JP4914725B2 - Authentication system, authentication program - Google Patents

Authentication system, authentication program Download PDF

Info

Publication number
JP4914725B2
JP4914725B2 JP2007001684A JP2007001684A JP4914725B2 JP 4914725 B2 JP4914725 B2 JP 4914725B2 JP 2007001684 A JP2007001684 A JP 2007001684A JP 2007001684 A JP2007001684 A JP 2007001684A JP 4914725 B2 JP4914725 B2 JP 4914725B2
Authority
JP
Japan
Prior art keywords
terminal
url
authentication
access
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007001684A
Other languages
Japanese (ja)
Other versions
JP2008171087A (en
Inventor
竜哉 岸浪
貴啓 井上
Original Assignee
株式会社タイトー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社タイトー filed Critical 株式会社タイトー
Priority to JP2007001684A priority Critical patent/JP4914725B2/en
Publication of JP2008171087A publication Critical patent/JP2008171087A/en
Application granted granted Critical
Publication of JP4914725B2 publication Critical patent/JP4914725B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、Webサーバの認証に好適な認証システム、及び認証プログラムに関する。   The present invention relates to an authentication system suitable for Web server authentication and an authentication program.

一般に、ネットワークを介してサーバにログインする場合、セキュリティを確保するために、ユーザIDやパスワードを用いた認証方法が広く用いられている。例えば、インターネットを通じてサーバから提供されるサービスを利用する場合、このサーバが提供するログイン画面において、予め設定されているユーザID及びパスワードを入力し、認証された場合にサービスを提供する画面へのアクセスが許可される。   In general, when logging in to a server via a network, an authentication method using a user ID or a password is widely used to ensure security. For example, when using a service provided from a server via the Internet, a user ID and password set in advance are entered on a login screen provided by this server, and access to a screen providing a service when authenticated Is allowed.

ところが、従来のユーザIDとパスワードによる固定パスワードを用いた認証方法では、ユーザIDやパスワードがパケットスニッファリング(パケット盗聴)などによって悪意をもった第3者に盗まれて悪用されてしまう可能性があった。そこで、近年では、固定パスワードから1回限りの使い捨てのパスワード、いわゆるワンタイムパスワードによる認証方法も使われるようになっている。   However, in the conventional authentication method using a fixed password using a user ID and password, there is a possibility that the user ID or password is stolen by a malicious third party by packet sniffing (packet eavesdropping) or the like and misused. there were. Therefore, in recent years, an authentication method using a so-called one-time password from a fixed password to a one-time disposable password has been used.

ワンタイムパスワードを用いた認証方法では、アクセスの度にパスワードが変わるので、第3者がパスワードを推測することができず、またパケットスニッファリング等によってアクセス時にパスワードが盗まれたとしても悪用され難い。   In the authentication method using a one-time password, the password changes each time it is accessed, so a third party cannot guess the password, and even if the password is stolen during access by packet sniffing etc., it is difficult to be abused. .

ワンタイムパスワードを用いた認証方法には、例えば時間同期方式(タイムスタンプ方式)がある。タイムスタンプ方式では、利用者(認証される側)にトークンと呼ばれるパスワード生成手段が提供される。トークンは、キーホルダー型やカード型に構成されたパスワード生成装置(ハードウェアトークン)、あるいはパーソナルコンピュータや携帯電話機などの機器にインストールされるプログラム(ソフトウェアトークン)によって実現される。   As an authentication method using a one-time password, for example, there is a time synchronization method (time stamp method). In the time stamp system, a user (authenticated side) is provided with password generation means called a token. The token is realized by a password generation device (hardware token) configured in a key holder type or a card type, or a program (software token) installed in a device such as a personal computer or a mobile phone.

トークンは、一定の時間ごとに異なる例えば6桁の数字(パスワード)を表示させる。利用者は、トークンから得られたパスワードと、利用者固有のPIN(Personal Identification Number)コードを組み合わせてワンタイムパスワードとして使う。認証サーバは、各利用者に提供されたそれぞれのトークンが生成するパスワードを把握しており、トークンとの時刻を同期させておくことで、毎回入力されるパスワードが異なっても正しく認証できるようになっている。   The token displays, for example, a six-digit number (password) that changes every certain time. The user uses a password obtained from the token and a PIN (Personal Identification Number) code unique to the user as a one-time password. The authentication server knows the password generated by each token provided to each user, and by synchronizing the time with the token, it can authenticate correctly even if the password entered every time is different It has become.

また従来では、ワンタイムパスワードを用いる認証方法として、インターネット接続可能な携帯電話の個人特性を有効に利用し、それに基づいた携帯情報端末の認証及びセキュリティを担保する個人認証システムが考えられている(特許文献1参照)。   Conventionally, as an authentication method using a one-time password, a personal authentication system that effectively uses the personal characteristics of a mobile phone that can be connected to the Internet and ensures the authentication and security of a portable information terminal based on the personal characteristics is considered ( Patent Document 1).

特許文献1に記載された個人認証システムでは、予め配布されたユーザIDとパスワードを携帯電話から入力することで認証サーバが個人認証を行い、認証が正規である場合に、認証サーバからEメールで携帯電話にワンタイムパスワードを発行する。携帯電話によりワンタイムパスワードを取得したユーザは、ワンタイムパスワードを情報携帯端末に入力することで再度認証を行う。そして、認証がされた場合に、認証サーバからワンタイムURLが情報携帯端末に発行される。情報携帯端末からはワンタイムURLによって専用ページにアクセスすることができる。
特開2004−240806号公報
In the personal authentication system described in Patent Document 1, an authentication server performs personal authentication by inputting a user ID and a password distributed in advance from a mobile phone. Issue a one-time password to the mobile phone. A user who has acquired a one-time password using a mobile phone performs authentication again by inputting the one-time password into the information portable terminal. When authentication is performed, a one-time URL is issued from the authentication server to the portable information terminal. A dedicated page can be accessed from a portable information terminal by a one-time URL.
JP 2004-240806 A

このようにトークンを用いた認証方法では、認証が必要となるサーバ(アクセス先)のそれぞれに対応するトークンが必要となる。従って、ユーザは、認証が必要なサーバの数と同数のトークンを所持していなければならなかった。ハードウェアトークンでは、携行するのに不便であったり、ログインするサーバに応じて機器へ装着を切り替える必要があるなど取り扱いが不便であった。また、ソフトウェアトークンは、プログラムとして提供されるため、使用する機器によっては携行が不便となることはない。しかしながら、複数のソフトウェアトークンをそれぞれの機器にインストールする必要があり、またログインしようとするサーバに応じて使い分ける必要があった。また、トークンを用いた認証方法では、少なくともトークンにより生成されたパスワードとPINコードとを入力する手間が必要であり、またPINコードをユーザが記憶しておかなければならなかった。また、パスワードとPINコードとを入力するための入力手段が設けられた機器でしか利用することができなかった。   Thus, in the authentication method using a token, a token corresponding to each server (access destination) that requires authentication is required. Thus, the user had to have as many tokens as there are servers that need to be authenticated. Hardware tokens are inconvenient to carry, such as being inconvenient or needing to be switched to a device depending on the server that logs in. Also, since the software token is provided as a program, it is not inconvenient to carry depending on the device used. However, it is necessary to install a plurality of software tokens on each device, and it is necessary to use them according to the server to which the login is made. In the authentication method using a token, it is necessary to input at least a password generated by the token and a PIN code, and the user has to store the PIN code. In addition, it can only be used in a device provided with an input means for inputting a password and a PIN code.

また特許文献1に記載された個人認証システムでは、携帯電話からユーザIDとパスワードを入力して、Eメールによってワンタイムパスワードを受信し、このワンタイムパスワードを情報携帯端末から入力してアクセスし、さらに認証サーバから取得したワンタイムURLによってアクセスするといった、非常に手間のかかる操作が必要となっていた。また、Eメールによってワンタイムパスワードを受信する必要があるため、Eメールを受信するまでは認証手続きを進めることができなかった。また、一般のEメールと同様にして受信されるため、メールを開封してメール内容(ワンタイムパスワード)を確認する作業が必要となっていた。   In the personal authentication system described in Patent Document 1, a user ID and a password are input from a mobile phone, a one-time password is received by e-mail, and the one-time password is input from an information portable terminal for access. Furthermore, a very time-consuming operation such as access using a one-time URL acquired from the authentication server is required. Also, since it is necessary to receive a one-time password by e-mail, the authentication procedure could not proceed until the e-mail was received. In addition, since it is received in the same manner as general e-mail, it is necessary to open the mail and confirm the mail content (one-time password).

