に格納され、
前記アプリが、
前記第1の所有物から前記第1の情報を読み取り、
前記読み取られた第1の情報と前記格納されている第2の情報とを含む、前記複数所有物がそれぞれ持つ複数の情報を用いて、情報を生成し、
サービスシステムから受信した情報である受信情報に対する処理で前記生成された情報を用いることで、前記サービスシステムによる認証処理において検証される情報である対象情報を生成し、
前記対象情報が関連付けられた認証リクエストを前記サービスシステムに送信する、
認証リクエストシステム。 The first property issued to the user with the first information among the multiple property of the user, and
It is equipped with an application installed in the second property, which is an information processing terminal, among the plurality of possessions.
The second information issued to the user is stored in the second property.
The app
Reading the first information from the first property,
Information is generated using a plurality of pieces of information each of the plurality of possessions, including the read first information and the stored second information.
By using the generated information in the processing for the received information which is the information received from the service system, the target information which is the information to be verified in the authentication process by the service system is generated.
Send an authentication request with the target information to the service system.
Authentication request system.
請求項1に記載の認証リクエストシステム。 The target information is information generated by encrypting or decrypting the received information or giving an electronic signature to the received information by using the information generated by using the plurality of information as a key.
The authentication request system according to claim 1.
前記アプリは、前記複数の情報を用いて生成された情報を鍵として前記受信情報を復号できなかった場合、前記認証リクエストを前記サービスシステムに送信しない、
請求項2に記載の認証リクエストシステム。 The received information is information in which the information of the service system is encrypted.
If the received information cannot be decrypted using the information generated by using the plurality of information as a key, the application does not send the authentication request to the service system.
The authentication request system according to claim 2.
前記アプリが、前記第1の情報の他に前記第1の所有物が表示しているワンタイムパスワードも読み取り、
前記アプリが、前記ワンタイムパスワードを前記サービスシステムに送信する、
請求項1乃至3のうちのいずれか1項に記載の認証リクエストシステム。 The first property displays the one-time password for the service system and
In addition to the first information, the application also reads the one-time password displayed by the first property.
The app sends the one-time password to the service system.
The authentication request system according to any one of claims 1 to 3.
前記アプリが、読み取られたURLにある前記サービスシステムに、読み取られたユーザIDが関連付けられた前記認証リクエストを送信する、
請求項1乃至4のうちのいずれか1項に記載の認証リクエストシステム。 At least one of the information read from the first property and the information read together with the second information includes a user ID and a URL (Uniform Resource Locator) of the service system.
The application sends the authentication request associated with the read user ID to the service system at the read URL.
The authentication request system according to any one of claims 1 to 4.
サービスシステム毎に、第2の情報に加えて、当該サービスシステムの名称を表す情報が、前記第2の所有物に格納され、
前記アプリが、サービスシステムの名称の一覧を表示する、
請求項1乃至5のうちのいずれか1項に記載の認証リクエストシステム。 The first property and the second information exist for each service system,
For each service system, in addition to the second information, information representing the name of the service system is stored in the second property.
The app displays a list of service system names.
The authentication request system according to any one of claims 1 to 5.
前記ユーザに発行された第2の情報を前記第2の所有物に格納し、
前記第1の所有物から前記第1の情報を読み取り、
前記読み取られた第1の情報と前記格納されている第2の情報とを含む、前記ユーザの複数所有物がそれぞれ持つ複数の情報を用いて、情報を生成し、
サービスシステムから受信した情報である受信情報に対する処理で前記生成された情報を用いることで、前記サービスシステムによる認証処理において検証される情報である対象情報を生成し、
前記対象情報が関連付けられた認証リクエストを前記サービスシステムに送信する、
ことを実行させるコンピュータプログラム。 To the second property, which is the information processing terminal of the user to whom the first property has the first information is issued,
The second information issued to the user is stored in the second property, and the second information is stored in the second property.
Reading the first information from the first property,
Information is generated by using a plurality of information possessed by each of the plurality of possessions of the user, including the read first information and the stored second information.
By using the generated information in the processing for the received information which is the information received from the service system, the target information which is the information to be verified in the authentication process by the service system is generated.
Send an authentication request with the target information to the service system.
A computer program that lets you do things.
前記ユーザに発行された第2の情報を前記第2の所有物に格納し、
前記第1の所有物から前記第1の情報を読み取り、
前記読み取られた第1の情報と前記格納されている第2の情報とを含む、前記ユーザの複数所有物がそれぞれ持つ複数の情報を用いて、情報を生成し、
サービスシステムから受信した情報である受信情報に対する処理で前記生成された情報を用いることで、前記サービスシステムによる認証処理において検証される情報である対象情報を生成し、
前記対象情報が関連付けられた認証リクエストを前記サービスシステムに送信する、
認証リクエスト方法。 When the computer program is executed on the second property, which is the information processing terminal of the user to whom the first property has the first information is issued, the computer program is executed.
The second information issued to the user is stored in the second property, and the second information is stored in the second property.
Reading the first information from the first property,
Information is generated by using a plurality of information possessed by each of the plurality of possessions of the user, including the read first information and the stored second information.