本発明は前述した事情に考慮してなされたもので、その目的は、利用者の負担を軽減したワンタイムパスワード方式による認証を可能とする認証システム、認証プログラムを提供することにある。   The present invention has been made in view of the above-described circumstances, and an object of the present invention is to provide an authentication system and an authentication program that enable authentication by a one-time password method that reduces the burden on the user.

本発明は、ネットワークを介して第1の端末(例えば、パーソナルコンピュータ)に対して識別データの入力を要求するログイン要求出力手段と、携帯通信ネットワーク(例えば、携帯電話機会社別の電話網)を介してアクセスしてきた第2の端末(例えば、携帯電話機等)が予め登録されているかを、前記第2の端末のアクセスにより取得される環境変数に含まれる、前記携帯通信ネットワークにおいて付加されたデータをもとに確認する端末確認手段と、前記端末確認手段により登録されていることが確認された場合に、当該アクセスに対して固有のURL(uniform resource locator)を生成するURL生成手段と、前記URL生成手段により生成された前記URLを前記第2の端末に通知する通知手段と、前記URLによる前記第2の端末からのアクセスを判別するアクセス判別手段と、前記URLにより前記第2の端末からアクセスされたことが判別された場合に、前記ログイン要求出力手段による要求に対して前記第1の端末から入力された前記識別データに対する認証を行う認証手段とを具備したことを特徴とする。 The present invention provides a login request output means for requesting input of identification data to a first terminal (for example, a personal computer) via a network, and a mobile communication network (for example, a telephone network for each mobile phone company). Whether the second terminal (for example, a mobile phone) that has been accessed in advance is registered in advance, the data added in the mobile communication network included in the environment variable acquired by accessing the second terminal a terminal confirmation means for confirming the original, if it is confirmed to be registered by the terminal confirmation means, a URL generation unit configured to generate a unique URL (uniform resource locator) relative to the access, the URL a notification unit that notifies the URL generated by the generating means to the second terminal, or the by the URL second terminal An access determination means for determining the access, when said it was accessed from the second terminal is determined by the URL, the input from the first terminal to the request by the login request output means And authentication means for authenticating the identification data.

本発明によれば、利用者の負担を軽減したワンタイムパスワードを用いた認証が可能となる。   ADVANTAGE OF THE INVENTION According to this invention, the authentication using the one time password which reduced the user's burden is attained.

以下、図面を参照して本発明の実施の形態について説明する。
図1は、本実施形態におけるネットワークシステムの構成を示すブロック図である。図1に示すネットワークシステムは、各種ネットワークサービスを提供するWebサーバ10がインターネット12を介して、パーソナルコンピュータ14等の通信機能を有する各種の情報機器と接続される。Webサーバ10は、予め登録されたユーザに対してネットワークサービスを提供するために、ログイン要求してきたユーザ(情報機器)についての認証処理を実行する。Webサーバ10には、認証処理を実行するための認証システムが設けられている。
Embodiments of the present invention will be described below with reference to the drawings.
FIG. 1 is a block diagram showing a configuration of a network system in the present embodiment. In the network system shown in FIG. 1, a Web server 10 that provides various network services is connected to various information devices having a communication function such as a personal computer 14 via the Internet 12. The Web server 10 executes an authentication process for a user (information device) that has requested login in order to provide a network service to a user registered in advance. The Web server 10 is provided with an authentication system for executing authentication processing.

インターネット12には、プロキシサーバ16を介して携帯通信ネットワーク18が接続される。携帯通信ネットワーク18は、例えば携帯電話機会社専用の電話通信網であり、携帯電話機会社に登録されている携帯端末19(携帯電話機)が接続される。図示していないが、携帯端末19は、携帯通信ネットワーク18と接続された基地局との間で無線通信を行う。携帯端末19がインターネット12上のWebサーバ10等にアクセスする場合には、携帯通信ネットワーク18、プロキシサーバ16、インターネット12を介して接続される。なお、図1では、1つの携帯通信ネットワーク18のみを示しているが、携帯電話機会社毎の複数の携帯通信ネットワークが、それぞれプロキシサーバを介してインターネット12と接続される。すなわち、携帯端末19は、それぞれの携帯電話機会社に固有の携帯通信ネットワークを介してインターネット12と接続され、インターネット12上のWebサーバ10にアクセスする。   A mobile communication network 18 is connected to the Internet 12 via a proxy server 16. The mobile communication network 18 is a telephone communication network dedicated to a mobile phone company, for example, and is connected to a mobile terminal 19 (mobile phone) registered with the mobile phone company. Although not shown, the mobile terminal 19 performs wireless communication with a base station connected to the mobile communication network 18. When the mobile terminal 19 accesses the Web server 10 or the like on the Internet 12, the mobile terminal 19 is connected via the mobile communication network 18, the proxy server 16, and the Internet 12. In FIG. 1, only one mobile communication network 18 is shown, but a plurality of mobile communication networks for each mobile phone company are connected to the Internet 12 via proxy servers. That is, the mobile terminal 19 is connected to the Internet 12 via a mobile communication network unique to each mobile phone company, and accesses the Web server 10 on the Internet 12.

携帯端末19は、例えば携帯電話機であり、通常の音声通話のための機能の他に、インターネット12に接続する機能が設けられている。携帯端末19には、個々に割り当てられた電話番号の他に、端末に固有の識別データ(例えばサブスクライバIDなど)が設定され、内蔵されたメモリに記憶されている。この識別データは、ネットワークサービスを利用する際に、サービスの提供元であるサーバなどに参照される。なお、図1では、携帯端末19として携帯電話機を例にして説明しているが、携帯電話機以外の各種の端末に適用することができる。例えば、ゲーム機、カーナビゲーション装置、PC、PDA(personal digital assistant)などであっても良い。ただし、それぞれの端末には、端末に固有の識別データが決められており、例えば内蔵されたメモリに記憶されているものとする。以下、端末に固有の識別データを端末IDとして説明する。   The mobile terminal 19 is a mobile phone, for example, and is provided with a function for connecting to the Internet 12 in addition to a function for a normal voice call. In the mobile terminal 19, in addition to the individually assigned telephone number, identification data (for example, a subscriber ID) unique to the terminal is set and stored in a built-in memory. This identification data is referred to by a server or the like as a service provider when using a network service. In FIG. 1, a mobile phone is described as an example of the mobile terminal 19, but the present invention can be applied to various terminals other than the mobile phone. For example, a game machine, a car navigation device, a PC, a PDA (personal digital assistant), or the like may be used. However, it is assumed that identification data unique to each terminal is determined for each terminal and stored in, for example, a built-in memory. Hereinafter, the identification data unique to the terminal will be described as the terminal ID.

図2は、Webサーバ10に設けられる認証システムの機能構成を示すブロック図である。認証システムは、Webサーバ10において認証プログラムを実行することにより実現される。   FIG. 2 is a block diagram illustrating a functional configuration of the authentication system provided in the Web server 10. The authentication system is realized by executing an authentication program in the Web server 10.

図2に示すように、認証システムには、認証部20、及び認証データベース22が設けられる。   As shown in FIG. 2, the authentication system includes an authentication unit 20 and an authentication database 22.

認証部20は、ネットワークを介してログイン要求してきた情報機器(パーソナルコンピュータ14等)に対する認証処理を実行するもので、携帯端末チェック部30、開錠トークン生成部31、開錠ボタン設定部32、開錠ボタンアクセス判別部33、ユーザIDチェック部34、開錠トークンチェック部35とを含んでいる。   The authentication unit 20 executes an authentication process for an information device (personal computer 14 or the like) that has made a login request via a network, and includes a mobile terminal check unit 30, an unlock token generation unit 31, an unlock button setting unit 32, An unlock button access determination unit 33, a user ID check unit 34, and an unlock token check unit 35 are included.

認証部20は、インターネット12を通じて、ネットワークサービスを提供するためのWebページを公開している。認証部20は、Webサーバ10が提供するネットワークサービスを利用するためにアクセスしてきたパーソナルコンピュータ14などに対して、認証処理を実行するためのログインページを提供する。認証部20は、このログインページを通じて入力される識別データ(例えばユーザID)と、予め登録された携帯端末19からのアクセスに基づいて、ネットワークサービスを提供すべきユーザ(携帯端末19)であるかを判別するための認証処理を実行する。   The authentication unit 20 publishes a web page for providing a network service through the Internet 12. The authentication unit 20 provides a login page for executing authentication processing to the personal computer 14 or the like that has been accessed to use the network service provided by the Web server 10. Whether the authentication unit 20 is a user (mobile terminal 19) who should provide a network service based on identification data (for example, a user ID) input through the login page and access from the mobile terminal 19 registered in advance. An authentication process is performed to discriminate.

携帯端末チェック部30(端末確認手段)は、ネットワークを介してアクセスしてきた携帯端末19が、特定の携帯通信ネットワーク18を通じてインターネット12に接続される予め登録されている端末機器であるかを判別する。具体的には、携帯電話会社別の携帯通信ネットワーク18を通じてアクセスすることによって得られる環境変数に含まれるデータをもとに、携帯端末19が予め登録されているかを確認する。携帯端末チェック部30は、環境変数に含まれる少なくとも携帯通信ネットワーク18に固有のデータの他、その他のデータとの組み合わせによって端末機器を判別することができる。   The portable terminal check unit 30 (terminal confirmation unit) determines whether the portable terminal 19 accessed via the network is a pre-registered terminal device connected to the Internet 12 via a specific portable communication network 18. . Specifically, it is confirmed whether or not the mobile terminal 19 is registered in advance based on data included in environment variables obtained by accessing through the mobile communication network 18 of each mobile phone company. The mobile terminal check unit 30 can determine the terminal device based on a combination with at least data unique to the mobile communication network 18 included in the environment variable and other data.

開錠トークン生成部31(URL生成手段)は、携帯端末チェック部30によってアクセスしてきた携帯端末19が予め登録されていることが確認された場合に、トークン認証におけるトークンに相当するデータ(開錠トークン)を生成する。ここでは、開錠トークンとしてURL(uniform resource locator)を生成する。開錠トークン生成部31は、携帯端末19からのアクセス(認証要求)に対して、1度限りの開錠トークン(URL)、いわゆるワンタイムパスワードを作成する。例えば、開錠トークン生成部31は、携帯端末19がアクセスしてきた時刻のデータ、及び予め登録されている携帯端末19に固有のデータを利用することで、毎回、異なる1度限りのURLを生成する。   The unlock token generation unit 31 (URL generation means), when the mobile terminal check unit 30 confirms that the accessed mobile terminal 19 is registered in advance, the data corresponding to the token in token authentication (unlocking) Token). Here, a URL (uniform resource locator) is generated as an unlock token. The unlock token generation unit 31 creates a one-time unlock token (URL), a so-called one-time password, for access (authentication request) from the mobile terminal 19. For example, the unlock token generation unit 31 generates a different one-time URL each time by using data of the time when the mobile terminal 19 has accessed and data specific to the mobile terminal 19 registered in advance. To do.

開錠ボタン設定部32(開錠ボタン設定手段)は、開錠トークン生成部31によって生成された開錠トークン(URL)がリンク先に設定された開錠ボタンを表示させるためのWebページを生成し、このWebページ(以下、開錠ボタンページと称する)を携帯端末19のディスプレイにおいて表示させる。   The unlock button setting unit 32 (unlock button setting means) generates a Web page for displaying the unlock button in which the unlock token (URL) generated by the unlock token generating unit 31 is set as the link destination. Then, this web page (hereinafter referred to as an unlock button page) is displayed on the display of the portable terminal 19.

開錠ボタンアクセス判別部33(アクセス判別手段)は、開錠ボタン設定部32によって携帯端末19のディスプレイに表示された開錠ボタンページに対するユーザ操作に応じた、開錠ボタンに設定されたURLによる携帯端末19からのアクセスを判別する。開錠ボタンアクセス判別部33は、開錠ボタンに設定されたURLによるアクセスであることが判別された場合に、アクセス確認フラグ記憶部42にアクセス確認フラグを設定する。開錠ボタンに対しては、1度限りのURL(開錠トークン(ワンタイムパスワード))が設定されているので、アクセスしてきたURLによって何れの携帯端末19からのアクセスであるかを判別することができる。また、1度限りのURLであるためパケットスニッファリングなどにも強い認証が実現できる。   The unlock button access discriminating unit 33 (access discriminating means) is based on the URL set for the unlock button according to the user operation on the unlock button page displayed on the display of the portable terminal 19 by the unlock button setting unit 32. Access from the portable terminal 19 is determined. The unlock button access determination unit 33 sets an access confirmation flag in the access confirmation flag storage unit 42 when it is determined that the access is based on the URL set in the unlock button. Since a one-time URL (unlock token (one-time password)) is set for the unlock button, it is determined which mobile terminal 19 is accessed from the accessed URL. Can do. Further, since the URL is a one-time URL, strong authentication can be realized even for packet sniffing.

ユーザIDチェック部34(認証手段)は、開錠ボタンアクセス判別部33によって開錠ボタンに設定されたURLによる携帯端末19からのアクセスがあったことが判別された場合に、パーソナルコンピュータ14に提供されたログインページを通じて入力された識別データ(例えばユーザID)について、予め登録された正当なデータであるかを照合することにより認証する。   The user ID check unit 34 (authentication means) is provided to the personal computer 14 when it is determined by the unlock button access determination unit 33 that there is an access from the mobile terminal 19 by the URL set for the unlock button. The identification data (for example, user ID) input through the logged-in login page is authenticated by checking whether it is valid data registered in advance.

開錠トークンチェック部35は、開錠ボタン設定部32によって設定された開錠ボタン(URL(開錠トークン))の有効性を判別するもので、時間計測部35aにより測定される時間をもとに判別する。時間計測部35aは、開錠ボタンアクセス判別部33により携帯端末19からアクセスされたことが判別されてからの経過時間を計測する。開錠トークンチェック部35は、時間計測部35aによって測定される経過時間が予め設定された一定時間内(例えば1分以内)にある場合に、開錠ボタン(URL(開錠トークン))を有効であると判別する。ユーザIDチェック部34は、開錠トークンチェック部35によって開錠ボタン(URL(開錠トークン))が有効であると判別された場合に、パーソナルコンピュータ14から入力された識別データ(ユーザID)に対する認証結果を有効とする。   The unlock token check unit 35 determines the effectiveness of the unlock button (URL (unlock token)) set by the unlock button setting unit 32, and is based on the time measured by the time measuring unit 35a. To determine. The time measuring unit 35a measures an elapsed time after it is determined that the unlock button access determining unit 33 has accessed from the portable terminal 19. The unlocking token check unit 35 activates the unlocking button (URL (unlocking token)) when the elapsed time measured by the time measuring unit 35a is within a predetermined time (for example, within 1 minute) set in advance. It is determined that The user ID check unit 34 responds to the identification data (user ID) input from the personal computer 14 when the unlock token check unit 35 determines that the unlock button (URL (unlock token)) is valid. Validate the authentication result.

認証データベース22は、認証部20による処理で使用される各種データを記憶するためのもので、ユーザ管理データ40、開錠トークン記憶部41、アクセス確認フラグ記憶部42、確認時刻記憶部43などを含む。   The authentication database 22 is used to store various data used in the processing by the authentication unit 20, and includes user management data 40, an unlock token storage unit 41, an access confirmation flag storage unit 42, a confirmation time storage unit 43, and the like. Including.

ユーザ管理データ40は、Webサーバ10が提供するネットワークサービスを利用するユーザに関するデータが含まれる。ユーザ管理データ40には、Webサーバ10が提供するネットワークサービスを利用するためにユーザにより予め通知されたデータ、例えばユーザが使用している携帯端末19(携帯電話機)の端末ID(サブスクライバID等)、ログイン時に用いられるユーザID(例えば複数の英数字の組み合わせなど)、携帯電話機会社名などが含まれる。また、ユーザから通知された端末IDをもとに判別可能な環境変数に関するデータ(環境変数データ)がWebサーバ10の管理者によって端末IDと対応付けて設定される。環境変数データには、端末IDに該当する携帯電話機会社の携帯通信ネットワーク18を通じてアクセスされた場合に、携帯通信ネットワーク18上に存在するサーバ(プロキシサーバ16など)によって付加されるネットワークに固有のデータが含まれる。携帯通信ネットワーク18を介したアクセスによって付加されるデータは、携帯電話機会社毎に既知のデータであるため、こうした既知のデータについてはWebサーバ10の管理者側でユーザ管理データ40として設定するものとする。なお、環境変数には、例えばデータの返信先を示すIP(internet protocol)アドレスなどの接続先情報や、ブラウザの種類、端末の情報、使用言語のデータなどが含まれる。   The user management data 40 includes data regarding users who use the network service provided by the Web server 10. The user management data 40 includes data notified in advance by the user in order to use the network service provided by the Web server 10, for example, the terminal ID (subscriber ID, etc.) of the mobile terminal 19 (mobile phone) used by the user. , A user ID (for example, a combination of a plurality of alphanumeric characters) used at login, a mobile phone company name, and the like are included. Also, data related to environment variables (environment variable data) that can be determined based on the terminal ID notified by the user is set in association with the terminal ID by the administrator of the Web server 10. The environment variable data includes data unique to a network added by a server (such as the proxy server 16) existing on the mobile communication network 18 when accessed through the mobile communication network 18 of the mobile phone company corresponding to the terminal ID. Is included. Since data added by access via the mobile communication network 18 is known data for each mobile phone company, such known data is set as user management data 40 on the administrator side of the Web server 10. To do. The environment variables include, for example, connection destination information such as an IP (internet protocol) address indicating a data return destination, browser type, terminal information, language data, and the like.

開錠トークン記憶部41は、開錠トークン生成部31によって生成された開錠トークン(URL)を記憶する。
アクセス確認フラグ記憶部42は、開錠ボタンアクセス判別部33によって開錠ボタンに設定されたURLによるアクセスであることが判別された場合にアクセス確認フラグが設定される。
The unlock token storage unit 41 stores the unlock token (URL) generated by the unlock token generation unit 31.
The access confirmation flag storage unit 42 is set with an access confirmation flag when it is determined by the unlock button access determination unit 33 that the access is based on the URL set for the unlock button.

確認時刻記憶部43は、開錠ボタンアクセス判別部33によってアクセス確認フラグ記憶部42にアクセス確認フラグが設定された時刻が記憶される。確認時刻記憶部43によって記憶された時刻から時間計測部35aによって時間が計測される。   The confirmation time storage unit 43 stores the time when the access confirmation flag is set in the access confirmation flag storage unit 42 by the unlock button access determination unit 33. The time is measured by the time measuring unit 35 a from the time stored by the confirmation time storage unit 43.

次に、本実施形態における認証システムの動作について説明する。
図3(a)は、パーソナルコンピュータ14における動作を説明するためのフローチャート、図3(b)は、携帯端末19における動作を説明するためのフローチャートである。図4は、Webサーバ10における認証システムの動作を説明するためのフローチャートである。
Next, the operation of the authentication system in this embodiment will be described.
FIG. 3A is a flowchart for explaining the operation in the personal computer 14, and FIG. 3B is a flowchart for explaining the operation in the portable terminal 19. FIG. 4 is a flowchart for explaining the operation of the authentication system in the Web server 10.

ネットワーク(インターネット12、携帯通信ネットワーク18を含む)を介してWebサーバ10にログインし、Webサーバ10が提供するネットワークサービスを受けるためには予めユーザ登録しておく必要がある。例えば、パーソナルコンピュータ14と携帯端末19のユーザは、ログインする際のユーザ認証に用いられるデータ、すなわち端末IDやユーザパスワード、携帯端末19の携帯電話機会社名などを認証システムの管理者などに予め通知しておく。本実施形態における認証システムでは、認証データベース22として各ユーザのデータが登録される。   In order to log in to the Web server 10 via the network (including the Internet 12 and the mobile communication network 18) and receive the network service provided by the Web server 10, it is necessary to register in advance. For example, the user of the personal computer 14 and the mobile terminal 19 notifies the authentication system administrator in advance of data used for user authentication when logging in, that is, the terminal ID, the user password, the mobile phone company name of the mobile terminal 19, and the like. Keep it. In the authentication system in the present embodiment, the data of each user is registered as the authentication database 22.

まず、パーソナルコンピュータ14は、ユーザ操作に応じて、インターネット12を介してWebサーバ10が提供しているネットワークサービスのログインページにアクセスする(図3(a)、ステップA1)。Webサーバ10の認証部20は、パーソナルコンピュータ14からのアクセスに対してログイン画面のページデータを出力する(図4、ステップC1)。パーソナルコンピュータ14は、Webサーバ10からのページデータをもとにログイン画面を表示させる(ステップA2)。   First, the personal computer 14 accesses the login page of the network service provided by the Web server 10 via the Internet 12 in accordance with a user operation (FIG. 3A, step A1). The authentication unit 20 of the Web server 10 outputs the page data of the login screen in response to access from the personal computer 14 (FIG. 4, step C1). The personal computer 14 displays a login screen based on the page data from the Web server 10 (step A2).

図5(a)には、パーソナルコンピュータ14において表示されるログイン画面の一例を示している。ログイン画面には、ユーザIDを入力するための入力欄と、ユーザIDの送信を指示するためのログインボタンが設けられている。ユーザは、キーボードなどを操作することで、予めWebサーバ10に登録してあるユーザIDを入力する。ここで、ログインボタンに対する操作を行う前に、携帯端末19を用いた認証を行う。   FIG. 5A shows an example of a login screen displayed on the personal computer 14. The login screen is provided with an input field for inputting a user ID and a login button for instructing transmission of the user ID. The user inputs a user ID registered in advance in the Web server 10 by operating a keyboard or the like. Here, before performing an operation on the login button, authentication using the portable terminal 19 is performed.

携帯端末19は、ユーザ操作に応じて、Webサーバ10の認証専用ページにアクセスする(図3(b)、ステップB1)。携帯端末19には、例えばユーザ登録時にWebサーバ10の管理者から通知された認証専用ページのURLアドレスが、例えばブックマークとして登録されているものとする。従って、携帯端末19のユーザは、ブックマークから認証専用ページのURLアドレスを選択するだけの操作で良い。携帯端末19は、携帯通信ネットワーク18、プロキシサーバ16、インターネット12を介してWebサーバ10と接続される。   The mobile terminal 19 accesses an authentication-dedicated page of the Web server 10 in response to a user operation (FIG. 3B, step B1). For example, it is assumed that the URL address of the authentication-dedicated page notified from the administrator of the Web server 10 at the time of user registration is registered in the portable terminal 19 as a bookmark, for example. Therefore, the user of the portable terminal 19 only needs to select the URL address of the authentication-dedicated page from the bookmark. The mobile terminal 19 is connected to the Web server 10 via the mobile communication network 18, the proxy server 16, and the Internet 12.

Webサーバ10の携帯端末チェック部30は、認証専用ページへのアクセスがあると(ステップC2、Yes)、まずアクセスに伴って得られる環境変数を利用して、携帯通信ネットワーク18を介して接続される携帯端末19(携帯電話機)によるアクセスであるかをチェックする。ここでは、環境変数に含まれる携帯通信ネットワーク18を介してアクセスすることにより、プロキシサーバ16等により付加されるネットワークに固有のデータをもとにチェックする。つまり、Webサーバ10の認証専用ページには、インターネット12を介してパーソナルコンピュータ14からでもアクセスすることができるが、固有の端末IDが設定された端末であることが確認された場合のみアクセスを有効とする。   When there is an access to the authentication-dedicated page (Yes in step C2), the mobile terminal check unit 30 of the Web server 10 is first connected via the mobile communication network 18 using the environment variable obtained with the access. It is checked whether the access is made by the mobile terminal 19 (mobile phone). Here, the access is made through the mobile communication network 18 included in the environment variable, thereby checking based on data unique to the network added by the proxy server 16 or the like. In other words, the authentication-dedicated page of the Web server 10 can be accessed from the personal computer 14 via the Internet 12, but access is valid only when it is confirmed that the terminal has a unique terminal ID. And

さらに、携帯端末チェック部30は、端末IDなどの環境変数に含まれる他のデータと、ユーザ管理データ40に設定された各データとを照合し、予め登録された端末からのアクセスであるかをチェックする。ここで、環境変数に含まれるデータがユーザ管理データ40に予め設定されている場合には、予めユーザ登録された携帯端末19からのアクセスであると判別する(ステップC4、Yes)。   Furthermore, the portable terminal check unit 30 collates other data included in the environment variables such as the terminal ID with each data set in the user management data 40, and determines whether the access is from a pre-registered terminal. To check. Here, when the data included in the environment variable is preset in the user management data 40, it is determined that the access is from the mobile terminal 19 registered in advance (step C4, Yes).

開錠トークン生成部31は、携帯端末チェック部30によって予め登録された携帯端末19からのアクセスであることが判別されると、開錠トークン(URL)を生成して開錠トークン記憶部41に保存する(ステップC5)。例えば、開錠トークン生成部31は、携帯端末19がアクセスしてきた時刻のデータと予め登録されている携帯端末19に固有のデータ(ここでは一部のデータとする)をもとに、1度限りのURL(ワンタイムパスワード)を生成する。   When it is determined by the mobile terminal check unit 30 that the access is from the mobile terminal 19 registered in advance, the unlock token generation unit 31 generates an unlock token (URL) and stores it in the unlock token storage unit 41. Save (step C5). For example, the unlock token generation unit 31 performs once based on the data of the time when the mobile terminal 19 has accessed and the data (here, a part of data) unique to the mobile terminal 19 registered in advance. A limited URL (one-time password) is generated.

開錠ボタン設定部32は、開錠トークン生成部31により生成されたURLがリンク先に設定された開錠ボタンを表示させるための開錠ボタンページを生成し、この開錠ボタンページ(開錠ボタン画面)を携帯端末19に出力して、携帯端末19のディスプレイにおいて表示させる(ステップC6)。   The unlock button setting unit 32 generates an unlock button page for displaying the unlock button in which the URL generated by the unlock token generating unit 31 is set as the link destination, and this unlock button page (unlock button) Button screen) is output to the mobile terminal 19 and displayed on the display of the mobile terminal 19 (step C6).

携帯端末19は、Webサーバ10(開錠ボタン設定部32)から開錠ボタンページを受信して、開錠ボタン画面をディスプレイにおいて表示させる(ステップB2,B3)。   The portable terminal 19 receives the unlock button page from the Web server 10 (unlock button setting unit 32), and displays the unlock button screen on the display (steps B2 and B3).

図6(a)には、携帯端末19のディスプレイにおいて表示される開錠ボタン画面の一例を示している。図6(a)に示すように、開錠ボタン画面では、携帯端末19に設けられた所定のボタン(例えば、選択ボタン)に対する押下により選択が可能な開錠ボタンが表示されている。本実施形態における認証処理では、ワンタイムパスワード(数字列など)の入力操作が不要であり、単にURL(ワンタイムパスワード)が設定された開錠ボタンの選択操作だけで良く操作が非常に簡単となっている。   FIG. 6A shows an example of an unlock button screen displayed on the display of the mobile terminal 19. As shown in FIG. 6A, on the unlock button screen, an unlock button that can be selected by pressing a predetermined button (for example, a selection button) provided on the mobile terminal 19 is displayed. The authentication process according to the present embodiment does not require an input operation of a one-time password (numerical string or the like), and can be performed simply by selecting an unlock button set with a URL (one-time password). It has become.

ここで、開錠ボタンを選択するユーザ操作が行われると(ステップB4、Yes)、携帯端末19は、開錠ボタンに設定されたURLが示すページ、すなわちWebサーバ10にアクセスする。   Here, when a user operation for selecting the unlock button is performed (step B4, Yes), the mobile terminal 19 accesses the page indicated by the URL set to the unlock button, that is, the Web server 10.

Webサーバ10の開錠ボタンアクセス判別部33は、開錠ボタン設定部32によって開錠ボタンに設定されたURLによるアクセスが確認されると(ステップC7、Yes)、アクセス確認フラグを発行してアクセス確認フラグ記憶部42に記憶させると共に、アクセス時刻を示すデータを確認時刻記憶部43に記憶させる。開錠トークンチェック部35の時間計測部35aは、確認時刻記憶部43に記憶された時刻からの経過時間を計測する。   When the unlock button access discriminating unit 33 of the Web server 10 confirms the access by the URL set to the unlock button by the unlock button setting unit 32 (Yes in Step C7), it issues an access confirmation flag to access. The data is stored in the confirmation flag storage unit 42 and data indicating the access time is stored in the confirmation time storage unit 43. The time measuring unit 35 a of the unlocking token check unit 35 measures the elapsed time from the time stored in the confirmation time storage unit 43.

認証部20は、開錠ボタンアクセス判別部33により携帯端末19からのアクセスが確認されると、アクセス許可画面(開錠完了ページ)を携帯端末19に出力して、携帯端末19のディスプレイにおいて表示させる(ステップC9)。携帯端末19は、Webサーバ10からアクセス許可画面(開錠完了ページ)を受信して、ディスプレイにおいて表示させる(ステップB5,B6)。   When the unlock button access determination unit 33 confirms access from the mobile terminal 19, the authentication unit 20 outputs an access permission screen (unlock completion page) to the mobile terminal 19 and displays it on the display of the mobile terminal 19. (Step C9). The portable terminal 19 receives the access permission screen (unlock completion page) from the Web server 10 and displays it on the display (steps B5 and B6).

図6(b)には、携帯端末19のディスプレイにおいて表示されるアクセス許可画面(開錠完了ページ)の一例を示している。図6(b)に示すように、開錠完了ページには、例えば「PCよりログインしてください」のメッセージが含まれている。   FIG. 6B shows an example of an access permission screen (unlocking completion page) displayed on the display of the mobile terminal 19. As shown in FIG. 6B, the unlocking completion page includes, for example, a message “Please log in from the PC”.

ここで、携帯端末19のユーザは、開錠完了ページに表示されたメッセージに従い、図5(a)に示すログインボタンを選択する操作を行う。パーソナルコンピュータ14は、この操作に応じて、ログインページの入力欄に入力されたユーザIDをWebサーバ10に対して送信する(ステップA4)。   Here, the user of the portable terminal 19 performs an operation of selecting the login button shown in FIG. 5A according to the message displayed on the unlocking completion page. In response to this operation, the personal computer 14 transmits the user ID input in the input field of the login page to the Web server 10 (step A4).

Webサーバ10のユーザIDチェック部34は、パーソナルコンピュータ14からユーザIDを受信すると(ステップC10)、このユーザIDがユーザ管理データ40に設定されているかをチェックする。ユーザIDチェック部34は、ユーザ管理データ40に登録されている携帯端末19に対する認証で使用した端末IDと対応付けられたユーザIDと、パーソナルコンピュータ14から受信したユーザIDとが一致しない場合、ユーザ登録されていないと判別する(ステップC11、No)。この場合、ユーザIDチェック部34は、ユーザ確認エラー画面(ユーザ確認エラーページ)をパーソナルコンピュータ14に対して出力する(ステップC12)。パーソナルコンピュータ14は、ユーザ確認エラー画面をディスプレイにおいて表示させる。   When receiving the user ID from the personal computer 14 (step C10), the user ID check unit 34 of the Web server 10 checks whether this user ID is set in the user management data 40. If the user ID associated with the terminal ID used for authentication of the mobile terminal 19 registered in the user management data 40 does not match the user ID received from the personal computer 14, the user ID check unit 34 It is determined that it is not registered (step C11, No). In this case, the user ID check unit 34 outputs a user confirmation error screen (user confirmation error page) to the personal computer 14 (step C12). The personal computer 14 displays a user confirmation error screen on the display.

図5(b)には、ユーザ確認エラーページが表示された画面の一例を示している。図5(b)に示すように、入力されたユーザIDが登録されていない旨を通知するためのメッセージが含まれている。   FIG. 5B shows an example of a screen on which a user confirmation error page is displayed. As shown in FIG. 5B, a message for notifying that the input user ID is not registered is included.

一方、ユーザIDチェック部34は、ユーザ管理データ40に登録されているユーザIDと、パーソナルコンピュータ14から受信したユーザIDとが一致した場合には、予めユーザ登録されたユーザからのアクセスであると判別する(ユーザチェックOK、ステップC11、Yes)。   On the other hand, when the user ID registered in the user management data 40 and the user ID received from the personal computer 14 match, the user ID check unit 34 is an access from a user who has been registered in advance. It discriminate | determines (user check OK, step C11, Yes).

ここで、開錠トークンチェック部35は、アクセス確認フラグ記憶部42に記憶されたアクセス確認フラグの発行時間のチェックを行う。すなわち、開錠トークンチェック部35は、時間計測部35aにより計測されている時間が予め設定されている一定時間(例えば1分)を経過している場合には、パーソナルコンピュータ14から入力されたユーザIDに対する認証結果を無効とする。すなわち、携帯端末19を用いた認証に有効時間を設定することによりセキュリティの向上を図る。   Here, the unlocking token check unit 35 checks the issuance time of the access confirmation flag stored in the access confirmation flag storage unit 42. That is, the unlock token check unit 35 determines that the user input from the personal computer 14 when the time measured by the time measuring unit 35a has passed a predetermined time (for example, 1 minute). The authentication result for the ID is invalidated. That is, security is improved by setting an effective time for authentication using the portable terminal 19.

ここで、一定時間が経過していた場合には(ステップC13、No)、認証部20は、パーソナルコンピュータ14に対して再アクセス要請画面(開錠エラーページ)を出力する(ステップC14)。パーソナルコンピュータ14は、再アクセス要請画面(開錠エラーページ)を受信すると(ステップA5、Yes)、これをディスプレイにおいて表示させる。図5(c)には、再アクセス要請画面(開錠エラーページ)の一例を示している。図5(c)に示すように、携帯端末19を用いた認証の再実行を促すメッセージが含まれている。   Here, when the fixed time has elapsed (step C13, No), the authentication unit 20 outputs a reaccess request screen (unlocking error page) to the personal computer 14 (step C14). When the personal computer 14 receives the re-access request screen (unlocking error page) (step A5, Yes), it displays it on the display. FIG. 5C shows an example of a re-access request screen (unlocking error page). As shown in FIG. 5C, a message that prompts re-execution of authentication using the portable terminal 19 is included.

一方、一定時間が経過していない場合には(ステップC13、Yes)、認証部20は、パーソナルコンピュータ14から入力されたユーザIDに対する認証結果を有効として、ネットワークサービスを提供するためのWebページ画面(例えばメニュー画面)のページデータをパーソナルコンピュータ14に出力する(ステップC15)。   On the other hand, if the predetermined time has not elapsed (step C13, Yes), the authentication unit 20 validates the authentication result for the user ID input from the personal computer 14, and provides a web page screen for providing a network service. The page data (for example, menu screen) is output to the personal computer 14 (step C15).

パーソナルコンピュータ14は、Webページ画面(メニュー画面のページデータ)を受信して、ディスプレイにおいて表示させる(ステップA6,A7)。図5(d)には、Webページ画面(メニュー画面)の一例を示している。ユーザは、パーソナルコンピュータ14を操作して、メニュー中から任意の項目を選択することで、ネットワークサービスを利用することができる。   The personal computer 14 receives the web page screen (page data of the menu screen) and displays it on the display (steps A6 and A7). FIG. 5D shows an example of a Web page screen (menu screen). The user can use the network service by operating the personal computer 14 and selecting an arbitrary item from the menu.

このようにして、本実施形態における認証システムでは、ハードウェアトークンのような認証のための専用装置ではなく、一般のユーザが所持している携帯端末19(携帯電話機)を利用するので、ハードウェアトークンなどを用いた場合と比較してコストがかからない。また、トークンを用いた認証方法では、利用しようとするWebサーバ10が複数ある場合には、それぞれに対応するトークンを用意する必要があったが、本実施形態における認証システムでは、1台の携帯端末19のみで、複数のWebサーバ10との間で認証処理を実行することができる。この場合、携帯端末19には、それぞれのWebサーバ10にユーザ登録した際に取得された、それぞれの認証専用ページにアクセスするためのURLをブックマークとして登録しておくだけで良い。   As described above, the authentication system according to the present embodiment uses the mobile terminal 19 (mobile phone) possessed by a general user, not the dedicated device for authentication such as a hardware token. Cost is not as high as when tokens are used. Further, in the authentication method using tokens, when there are a plurality of Web servers 10 to be used, it is necessary to prepare a token corresponding to each. However, in the authentication system according to the present embodiment, one mobile phone is used. Only the terminal 19 can execute authentication processing with a plurality of Web servers 10. In this case, it is only necessary to register in the mobile terminal 19 as a bookmark the URL for accessing each authentication-dedicated page acquired when the user is registered in each Web server 10.

また、本実施形態における認証システムでは、Webシステムを利用しているため、システム導入に特別なサーバなどを必要とせず安価に実現可能である。また、携帯端末19においても特別なプログラムをインストールする必要もなく導入が容易である。   Further, since the authentication system according to the present embodiment uses a Web system, it can be realized at low cost without requiring a special server for system introduction. Also, the portable terminal 19 can be easily introduced without installing a special program.

また、前述した説明では、携帯端末19を携帯電話機とした例について説明しているが、ユビキタス社会が進み、携帯電話機以外の様々なハードウェア端末が簡単にネットワークに接続可能な環境となった場合に、固有な識別データを有していれば様々なハードウェア端末を本実施形態における認証システムで利用することができる。本実施形態における認証システムでは、端末側で文字列などによるパスワード入力を必要としないで、単にディスプレイに表示された開錠ボタンを選択する操作だけで良いため、認証システムで利用するハードウェア端末はテンキーなどの入力手段も不要な簡単な構成で良い。   In the above description, an example in which the mobile terminal 19 is a mobile phone is described. However, when the ubiquitous society has advanced, various hardware terminals other than the mobile phone can be easily connected to the network. In addition, various hardware terminals can be used in the authentication system according to the present embodiment as long as they have unique identification data. In the authentication system according to the present embodiment, it is not necessary to input a password such as a character string on the terminal side, and it is only necessary to select an unlock button displayed on the display. A simple configuration that does not require input means such as a numeric keypad may be used.

なお、前述した説明では、個人認証が必要なサイトを開設しているWebサーバ10において認証システムを設けるものとして説明しているが、Webサーバ10とは独立した別のサーバ上で認証システムが構築されていても良い。この場合、認証システムは、Webサーバ10からの認証要求に応じた前述した処理を実行する。   In the above description, the Web server 10 that establishes a site that requires personal authentication is described as having an authentication system. However, the authentication system is constructed on a separate server from the Web server 10. May be. In this case, the authentication system executes the above-described processing according to the authentication request from the Web server 10.

また、前述した説明では、インターネット12を介したWebサーバ10へのログイン時の認証について説明しているが、本実施形態における携帯端末19を利用した認証方法は、ログイン以外の他の認証が必要な対象に適用することが可能である。   In the above description, authentication at the time of login to the Web server 10 via the Internet 12 is described. However, the authentication method using the mobile terminal 19 in this embodiment requires authentication other than login. It is possible to apply to any object.

例えば、一般の住宅やオフィスなどのドアを開錠する場合の認証に適用することができる。この場合、例えばドアの開錠/施錠を制御する制御装置(Webサーバ10に相当する)に認証システムを設けて認証処理を実行する。制御装置には、ドアの近傍に設置されたパスワード入力用の機器と、携帯通信ネットワーク18及びインターネット12を介した携帯端末19とが接続される。ドアを開錠しようとする場合には、前述したように、携帯端末19によって制御装置の認証専用ページ(開錠させようとするドアに対応するページを指定するものとする)にアクセスして、制御装置で設定された開錠ボタン(URL)を表示させ、この開錠ボタンに対する操作によりアクセスすることにより認証を受ける。そして、パスワード入力用の機器からパスワードを入力する。パスワードが正当であることが認証されると、制御装置の制御によってドアが開錠される。   For example, the present invention can be applied to authentication when unlocking a door of a general house or office. In this case, for example, an authentication system is provided in a control device (corresponding to the Web server 10) that controls the unlocking / locking of the door to execute the authentication process. A password input device installed in the vicinity of the door and a portable terminal 19 via the portable communication network 18 and the Internet 12 are connected to the control device. When trying to unlock the door, as described above, the mobile terminal 19 accesses the authentication-dedicated page of the control device (designates the page corresponding to the door to be unlocked), and Authentication is received by displaying an unlock button (URL) set by the control device and accessing it by operating the unlock button. Then, the password is input from the password input device. When the password is authenticated, the door is unlocked under the control of the control device.

また、本実施形態におけるパーソナルコンピュータ14に相当する機器は、無線通信を介してインターネット12に接続される構成とすることもできる。この場合、移動する対象物(車両など)の利用に際して、本実施形態における認証方法を適用することができる。   In addition, a device corresponding to the personal computer 14 in the present embodiment may be configured to be connected to the Internet 12 via wireless communication. In this case, when using a moving object (such as a vehicle), the authentication method according to this embodiment can be applied.

また、前述した説明では、パーソナルコンピュータ14からインターネット12を介してWebサーバ10にアクセスする場合を例にして説明しているが、例えばイントラネットなどの限られた範囲のネットワークを介してアクセスする場合に適用することも可能である。この場合、サーバは、ログインを要求しているパーソナルコンピュータなどの機器が、予めログインが許可された機器であるか否かによって認証方法を切り替えることができる。例えば、サーバは、アクセスしてきた機器が予めログインが許可された機器であることを、例えば機器のIPアドレスなどをもとに判別できる場合には、図5(a)に示すユーザIDだけを入力するログインページに代えて、ユーザIDとユーザパスワードを入力するログインページを提供する。すなわち、本実施形態における携帯端末19を使用した認証方法ではなく、ユーザIDとパスワードによる認証方法により認証処理を実行する。一方、アクセスしてきた機器が予めログインが許可された機器でない場合には、図5(a)に示すような、ユーザIDのみを入力するログインページを提供すると共に、予め登録されている携帯端末19を用いたアクセスによって前述したように認証を行う(開錠ボタンの設定と開錠ボタンに設定されたURLによるアクセス)。これにより、アクセス元の機器に応じた認証方法の切り替えが可能となる。   In the above description, the case where the personal computer 14 accesses the Web server 10 via the Internet 12 is described as an example. However, for example, when access is made via a limited range of network such as an intranet. It is also possible to apply. In this case, the server can switch the authentication method depending on whether or not a device such as a personal computer requesting login is a device for which login is permitted in advance. For example, the server inputs only the user ID shown in FIG. 5A when it is possible to determine that the accessed device is a device for which login is permitted in advance based on the IP address of the device, for example. Instead of the login page, a login page for inputting a user ID and a user password is provided. That is, the authentication process is executed not by an authentication method using the mobile terminal 19 in this embodiment but by an authentication method using a user ID and a password. On the other hand, when the accessed device is not a device for which login is permitted in advance, a login page for inputting only the user ID as shown in FIG. 5A is provided, and a pre-registered mobile terminal 19 is provided. As described above, authentication is performed by access using the (unlock button setting and access by URL set in the unlock button). As a result, the authentication method can be switched according to the access source device.

また、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。   Further, the present invention is not limited to the above-described embodiments as they are, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. In addition, various inventions can be formed by appropriately combining a plurality of components disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, constituent elements over different embodiments may be appropriately combined.

また、実施形態に記載した手法は、コンピュータに実行させることができるプログラム(ソフトウエア手段)として、例えば磁気ディスク(フレキシブルディスク、ハードディスク等)、光ディスク(CD−ROM、DVD、MO等)、半導体メモリ(ROM、RAM、フラッシュメモリ等)等の記録媒体に格納し、また通信媒体により伝送して頒布することもできる。なお、媒体側に格納されるプログラムには、コンピュータに実行させるソフトウエア手段(実行プログラムのみならずテーブルやデータ構造も含む)をコンピュータ内に構成させる設定プログラムをも含む。本装置を実現するコンピュータは、記録媒体に記録されたプログラムを読み込み、また場合により設定プログラムによりソフトウエア手段を構築し、このソフトウエア手段によって動作が制御されることにより上述した処理を実行する。なお、本明細書でいう記録媒体は、頒布用に限らず、コンピュータ内部あるいはネットワークを介して接続される機器に設けられた磁気ディスクや半導体メモリ等の記憶媒体を含むものである。   In addition, the method described in the embodiment uses, as a program (software means) that can be executed by a computer, for example, a magnetic disk (flexible disk, hard disk, etc.), an optical disk (CD-ROM, DVD, MO, etc.), and a semiconductor memory. It can also be stored in a recording medium such as (ROM, RAM, flash memory, etc.), or transmitted and distributed via a communication medium. The program stored on the medium side also includes a setting program that configures in the computer software means (including not only the execution program but also a table and data structure) that is executed by the computer. A computer that implements the present apparatus reads the program recorded on the recording medium, constructs software means by a setting program in some cases, and executes the above-described processing by controlling the operation by the software means. The recording medium referred to in this specification is not limited to distribution, but includes a storage medium such as a magnetic disk or a semiconductor memory provided in a computer or a device connected via a network.

本実施形態におけるネットワークシステムの構成を示すブロック図。The block diagram which shows the structure of the network system in this embodiment. Webサーバ10に設けられる認証システムの機能構成を示すブロック図。FIG. 2 is a block diagram showing a functional configuration of an authentication system provided in the Web server 10. Webサーバ10にアクセスするパーソナルコンピュータ14と携帯端末19の動作を説明するためのフローチャート。6 is a flowchart for explaining operations of a personal computer 14 and a mobile terminal 19 that access the Web server 10. Webサーバ10における認証システムの動作を説明するためのフローチャート。4 is a flowchart for explaining the operation of the authentication system in the Web server 10. パーソナルコンピュータ14における表示画面例を示す図。The figure which shows the example of a display screen in the personal computer. 携帯端末19における表示画面例を示す図。The figure which shows the example of a display screen in the portable terminal 19.

符号の説明Explanation of symbols

10…Webサーバ、12…インターネット、14…パーソナルコンピュータ、16…プロキシサーバ、18…携帯通信ネットワーク、19…携帯端末、20…認証部、22…認証データベース、30…携帯端末チェック部、31…開錠トークン生成部、32…開錠ボタン設定部、33…開錠ボタンアクセス判別部、34…ユーザIDチェック部、35…開錠トークンチェック部、35a…時間計測部、40…ユーザ管理データ、41…開錠トークン記憶部、42…アクセス確認フラグ記憶部、43…確認時刻記憶部。   DESCRIPTION OF SYMBOLS 10 ... Web server, 12 ... Internet, 14 ... Personal computer, 16 ... Proxy server, 18 ... Mobile communication network, 19 ... Mobile terminal, 20 ... Authentication part, 22 ... Authentication database, 30 ... Mobile terminal check part, 31 ... Open Lock token generation unit, 32 ... Unlock button setting unit, 33 ... Unlock button access determination unit, 34 ... User ID check unit, 35 ... Unlock token check unit, 35a ... Time measurement unit, 40 ... User management data, 41 ... unlock token storage unit, 42 ... access confirmation flag storage unit, 43 ... confirmation time storage unit.

Claims (5)

ネットワークを介して第1の端末に対して識別データの入力を要求するログイン要求出力手段と、
携帯通信ネットワークを介してアクセスしてきた第2の端末が予め登録されているかを、前記第2の端末のアクセスにより取得される環境変数に含まれる、前記携帯通信ネットワークにおいて付加されたデータをもとに確認する端末確認手段と、
前記端末確認手段により登録されていることが確認された場合に、当該アクセスに対して固有のURL(uniform resource locator)を生成するURL生成手段と、
前記URL生成手段により生成された前記URLを前記第2の端末に通知する通知手段と、
前記URLによる前記第2の端末からのアクセスを判別するアクセス判別手段と、
前記URLにより前記第2の端末からアクセスされたことが判別された場合に、前記ログイン要求出力手段による要求に対して前記第1の端末から入力された前記識別データに対する認証を行う認証手段と
を具備したことを特徴とする認証システム。
Login request output means for requesting input of identification data to the first terminal via the network;
Whether the second terminal that has accessed through the mobile communication network is registered in advance is based on the data added in the mobile communication network included in the environment variable acquired by accessing the second terminal and a terminal confirmation means to confirm to,
URL generation means for generating a unique URL (uniform resource locator) for the access when it is confirmed by the terminal confirmation means;
Notification means for notifying the second terminal of the URL generated by the URL generation means;
An access determination means for determining an access from the by the URL second terminal,
Authentication means for authenticating the identification data input from the first terminal in response to a request by the login request output means when it is determined that the URL has been accessed from the second terminal. An authentication system characterized by comprising.
前記URL生成手段は、時刻のデータを利用してURLを生成することを特徴とする請求項1記載の認証システム。   The authentication system according to claim 1, wherein the URL generation unit generates a URL using time data. 前記認証手段は、
前記アクセス判別手段により前記第2の端末からアクセスされたことが判別されてから一定時間内に前記第1の端末から入力された前記識別データに対する認証結果を有効とすることを特徴とする請求項2記載の認証システム。
The authentication means includes
The authentication result for the identification data input from the first terminal is validated within a predetermined time after it is determined that the access is made from the second terminal by the access determining means. 2. The authentication system according to 2.
前記通知手段は、前記URLがリンク先に設定された開錠ボタンを前記第2の端末において表示させ、The notification means causes the second terminal to display an unlock button in which the URL is set as a link destination,
前記アクセス判別手段は、前記第2の端末において表示された前記開錠ボタンに対する選択操作に応じた、前記URLによる前記第2の端末からのアクセスを判別することを特徴とする請求項1記載の認証システム。2. The access determination unit according to claim 1, wherein the access is determined by the URL from the second terminal in response to a selection operation on the unlock button displayed on the second terminal. Authentication system.
コンピュータを、
ネットワークを介して第1の端末に対して識別データの入力を要求するログイン要求出力手段と、
携帯通信ネットワークを介してアクセスしてきた第2の端末が予め登録されているかを、前記第2の端末のアクセスにより取得される環境変数に含まれる、前記携帯通信ネットワークにおいて付加されたデータをもとに確認する端末確認手段と、
前記端末確認手段により登録されていることが確認された場合に、当該アクセスに対して固有のURL(uniform resource locator)を生成するURL生成手段と、
前記URL生成手段により生成された前記URLを前記第2の端末に通知する通知手段と、
前記URLによる前記第2の端末からのアクセスを判別するアクセス判別手段と、
前記URLにより前記第2の端末からアクセスされたことが判別された場合に、前記ログイン要求出力手段による要求に対して前記第1の端末から入力された前記識別データに対する認証を行う認証手段として機能させるための認証プログラム。
Computer
Login request output means for requesting input of identification data to the first terminal via the network;
Whether the second terminal that has accessed through the mobile communication network is registered in advance is based on the data added in the mobile communication network included in the environment variable acquired by accessing the second terminal and a terminal confirmation means to confirm to,
URL generation means for generating a unique URL (uniform resource locator) for the access when it is confirmed by the terminal confirmation means;
Notification means for notifying the second terminal of the URL generated by the URL generation means;
An access determination means for determining an access from the by the URL second terminal,
Functions as authentication means for authenticating the identification data input from the first terminal in response to a request by the login request output means when it is determined that the URL has been accessed from the second terminal Authentication program to let you.
JP2007001684A 2007-01-09 2007-01-09 Authentication system, authentication program Active JP4914725B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007001684A JP4914725B2 (en) 2007-01-09 2007-01-09 Authentication system, authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007001684A JP4914725B2 (en) 2007-01-09 2007-01-09 Authentication system, authentication program

Publications (2)

Publication Number Publication Date
JP2008171087A JP2008171087A (en) 2008-07-24
JP4914725B2 true JP4914725B2 (en) 2012-04-11

Family

ID=39699134

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007001684A Active JP4914725B2 (en) 2007-01-09 2007-01-09 Authentication system, authentication program

Country Status (1)

Country Link
JP (1) JP4914725B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016081523A (en) * 2014-10-15 2016-05-16 株式会社リコー Information processing system and device control method
KR101753455B1 (en) * 2014-10-27 2017-07-19 비씨카드(주) Method and server for providing smart consent form
JP6435456B1 (en) * 2018-04-03 2018-12-12 株式会社Special Medico Authentication server, program and method using two-stage URL
KR102484660B1 (en) * 2021-02-01 2023-01-04 주식회사 엘지유플러스 Server for mediating fast identity online 2 authentication, and operating method thereof

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3479634B2 (en) * 2000-08-07 2003-12-15 ドコモ・システムズ株式会社 Personal authentication method and personal authentication system
JP2002288134A (en) * 2001-03-23 2002-10-04 Ntt Communications Kk Access controlling system, method and recording medium
JP3975061B2 (en) * 2001-03-29 2007-09-12 ソフトバンクモバイル株式会社 Authentication system
JP4439481B2 (en) * 2006-03-06 2010-03-24 富士通株式会社 Safety judgment method, safety judgment system, authentication device, program, and safety judgment device

Also Published As

Publication number Publication date
JP2008171087A (en) 2008-07-24

Similar Documents

Publication Publication Date Title
US10223520B2 (en) System and method for integrating two-factor authentication in a device
JP4755866B2 (en) Authentication system, authentication server, authentication method, and authentication program
US20170244676A1 (en) Method and system for authentication
US9419969B2 (en) Method and system for granting access to a secured website
JP4540479B2 (en) How to link devices
US20070077916A1 (en) User authentication system and user authentication method
US10063538B2 (en) System for secure login, and method and apparatus for same
JP2007102778A (en) User authentication system and method therefor
JP2005527909A (en) User authentication method and system using e-mail address and hardware information
JP5764501B2 (en) Authentication device, authentication method, and program
JP4960738B2 (en) Authentication system, authentication method, and authentication program
JP4334515B2 (en) Service providing server, authentication server, and authentication system
JP4824986B2 (en) Authentication system, authentication method, and authentication program
JP2022144003A (en) Information processing deice and information processing program
JP4914725B2 (en) Authentication system, authentication program
KR100563544B1 (en) Method for authenticating a user with one-time password
JP2010237741A (en) Authentication system and authentication method
JP3914152B2 (en) Authentication server, authentication system, and authentication program
JP5584102B2 (en) Authentication system, client terminal, server, authenticated method, authentication method, authentication client program, and authentication server program
JP2008217712A (en) Mail server access method and electronic mail system
JP7403430B2 (en) Authentication device, authentication method and authentication program
TWI838149B (en) Secure enabling system and method for enterprise authentication
WO2018060327A1 (en) Authentication method and system for a telecommunications system
TW202437737A (en) Secure enabling system and method for enterprise authentication
CN118381626A (en) Inter-application authentication method, device and readable storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090825

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20100305

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100408

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20100415

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111004

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111005

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120110

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120123

R150 Certificate of patent or registration of utility model

Ref document number: 4914725

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150127

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150127

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160127

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160127

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160127

Year of fee payment: 4

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350