By using the generated information in the processing for the received information which is the information received from the service system, the target information which is the information to be verified in the authentication process by the service system is generated.
Send an authentication request with the target information to the service system.
Authentication request method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020004333A JP6760631B1 (en) | 2019-12-28 | 2020-01-15 | Authentication request system and authentication request method |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019239959 | 2019-12-28 | ||
JP2020004333A JP6760631B1 (en) | 2019-12-28 | 2020-01-15 | Authentication request system and authentication request method |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019239959 Division | 2019-12-28 | 2019-12-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6760631B1 JP6760631B1 (en) | 2020-09-23 |
JP2021108088A true JP2021108088A (en) | 2021-07-29 |
Family
ID=72517845
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020004333A Active JP6760631B1 (en) | 2019-12-28 | 2020-01-15 | Authentication request system and authentication request method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6760631B1 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7190081B1 (en) * | 2021-05-25 | 2022-12-14 | 楽天グループ株式会社 | Authentication system, authentication method, and program |
JP7285295B2 (en) * | 2021-10-29 | 2023-06-01 | 楽天グループ株式会社 | Service providing system, service providing method, and program |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002063138A (en) * | 2000-08-23 | 2002-02-28 | Nippon Telegr & Teleph Corp <Ntt> | Internet-connecting device, internet-connecting method and recording medium with internet-connection program recorded |
JP2002269045A (en) * | 2001-03-13 | 2002-09-20 | Tietech Co Ltd | Method and device for identification |
JP2002351845A (en) * | 2001-05-24 | 2002-12-06 | Yutaka Hokura | Electronic information protection system in communication terminal device |
JP2004234632A (en) * | 2003-01-06 | 2004-08-19 | Sony Corp | System, server, method, and program for authentication, terminal, method and program for requiring authentication, and storage medium |
JP2005208841A (en) * | 2004-01-21 | 2005-08-04 | Ntt Data Corp | Communication system, portable terminal and program |
JP2006107316A (en) * | 2004-10-08 | 2006-04-20 | Kunihiko Kachi | Authentication system and authentication method |
-
2020
- 2020-01-15 JP JP2020004333A patent/JP6760631B1/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002063138A (en) * | 2000-08-23 | 2002-02-28 | Nippon Telegr & Teleph Corp <Ntt> | Internet-connecting device, internet-connecting method and recording medium with internet-connection program recorded |
JP2002269045A (en) * | 2001-03-13 | 2002-09-20 | Tietech Co Ltd | Method and device for identification |
JP2002351845A (en) * | 2001-05-24 | 2002-12-06 | Yutaka Hokura | Electronic information protection system in communication terminal device |
JP2004234632A (en) * | 2003-01-06 | 2004-08-19 | Sony Corp | System, server, method, and program for authentication, terminal, method and program for requiring authentication, and storage medium |
JP2005208841A (en) * | 2004-01-21 | 2005-08-04 | Ntt Data Corp | Communication system, portable terminal and program |
JP2006107316A (en) * | 2004-10-08 | 2006-04-20 | Kunihiko Kachi | Authentication system and authentication method |
Also Published As
Publication number | Publication date |
---|---|
JP6760631B1 (en) | 2020-09-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11777726B2 (en) | Methods and systems for recovering data using dynamic passwords | |
US11323272B2 (en) | Electronic identification verification methods and systems with storage of certification records to a side chain | |
US11082221B2 (en) | Methods and systems for creating and recovering accounts using dynamic passwords | |
CN109951489B (en) | Digital identity authentication method, equipment, device, system and storage medium | |
US9967261B2 (en) | Method and system for secure authentication | |
JP5802137B2 (en) | Centralized authentication system and method with secure private data storage | |
KR101863953B1 (en) | System and method for providing electronic signature service | |
US9166796B2 (en) | Secure biometric cloud storage system | |
CN111034120B (en) | Encryption key management based on identity information | |
WO2018145127A1 (en) | Electronic identification verification methods and systems with storage of certification records to a side chain | |
JP7412725B2 (en) | Authentication method and authentication device | |
TWI529641B (en) | System for verifying data displayed dynamically by mobile and method thereof | |
CN111160909B (en) | Hidden static supervision system and method for blockchain supply chain transaction | |
US20220005039A1 (en) | Delegation method and delegation request managing method | |
KR20160085143A (en) | Method for providing anonymous service and method for managing user information and system therefor | |
JP6760631B1 (en) | Authentication request system and authentication request method | |
JP6712707B2 (en) | Server system and method for controlling a plurality of service systems | |
JP6994209B1 (en) | Authentication system and authentication method | |
TWI677842B (en) | System for assisting a financial card holder in setting password for the first time and method thereof | |
US20200204377A1 (en) | Digital notarization station that uses a biometric identification service | |
WO2024014017A1 (en) | Message presentation system, presentation device, and message presentation method | |
US20240005820A1 (en) | Content encryption and in-place decryption using visually encoded ciphertext | |
TWI679603B (en) | System for assisting a financial card holder in setting password for the first time and method thereof | |
CN117837125A (en) | Data management system | |
CN117280652A (en) | Data management system, data management method, and non-transitory recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200116 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20200116 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20200303 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200317 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200513 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200804 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200828 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6760631 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |