JP4960738B2 - Authentication system, authentication method, and authentication program - Google Patents

Authentication system, authentication method, and authentication program Download PDF

Info

Publication number
JP4960738B2
JP4960738B2 JP2007084047A JP2007084047A JP4960738B2 JP 4960738 B2 JP4960738 B2 JP 4960738B2 JP 2007084047 A JP2007084047 A JP 2007084047A JP 2007084047 A JP2007084047 A JP 2007084047A JP 4960738 B2 JP4960738 B2 JP 4960738B2
Authority
JP
Japan
Prior art keywords
authentication
user
time password
user terminal
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007084047A
Other languages
Japanese (ja)
Other versions
JP2008242926A (en
Inventor
慎 青山
泰徳 池田
慎 溝西
龍俊 村田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2007084047A priority Critical patent/JP4960738B2/en
Publication of JP2008242926A publication Critical patent/JP2008242926A/en
Application granted granted Critical
Publication of JP4960738B2 publication Critical patent/JP4960738B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ワンタイムパスワードを用いてユーザの正当性を認証する認証技術に関する。   The present invention relates to an authentication technique for authenticating a user's validity using a one-time password.

近年、フィッシング詐欺に代表される、インターネット上でのユーザID、パスワードなどの詐取・盗難(identity theft)が問題となっている。そのため、より高いセキュリティを確保し、ユーザの正当性を認証する技術が求められている。例えば、特許文献1には、ワンタイムパスワードを用いて、ユーザ認証を行うワンタイムパスワード認証システムが記載されている。
特開2002−259344 In recent years, there has been a problem of identity theft such as user IDs and passwords on the Internet, represented by phishing scams. For this reason, there is a need for a technique that ensures higher security and authenticates the legitimacy of the user. For example, Patent Document 1 describes a one-time password authentication system that performs user authentication using a one-time password.
JP2002-259344

特許文献1に記載のワンタイムパスワード認証システムでは、ワンタイムパスワード生成機能を有する携帯電話が生成したワンタイムパスワードを、ユーザPC上のログイン画面から入力し、ユーザ認証サーバに送信する。そして、ユーザ認証サーバは、ユーザPCから送信されたワンタイムパスワードを認証する。   In the one-time password authentication system described in Patent Document 1, a one-time password generated by a mobile phone having a one-time password generation function is input from a login screen on a user PC and transmitted to a user authentication server. Then, the user authentication server authenticates the one-time password transmitted from the user PC.

さて、携帯電話の普及に伴い、携帯電話からアクセス可能なWebサイトが増加している。また、携帯電話からアクセス可能なWebサイトにおいても、高度なユーザ認証を行うためにワンタイムパスワードを要求する場合がある。   Now, with the spread of mobile phones, the number of websites that can be accessed from mobile phones is increasing. Also, a website accessible from a mobile phone may require a one-time password to perform advanced user authentication.

ここで、携帯電話の機種によっては、特許文献1のワンタイムパスワード生成機能と、Webサイトにアクセスするためのブラウザ機能とを同時に起動できない場合がある。このように複数のアプリケーションを同時に起動できない携帯電話でWebサイトにアクセスする場合、ユーザは、携帯電話のディスプレイに表示されたワンタイムパスワードを、一旦メモまたは暗記しておき、その後ブラウザ機能を立ち上げてWebサイトにアクセスする必要がある。しかしながら、ワンタイムパスワードはランダムな文字列であるため、メモの際の書き間違えや、誤って暗記してしまう場合などがあり、ユーザにとって負荷が大きい。   Here, depending on the model of the mobile phone, the one-time password generation function disclosed in Patent Document 1 and the browser function for accessing the Web site may not be activated at the same time. In this way, when accessing a website with a mobile phone that cannot start multiple applications simultaneously, the user once notes or memorizes the one-time password displayed on the mobile phone display, and then launches the browser function. Need to access the website. However, since the one-time password is a random character string, there is a case where a mistake is made in writing a memo or a case where it is mistakenly memorized.

本発明は上記事情に鑑みてなされたものであり、本発明の目的は、ワンタイムパスワードの入力が必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to improve user convenience when accessing a website that performs advanced user authentication that requires input of a one-time password. It is to improve.

上記課題を解決するために、本発明は、認証システムであって、ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶手段と、前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶手段と、前記ユーザ端末からの要求に前記認証記憶手段に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別手段と、前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶手段に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成手段と、前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶手段から取得するパスワード受信手段と、前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶手段から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成手段と、前記第3のワンタイムパスワードと、前記パスワード受信手段が受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証手段と、を有する。   In order to solve the above-mentioned problem, the present invention is an authentication system, in which an authentication storage that stores terminal identification information of a user terminal, a password generation key for generating a one-time password, and a user ID in association with each other. Means, session information storage means for associating and storing session information and user ID of the user terminal, and terminal identification information of the user terminal stored in the authentication storage means in a request from the user terminal Based on a password generation key corresponding to the terminal identification information stored in the authentication storage means when the request includes terminal identification information of the user terminal. A first generation unit configured to generate a first one-time password and transmit it to the user terminal; and a second one-time password from the user terminal. A password receiving means for receiving a user ID corresponding to the session information from the session information storage means, and a password generation key corresponding to the acquired user ID is specified from the authentication storage means, Whether the second generation means for generating the third one-time password based on the password generation key, the third one-time password, and the second one-time password received by the password reception means match Authentication means for verifying whether or not the authentication is successful if the two match.

また、本発明は、認証システムが行うワンタイムパスワードの認証方法であって、前記認証システムは、ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、前記処理部は、前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を行う。   The present invention is also a one-time password authentication method performed by an authentication system, wherein the authentication system includes terminal identification information of a user terminal, a password generation key for generating a one-time password, and a user ID. An authentication storage unit that stores the information in association with each other, a session information storage unit that stores the session information and user ID of the user terminal in association with each other, and a processing unit. A step of determining whether or not the terminal identification information of the user terminal stored in the authentication storage unit is included in the authentication storage unit, and the authentication when the request includes the terminal identification information of the user terminal A first one-time password is generated based on a password generation key corresponding to the terminal identification information stored in the storage unit, and transmitted to the user terminal A first generating step, a second one-time password and session information received from the user terminal, and a password receiving step for acquiring a user ID corresponding to the session information from the session information storage unit; A second generation step of identifying a password generation key corresponding to the user ID from the authentication storage unit and generating a third one-time password based on the password generation key; the third one-time password; An authentication step is performed to verify whether the second one-time password received in the password receiving step matches, and to determine that the authentication has succeeded if they match.

また、本発明は、認証システムが実行するワンタイムパスワードの認証プログラムであって、前記認証システムは、ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、前記処理部に、前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を実行させる。   The present invention is also a one-time password authentication program executed by an authentication system, wherein the authentication system includes terminal identification information of a user terminal, a password generation key for generating a one-time password, a user ID, Are stored in association with each other, a session information storage unit for storing the session information and user ID of the user terminal in association with each other, and a processing unit. A determination step of determining whether or not the request includes the terminal identification information of the user terminal stored in the authentication storage unit; and when the request includes the terminal identification information of the user terminal, A first one-time password is generated based on a password generation key corresponding to the terminal identification information stored in the authentication storage unit, and the user A first generation step of transmitting at the end, a password receiving step of receiving a second one-time password and session information from the user terminal, and acquiring a user ID corresponding to the session information from the session information storage unit; A second generation step of identifying a password generation key corresponding to the acquired user ID from the authentication storage unit and generating a third one-time password based on the password generation key; and the third one-time password And the authentication step of verifying whether or not the second one-time password received in the password receiving step matches, and determining that the authentication is successful if they match.

本発明では、ワンタイムパスワードの入力が必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することができる。   According to the present invention, when accessing a website that performs advanced user authentication that requires a one-time password, user convenience can be further improved.

以下、本発明の実施の形態について説明する。   Embodiments of the present invention will be described below.

<第1の実施形態>
図1は、本発明の第1の実施形態が適用された認証システムの全体構成図である。 <First Embodiment>
FIG. 1 is an overall configuration diagram of an authentication system to which a first embodiment of the present invention is applied.

図示する認証システムは、ユーザ端末として携帯電話1またはPC(Personal Computer)などの端末2と、認証サーバ5とを有する。これらの装置1、2、5は、携帯電話網やインターネットなどのネットワークを介して接続される。   The illustrated authentication system includes a mobile phone 1 or a terminal 2 such as a PC (Personal Computer) as a user terminal, and an authentication server 5. These devices 1, 2, and 5 are connected via a network such as a cellular phone network or the Internet.

本認証システムのユーザは、認証サーバ5が提供するWebサイトのサービスを利用可能なユーザであって、あらかじめ認証サーバ5に登録し、ユーザIDを取得しているものとする。   It is assumed that the user of this authentication system is a user who can use the Web site service provided by the authentication server 5 and has registered in the authentication server 5 in advance and has acquired a user ID.

また、ユーザは、携帯電話1または端末2を用いて、認証サーバ5のWebサイトにアクセスするものとする。携帯電話1を用いて認証サーバ5のWebサイトにアクセスする場合、ユーザは、認証サーバ5からワンタイムパスワードを取得する。また、端末2を用いて認証サーバ5のWebサイトにアクセスする場合、ユーザは、ハードウェアトークン3からワンタイムパスワードを取得する。   Further, it is assumed that the user accesses the website of the authentication server 5 using the mobile phone 1 or the terminal 2. When accessing the Web site of the authentication server 5 using the mobile phone 1, the user acquires a one-time password from the authentication server 5. When accessing the Web site of the authentication server 5 using the terminal 2, the user acquires a one-time password from the hardware token 3.

携帯電話1は、ユーザの指示を受け付ける指示受付部と、各種の情報・画面を表示する表示部とを有する。指示受付部および表示部は、ブラウザと同様の機能を有するものとする。   The mobile phone 1 includes an instruction receiving unit that receives user instructions and a display unit that displays various types of information and screens. It is assumed that the instruction receiving unit and the display unit have the same functions as the browser.

端末2は、ユーザの各種指示を受け付ける指示受付部と、各種の情報・画面を表示する表示部とを有する。指示受付部および表示部は、ブラウザと同様の機能を有するものとする。   The terminal 2 includes an instruction receiving unit that receives various instructions from the user, and a display unit that displays various information / screens. It is assumed that the instruction receiving unit and the display unit have the same functions as the browser.

ハードウェアトークン3は、ワンタイムパスワードを生成する装置であって、ワンタイムパスワード生成キーと、ワンタイムパスワード生成部と、ワンタイムパスワード表示部とを有する。   The hardware token 3 is a device that generates a one-time password, and includes a one-time password generation key, a one-time password generation unit, and a one-time password display unit.

認証サーバ5は、ユーザ端末(携帯電話1、端末2)からのアクセス要求を認証し、認証に成功した場合に所定のサービスを提供する。図示する認証サーバ5は、1次認証を行う1次認証部51と、ユーザ端末が携帯電話1か否かを判別する判別部52と、ユーザ端末が携帯電話1の場合にワンタイムパスワードを生成する第1の生成部53と、ユーザ端末が端末2の場合にワンタイムパスワードを要求するワンタイムパスワード要求部54と、ユーザ端末からワンタイムパスワードを受信するワンタイムパスワード受信部55と、認証用のワンタイムパスワードを生成する第2の生成部56と、ユーザ端末から送信されたワンタイムパスワードと第2の生成部が生成したワンタイムパスワードとを検証する2次認証部57と、ユーザ端末に所定のサービスを提供する業務処理部58と、を有する。   The authentication server 5 authenticates an access request from a user terminal (mobile phone 1, terminal 2), and provides a predetermined service when the authentication is successful. The authentication server 5 shown in the figure generates a primary authentication unit 51 that performs primary authentication, a determination unit 52 that determines whether or not a user terminal is a mobile phone 1, and a one-time password when the user terminal is a mobile phone 1. A first generation unit 53, a one-time password request unit 54 that requests a one-time password when the user terminal is the terminal 2, a one-time password reception unit 55 that receives a one-time password from the user terminal, and an authentication A second generation unit 56 for generating the one-time password, a secondary authentication unit 57 for verifying the one-time password transmitted from the user terminal and the one-time password generated by the second generation unit, and the user terminal And a business processing unit 58 that provides a predetermined service.

また、認証サーバ5は、認証に必要な各種の情報が記憶される認証テーブル61と、ユーザ端末のセッション情報を記憶するセッション情報テーブル62と、を有する。   The authentication server 5 includes an authentication table 61 that stores various information necessary for authentication, and a session information table 62 that stores session information of the user terminal.

図2は、認証テーブル61の一例を示す図である。図示する認証テーブル61は、ユーザID201と、パスワード202と、携帯電話ID203と、ワンタイムパスワード生成キー204とを有する。携帯電話ID203は、携帯電話あるいはその所持者であるユーザを特定するための情報であって、携帯電話の機種などに応じて様々な情報を用いることができる。例えば、携帯電話ID203に、携帯電話1のメモリ(携帯電話1から着脱可能なICカードを含む)などに記憶された機体識別番号、電話番号、ユーザ情報などを用いることが考えられる。また、携帯電話ID203に、電話番号に基づいてキャリアのゲートウェイが発行する識別情報を用いることことが考えられる。   FIG. 2 is a diagram illustrating an example of the authentication table 61. The illustrated authentication table 61 includes a user ID 201, a password 202, a mobile phone ID 203, and a one-time password generation key 204. The mobile phone ID 203 is information for specifying a mobile phone or a user who is the owner of the mobile phone, and various information can be used according to the model of the mobile phone. For example, it is conceivable to use, as the mobile phone ID 203, a machine identification number, a telephone number, user information, etc. stored in a memory of the mobile phone 1 (including an IC card removable from the mobile phone 1). It is also conceivable to use identification information issued by the carrier gateway based on the telephone number for the mobile phone ID 203.

ワンタイムパスワード生成キー204は、ワンタイムパスワードを生成するための情報であって、固定情報(シード)と可変情報(カウンタ、時刻情報など)とを有する。固定情報は、ユーザ毎(またはユーザID毎)に割り当てられるユニークな文字列である。可変情報は、毎回異なるワンタイムパスワードを生成するための情報である。可変情報としては、例えば、時刻情報(タイムスタンプ)や、ワンタイムパスワードの生成回数を用いることが考えられる。   The one-time password generation key 204 is information for generating a one-time password, and has fixed information (seed) and variable information (counter, time information, etc.). The fixed information is a unique character string assigned to each user (or each user ID). The variable information is information for generating a different one-time password each time. For example, time information (time stamp) or the number of times of one-time password generation may be used as the variable information.

図3は、セッション情報テーブル62の一例を示す図である。図示するセッション情報テーブル62は、セッションID301(セッション情報)とユーザID302とを有する。セッションID301は、認証サーバ5にアクセスしたユーザ端末(携帯電話1または端末2)を識別するための情報であって、ログインからログアウトまでのセッション毎に一意に割り振られる情報である。   FIG. 3 is a diagram illustrating an example of the session information table 62. The illustrated session information table 62 has a session ID 301 (session information) and a user ID 302. The session ID 301 is information for identifying the user terminal (mobile phone 1 or terminal 2) that has accessed the authentication server 5, and is uniquely assigned for each session from login to logout.

上記説明した、携帯電話1、端末2および認証サーバ5は、いずれも、例えば図4に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。   The mobile phone 1, the terminal 2, and the authentication server 5 described above all include, for example, a CPU 901, a memory 902, an external storage device 903 such as an HDD, and an input device 904 such as a keyboard and a mouse as shown in FIG. A general-purpose computer system including an output device 905 such as a display or a printer and a communication control device 906 for connecting to a network can be used. In this computer system, the CPU 901 executes a predetermined program loaded on the memory 902, thereby realizing each function of each device.

例えば、携帯電話1、端末2および認証サーバ5の各機能は、携帯電話1用のプログラムの場合は携帯電話1のCPU901が、端末2のプログラムの場合は端末2のCPU901が、そして、認証サーバ5用のプログラムの場合は認証サーバ5のCPU901が、それぞれ実行することにより実現される。   For example, the functions of the mobile phone 1, the terminal 2, and the authentication server 5 are the CPU 901 of the mobile phone 1 in the case of the program for the mobile phone 1, the CPU 901 of the terminal 2 in the case of the program of the terminal 2, and the authentication server. In the case of the program for 5, the CPU 901 of the authentication server 5 executes the program.

なお、認証サーバ5の認証テーブル61およびセッション情報テーブル62には、認証サーバ5のメモリ902または外部記憶装置903が用いられるものとする。また、認証サーバ5は、複数のサーバにより構成されるものであってもよい。   Note that the memory 902 or the external storage device 903 of the authentication server 5 is used for the authentication table 61 and the session information table 62 of the authentication server 5. Further, the authentication server 5 may be configured by a plurality of servers.

次に、ユーザ端末(携帯電話1または端末2)から認証サーバ5のWebサイトにアクセスする際の処理について説明する。   Next, processing when accessing the Web site of the authentication server 5 from the user terminal (mobile phone 1 or terminal 2) will be described.

図5および図6は、アクセス処理のシーケンス図である。図7は、ユーザ端末の出力装置に表示される各種画面の一例を示したものである。図7(a)は、ユーザ端末が携帯電話1の場合の各種画面例で、図7(b)は、ユーザ端末が端末2の場合の各種画面例である。   5 and 6 are sequence diagrams of the access process. FIG. 7 shows an example of various screens displayed on the output device of the user terminal. FIG. 7A shows various screen examples when the user terminal is the mobile phone 1, and FIG. 7B shows various screen examples when the user terminal is the terminal 2.

ユーザ端末は、ユーザの指示を受け付けて、所定のURL(Uniform Resource Locator)を指定して認証サーバ5のWebサイトにアクセスし、認証サーバ5が提供するログイン画面を取得する。そして、ユーザ端末は、例えば図7(a)に示すログイン画面71を、出力装置に表示する(S11)。   The user terminal receives a user instruction, specifies a predetermined URL (Uniform Resource Locator), accesses the Web site of the authentication server 5, and acquires a login screen provided by the authentication server 5. And a user terminal displays the login screen 71 shown, for example to Fig.7 (a) on an output device (S11).

図7(a)に示すログイン画面71は、ユーザ端末が携帯電話1の場合のログイン画面であって、ユーザID入力欄と、パスワード入力欄と、送信ボタンとが表示されている。なお、ユーザ端末が端末2の場合、図7(a)のログイン画面71と同様のログイン画面が端末2に表示される。ユーザは、あらかじめ認証テーブル61に登録済みのユーザIDおよびパスワードを、それぞれの入力欄に入力し、送信ボタンをクリックする。ユーザ端末は、ユーザIDおよびパスワードを含む一次認証要求を、認証サーバ5に送信する(S12)。   The login screen 71 shown in FIG. 7A is a login screen when the user terminal is the mobile phone 1 and displays a user ID input field, a password input field, and a send button. When the user terminal is the terminal 2, a login screen similar to the login screen 71 in FIG. The user inputs the user ID and password registered in the authentication table 61 in advance in the respective input fields and clicks the send button. The user terminal transmits a primary authentication request including the user ID and password to the authentication server 5 (S12).

認証サーバ5の1次認証部51は、受信した1次認証要求のユーザIDおよびパスワードが認証テーブル61(図2参照)に存在するか否かを判別し、認証テーブル61に存在する場合に正当なユーザからのアクセスであると認証する(S13)。   The primary authentication unit 51 of the authentication server 5 determines whether or not the user ID and password of the received primary authentication request exist in the authentication table 61 (see FIG. 2). It is authenticated that the access is from a different user (S13).

そして、正当なユーザからのアクセスである場合、1次認証部51は、1次認証に成功したことを示すセッションIDを生成し、生成したセッションIDをユーザIDとともに、セッション情報テーブル62に登録する(S14)。1次認証部51は、例えば時刻情報などを用いて当該ユーザ端末を識別するためのユニークなセッションIDを生成する。なお、認証テーブル61に存在しない場合、1次認証部51は、1次認証に失敗したとしてエラーメッセージをユーザ端末に送信する。   If the access is from a legitimate user, the primary authentication unit 51 generates a session ID indicating that the primary authentication is successful, and registers the generated session ID together with the user ID in the session information table 62. (S14). The primary authentication unit 51 generates a unique session ID for identifying the user terminal using time information, for example. If the authentication table 61 does not exist, the primary authentication unit 51 transmits an error message to the user terminal indicating that the primary authentication has failed.

そして、1次認証部51は、所定のメニュー画面と生成したセッションIDとを、ユーザ端末に送信する(S15)。そして、ユーザ端末は、メニュー画面を出力装置に表示する(S16)。図7(a)のメニュー画面82は、携帯電話1に表示されたメニュー画面の一例である。図示するメニュー画面には、認証サーバ5が提供する各種のサービスが表示され、S13の1次認証だけで利用可能なサービス(例えば「照会」)と、2次認証も必要なサービス(例えば「注文」)とが混在している。なお、ユーザ端末が端末2の場合、図7(a)のメニュー画面72と同様のメニュー画面が端末2に表示される。   Then, the primary authentication unit 51 transmits a predetermined menu screen and the generated session ID to the user terminal (S15). Then, the user terminal displays a menu screen on the output device (S16). A menu screen 82 in FIG. 7A is an example of a menu screen displayed on the mobile phone 1. In the illustrated menu screen, various services provided by the authentication server 5 are displayed. A service that can be used only by the primary authentication in S13 (for example, “inquiry”) and a service that requires secondary authentication (for example, “order”). )). When the user terminal is the terminal 2, a menu screen similar to the menu screen 72 in FIG.

ここでユーザは、2次認証も必要なサービス(図示する例では「注文」)を選択するものとする。そして、ユーザ端末は、選択されたメニュー番号と、メニュー画面に埋め込まれたセッションIDとを含むサービス選択指示を認証サーバ5に送信する(S17)。なお、ユーザ端末が携帯電話1の場合、携帯電話1は、認証サーバ5に情報を送信する際に、当該携帯電話1のメモリ等に記憶された携帯電話IDを併せて送信するものとする。   Here, it is assumed that the user selects a service that also requires secondary authentication (“order” in the illustrated example). Then, the user terminal transmits a service selection instruction including the selected menu number and the session ID embedded in the menu screen to the authentication server 5 (S17). When the user terminal is the mobile phone 1, the mobile phone 1 transmits the mobile phone ID stored in the memory or the like of the mobile phone 1 when transmitting information to the authentication server 5.

判別部52は、受信したサービス選択指示のセッションIDがセッション情報テーブル62に存在するか否かをチェックする(S18)。判別部52は、セッション情報テーブル62に存在する場合には当該サービス選択指示は1次認証に成功後のものであるとみなし、セッション情報テーブル62に存在しない場合には当該サービス選択指示は不正なユーザからのものであるとみなしエラーメッセージをユーザ端末に送信する。   The determination unit 52 checks whether or not the session ID of the received service selection instruction exists in the session information table 62 (S18). When the determination unit 52 exists in the session information table 62, the service selection instruction is regarded as being after successful primary authentication. When the determination unit 52 does not exist in the session information table 62, the service selection instruction is invalid. An error message is sent to the user terminal, assuming that it is from the user.

セッションIDがセッション情報テーブル62に存在する場合、判別部52は、当該サービス番号について2次認証が必要なサービスか否かを判別する。なお、認証サーバ5のメモリなどにはサービス番号各々について2次認証の要否が記憶されているものとする。2次認証が不要なサービス番号の場合、判別部52は、サービス番号を業務処理部58に引き渡し、業務処理部58は当該サービス番号のサービスを提供するための所定の業務サービス画面をユーザ端末に送信する。   When the session ID exists in the session information table 62, the determination unit 52 determines whether the service number is a service that requires secondary authentication. It is assumed that the necessity of secondary authentication is stored for each service number in the memory of the authentication server 5 or the like. In the case of a service number that does not require secondary authentication, the determination unit 52 passes the service number to the business processing unit 58, and the business processing unit 58 displays a predetermined business service screen for providing the service of the service number on the user terminal. Send.

2次認証が必要なサービス番号の場合、判別部52は、当該サービス選択指示に携帯電話IDが含まれているか否かを判別する(S19)。携帯電話IDが含まれていない場合(S19:無)、すなわちユーザ端末がPCなどの端末2の場合、図6の処理に進む。一方、携帯電話IDが含まれている場合(S19:有)、すなわちユーザ端末が携帯電話1の場合、判別部52は、当該携帯電話IDおよびユーザIDが認証テーブル61に存在するか否かをチェックする(S20)。なお、判別部52は、セッション情報テーブル62から当該セッションIDに対応するユーザIDを取得するものとする。   If the service number requires secondary authentication, the determination unit 52 determines whether or not the mobile phone ID is included in the service selection instruction (S19). When the mobile phone ID is not included (S19: None), that is, when the user terminal is the terminal 2 such as a PC, the process proceeds to the process of FIG. On the other hand, when the mobile phone ID is included (S19: Present), that is, when the user terminal is the mobile phone 1, the determination unit 52 determines whether or not the mobile phone ID and the user ID exist in the authentication table 61. Check (S20). Note that the determination unit 52 acquires a user ID corresponding to the session ID from the session information table 62.

認証テーブル61に存在する場合、判別部52は、当該レコードに設定されたパスワード生成キーを取得して第1の生成部53に送出する。一方、認証テーブル61の中に存在しない場合、判別部52は、不正なユーザまたはワンタイムパスワードの発行サービスに未登録のユーザからの要求であると判別し、エラーメッセージをユーザ端末に送信する。   If it exists in the authentication table 61, the determination unit 52 acquires the password generation key set in the record and sends it to the first generation unit 53. On the other hand, when it does not exist in the authentication table 61, the determination unit 52 determines that the request is from an unauthorized user or a user who is not registered in the one-time password issuing service, and transmits an error message to the user terminal.

第1の生成部53は、送出されたパスワード生成キーに基づいて、所定のアルゴリズム(例えば、ハッシュ関数等の一方向性関数)によりワンタイムパスワードを生成する(S21)。   The first generation unit 53 generates a one-time password by a predetermined algorithm (for example, a one-way function such as a hash function) based on the transmitted password generation key (S21).

そして、第1の生成部53は、生成したワンタイムパスワードを含むワンタイムパスワード確認画面と、セッションIDとをユーザ端末に送信する(S22)。ユーザ端末は、例えば、図7(a)のワンタイムパスワード確認画面73を出力装置に表示する(S23)。ユーザが当該画面のOKボタンをクリックすることにより、ユーザ端末は、表示されたワンタイムパスワード、および当該画面に埋め込まれたセッションIDを認証サーバ5に送信する(S24)。   Then, the first generation unit 53 transmits the one-time password confirmation screen including the generated one-time password and the session ID to the user terminal (S22). For example, the user terminal displays the one-time password confirmation screen 73 of FIG. 7A on the output device (S23). When the user clicks the OK button on the screen, the user terminal transmits the displayed one-time password and the session ID embedded in the screen to the authentication server 5 (S24).

認証サーバ5のワンタイムパスワード受信部55は、S18と同様に、受信したセッションIDがセッション情報テーブル62に存在するか否かをチェックする(S25)。セッション情報テーブル62に存在する場合、ワンタイムパスワード受信部55は、セッション情報テーブル62から対応するユーザIDを取得する。そして、ワンタイムパスワード受信部55は、認証テーブル61から取得したユーザIDに対応するワンタイムパスワード生成キーを取得して第2の生成部56に送出する。   The one-time password receiving unit 55 of the authentication server 5 checks whether or not the received session ID exists in the session information table 62 as in S18 (S25). If the session information table 62 exists, the one-time password receiving unit 55 acquires the corresponding user ID from the session information table 62. Then, the one-time password receiving unit 55 acquires a one-time password generation key corresponding to the user ID acquired from the authentication table 61 and sends it to the second generation unit 56.

第2の生成部56は、送出されたパスワード生成キーに基づいて、S21と同様のアルゴリズムによりワンタイムパスワードを生成する(S26)。そして、2次認証部57は、S24で受信したワンタイムパスワードと、S26で生成したワンタイムパスワードとが一致するか否かを判別する(S27)。ワンタイムパスワードが一致した場合、2次認証部57は、正当なユーザからの要求であると認証し、2次認証に成功した旨を示すログイン後画面をユーザ端末に送信する(S28)。   Based on the transmitted password generation key, the second generation unit 56 generates a one-time password using the same algorithm as in S21 (S26). Then, the secondary authentication unit 57 determines whether or not the one-time password received in S24 matches the one-time password generated in S26 (S27). If the one-time passwords match, the secondary authentication unit 57 authenticates that the request is from a legitimate user, and transmits a post-login screen indicating that the secondary authentication has been successful to the user terminal (S28).

ユーザ端末は、例えば図7(a)に示すログイン後画面74を、出力装置に表示する(S29)。図示する画面の場合、ユーザが「次へ」のボタンをクリックすることにより、認証サーバ5の業務処理部58は、S17で送信されたメニュー番号のサービスをユーザに提供する。なお、ワンタイムパスワードが一致しない場合(S27)、2次認証部57は、2次認証に失敗した旨を示すエラーメッセージを端末2に送信する。   The user terminal displays, for example, a post-login screen 74 shown in FIG. 7A on the output device (S29). In the case of the illustrated screen, when the user clicks the “Next” button, the business processing unit 58 of the authentication server 5 provides the user with the service of the menu number transmitted in S17. When the one-time passwords do not match (S27), the secondary authentication unit 57 transmits an error message indicating that the secondary authentication has failed to the terminal 2.

次に、携帯電話IDが含まれていない場合(S19:無)、すなわちユーザ端末がPCなどの端末2の場合の処理を、図6を参照して説明する。   Next, processing when the mobile phone ID is not included (S19: None), that is, when the user terminal is the terminal 2 such as a PC will be described with reference to FIG.

認証サーバ5のワンタイムパスワード要求部54は、ユーザ端末にワンタイムパスワードを要求する(S41)。すなわち、ワンタイムパスワード要求部54は、ワンタイムパスワード入力画面と、セッションIDとをユーザ端末に送信する。ユーザ端末は、例えば、図7(b)のワンタイムパスワード入力画面75を出力装置に表示する(S42)。   The one-time password request unit 54 of the authentication server 5 requests a one-time password from the user terminal (S41). That is, the one-time password request unit 54 transmits a one-time password input screen and a session ID to the user terminal. For example, the user terminal displays the one-time password input screen 75 of FIG. 7B on the output device (S42).

ユーザは、ハードウェアトークン3に表示されたワンタイムパスワードを、ワンタイムパスワード入力画面に入力し、送信ボタンをクリックする。ハードウェアトークン3のメモリには、当該ハードウェアトークン3を使用するユーザのユーザID固有のワンタイムパスワード生成キーが設定されている。なお、ハードウェアトークン3に記憶されたワンタイムパスワード生成キーと、認証テーブル61の対応するワンタイムパスワード生成キーとは、同じものである。ハードウェアトークン3は、所定のタイミングでまたはユーザの指示を受け付けて、認証サーバ5と同様のアルゴリズム(S21、S26)によりワンタイムパスワードを生成し、ディスプレイなどの表示装置に表示する。   The user inputs the one-time password displayed on the hardware token 3 on the one-time password input screen and clicks the send button. In the memory of the hardware token 3, a one-time password generation key specific to the user ID of the user who uses the hardware token 3 is set. The one-time password generation key stored in the hardware token 3 and the corresponding one-time password generation key in the authentication table 61 are the same. The hardware token 3 receives a user instruction at a predetermined timing, generates a one-time password by the same algorithm (S21, S26) as the authentication server 5, and displays it on a display device such as a display.

なお、ワンタイムパスワードを生成する手段は、ハードウェアトークン3を利用する場合に限定されず、他の端末を通じてワンタイムパスワードの発行を受ける場合、携帯電話1のワンタイムパスワード生成アプリを用いる場合などが考えられる。   Note that the means for generating the one-time password is not limited to using the hardware token 3, but when receiving a one-time password issued through another terminal, using the one-time password generating application of the mobile phone 1, etc. Can be considered.

ユーザ端末は、ユーザが入力したワンタイムパスワードと、セッションIDとを認証サーバ5に送信する(S43)。認証サーバ5は、図5で説明したS25からS28と同様に、セッション情報のチェック、ワンタイムパスワードの生成、および生成したワンタイムパスワードとユーザ端末から受信したワンタイムパスワードとが一致するか否かの2次認証を行い、ログイン後画面をユーザ端末に送信する(S44〜S47)。ユーザ端末は、例えば図7(b)に示すログイン後画面76を、出力装置に表示する(S48)。   The user terminal transmits the one-time password input by the user and the session ID to the authentication server 5 (S43). As in S25 to S28 described in FIG. 5, the authentication server 5 checks session information, generates a one-time password, and whether the generated one-time password matches the one-time password received from the user terminal. Secondary authentication is performed, and the screen after login is transmitted to the user terminal (S44 to S47). The user terminal displays, for example, a post-login screen 76 shown in FIG. 7B on the output device (S48).

以上説明した本実施形態の認証サーバ5は、ユーザ端末から送信されたサービス選択指示などの要求に、携帯電話IDが含まれている場合はユーザ端末が携帯電話であると判別し、ワンタイムパスワードを生成して携帯電話に送信する。これにより、ユーザは、認証サーバ5のWebサイトへのアクセス処理を中断することなく、携帯電話1に表示されたワンタイムパスワードを容易に認証サーバ5に送信することができる。すなわち、本実施形態では、携帯電話の機種に関わらず、ワンタイムパスワードの入力が必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することができる。また、本実施形態では、ワンタイムパスワードの生成機能を有しない携帯電話であっても、ワンタイムパスワードの入力が必要なWebサイトに容易にアクセスすることができる。   The authentication server 5 of the present embodiment described above determines that the user terminal is a mobile phone when the request for a service selection instruction or the like transmitted from the user terminal includes a mobile phone ID, and the one-time password Is generated and sent to the mobile phone. Thereby, the user can easily transmit the one-time password displayed on the mobile phone 1 to the authentication server 5 without interrupting the access process of the authentication server 5 to the Web site. In other words, in this embodiment, user convenience can be further improved when accessing a website that performs advanced user authentication that requires the entry of a one-time password, regardless of the type of mobile phone. . In the present embodiment, even a mobile phone that does not have a one-time password generation function can easily access a Web site that requires the input of a one-time password.

また、本実施形態の認証サーバ5は、ユーザ端末から送信された要求に携帯電話IDが含まれていない場合は、ユーザ端末がPCなどの端末であると判別し、ワンタイムパスワードの入力を要求する。これにより、本実施形態では、ユーザ端末が携帯電話の場合に限らずパソコンなどの端末であっても、ハードウェアトークンを利用することにより、容易にワンタイムパスワードの入力が必要なWebサイトにアクセスすることができる。   Further, the authentication server 5 according to the present embodiment determines that the user terminal is a terminal such as a PC and requests input of a one-time password when the request transmitted from the user terminal does not include the mobile phone ID. To do. As a result, in this embodiment, even if the user terminal is a mobile phone, even if the user terminal is a terminal such as a personal computer, a hardware token is used to access a Web site that requires easy input of a one-time password. can do.

また、本実施形態の認証サーバ5は、まずユーザIDおよびパスワードの1次認証を行い、1次認証に成功した場合にセッションIDをセッション情報テーブルに記憶し、その後、ワンタイムパスワードの2次認証を行う。これにより、サービスの種類に応じて柔軟に認証レベルを設定することができる。   Further, the authentication server 5 of the present embodiment first performs primary authentication of the user ID and password, stores the session ID in the session information table when the primary authentication is successful, and then performs secondary authentication of the one-time password. I do. Thereby, an authentication level can be flexibly set according to the type of service.

なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、上記実施形態では、図5のアクセス処理のS22からS24において、認証サーバ5はワンタイムパスワード確認画面を携帯電話に表示させ、ユーザの指示によりワンタイムパスワードを認証サーバ5に送信させることとした。しかしながら、認証サーバ5の第1の生成部53は、ワンタイムパスワード確認画面を携帯電話に表示させることなく、生成したワンタイムパスワードを当該認証システムに自動的に送信させるリダイレクト指示をユーザ端末に送信することとしてもよい。これにより、ユーザの利便性をより向上することができる。   In addition, this invention is not limited to said embodiment, Many deformation | transformation are possible within the range of the summary. For example, in the above embodiment, in S22 to S24 of the access process of FIG. 5, the authentication server 5 displays a one-time password confirmation screen on the mobile phone, and transmits the one-time password to the authentication server 5 according to a user instruction. did. However, the first generation unit 53 of the authentication server 5 transmits a redirect instruction for automatically transmitting the generated one-time password to the authentication system without displaying the one-time password confirmation screen on the mobile phone. It is good to do. Thereby, a user's convenience can be improved more.

また、上記実施形態の認証サーバ5は、第1および第2の生成部53、56を有するが、1つの生成部が携帯電話1に送信するワンタイムパスワードを生成するとともに(図5:S21)、認証用のワンタイムパスワードを生成する(図5:S26)こととしてもよい。   In addition, the authentication server 5 of the above embodiment includes the first and second generation units 53 and 56, and one generation unit generates a one-time password to be transmitted to the mobile phone 1 (FIG. 5: S21). A one-time password for authentication may be generated (FIG. 5: S26).

<第2の実施形態>
図8は、本発明の第2の実施形態が適用された認証システムの全体構成図である。 <Second Embodiment>
FIG. 8 is an overall configuration diagram of an authentication system to which the second exemplary embodiment of the present invention is applied.

図示する認証システムは、ユーザ端末として携帯電話1またはPC(Personal Computer)などの端末2と、業務サーバ7と、認証サーバ8とを有する。業務サーバ7は、携帯電話1および端末2と携帯電話網やインターネットなどのネットワークを介して接続されるとともに、認証サーバ8とLANなどのネットワークにより接続される。   The illustrated authentication system includes a mobile phone 1 or a terminal 2 such as a PC (Personal Computer), a business server 7, and an authentication server 8 as user terminals. The business server 7 is connected to the mobile phone 1 and the terminal 2 via a network such as a mobile phone network or the Internet, and is connected to the authentication server 8 via a network such as a LAN.

本実施形態の業務サーバ7は、ユーザ端末(携帯電話1、端末2)からのアクセス要求を認証サーバ8とともに認証し、認証に成功した場合に所定のサービスを提供する。図示する業務サーバ7は、1次認証を行う1次認証部71と、ユーザ端末が携帯電話1か否かを判別する判別部72と、ユーザ端末が携帯電話1の場合にPINを要求するPIN要求部73と、ユーザ端末が端末2の場合にワンタイムパスワードを要求するワンタイムパスワード要求部74と、ユーザ端末からワンタイムパスワードを受信するワンタイムパスワード受信部75と、ワンタイムパスワードを生成する生成部76と、ユーザ端末から送信されたワンタイムパスワードと生成部76が生成したワンタイムパスワードとを検証する2次認証部77と、ユーザ端末に所定のサービスを提供する業務処理部78と、を有する。   The business server 7 of this embodiment authenticates an access request from a user terminal (mobile phone 1, terminal 2) together with the authentication server 8, and provides a predetermined service when the authentication is successful. The business server 7 shown in the figure includes a primary authentication unit 71 that performs primary authentication, a determination unit 72 that determines whether or not the user terminal is a mobile phone 1, and a PIN that requests a PIN when the user terminal is the mobile phone 1. A request unit 73, a one-time password request unit 74 that requests a one-time password when the user terminal is the terminal 2, a one-time password reception unit 75 that receives a one-time password from the user terminal, and a one-time password are generated. A generation unit 76, a secondary authentication unit 77 that verifies the one-time password transmitted from the user terminal and the one-time password generated by the generation unit 76, a business processing unit 78 that provides a predetermined service to the user terminal, Have

また、図示する業務サーバ7は、認証に必要な各種の情報が記憶される第1の認証テーブル79と、第1の実施形態のセッション情報テーブル62(図3参照)と同様のセッション情報テーブル80と、を有する。   The illustrated business server 7 includes a first authentication table 79 that stores various information necessary for authentication, and a session information table 80 similar to the session information table 62 (see FIG. 3) of the first embodiment. And having.

本実施形態の認証サーバ8は、業務サーバ7の要求を受け付けて携帯電話IDの検証を行う携帯電話ID検証部81と、業務サーバ7の要求を受け付けてPINの検証を行うPIN検証部82と、第2の認証テーブル85とを有する。   The authentication server 8 of the present embodiment includes a mobile phone ID verification unit 81 that receives a request from the business server 7 and verifies the mobile phone ID, and a PIN verification unit 82 that receives a request from the business server 7 and verifies the PIN. And a second authentication table 85.

図9は、業務サーバ7の第1の認証テーブル79の一例を示す図である。図示する第1の認証テーブル79は、ユーザID111と、パスワード112と、ワンタイムパスワード生成キー113とを有する。   FIG. 9 is a diagram illustrating an example of the first authentication table 79 of the business server 7. The illustrated first authentication table 79 includes a user ID 111, a password 112, and a one-time password generation key 113.

図10は、認証サーバ8の第2の認証テーブル85の一例を示す図である。図示する第2の認証テーブル80は、ユーザID121と、携帯電話ID122(機体識別番号、電話番号、携帯電話のICメモリに記憶されたユーザ情報など)と、ユーザが任意に設定する暗証番号であるPIN(Personal Identification Number)123とを有する。   FIG. 10 is a diagram illustrating an example of the second authentication table 85 of the authentication server 8. The second authentication table 80 shown in the figure is a user ID 121, a mobile phone ID 122 (machine identification number, telephone number, user information stored in the IC memory of the mobile phone, etc.), and a password arbitrarily set by the user. PIN (Personal Identification Number) 123.

次に、ユーザ端末(携帯電話1または端末2)から業務サーバ7のWebサイトにアクセスする際の処理について説明する。   Next, processing when accessing the Web site of the business server 7 from the user terminal (mobile phone 1 or terminal 2) will be described.

図11および図12は、アクセス処理のシーケンス図である。   11 and 12 are sequence diagrams of access processing.

図11のS51からS58までの処理は、第1の実施形態の処理(図5:S11〜S18)と同様であるため、ここでは説明を省略する。なお、本実施形態では、第1の実施形態で認証サーバ5の1次認証部51および判別部52が行っていた処理を、業務サーバ7の1次認証部71および判別部72が行う。   Since the processing from S51 to S58 in FIG. 11 is the same as the processing in the first embodiment (FIG. 5: S11 to S18), description thereof is omitted here. In the present embodiment, the processing performed by the primary authentication unit 51 and the determination unit 52 of the authentication server 5 in the first embodiment is performed by the primary authentication unit 71 and the determination unit 72 of the business server 7.

S59において、業務サーバ7の判別部72は、当該サービス番号について2次認証が必要なサービスか否かを判別し、2次認証が不要なサービス番号の場合はサービス番号を業務処理部78に引き渡し、業務処理部78は当該サービス番号のサービスを提供するための所定の業務サービス画面をユーザ端末に送信する。一方、2次認証が必要なサービス番号の場合、判別部72は、当該サービス選択指示に携帯電話IDが含まれているか否かを判別する。   In S <b> 59, the determination unit 72 of the business server 7 determines whether or not the service number is a service that requires secondary authentication. If the service number does not require secondary authentication, the service number is transferred to the business processing unit 78. The business processing unit 78 transmits a predetermined business service screen for providing the service of the service number to the user terminal. On the other hand, in the case of a service number that requires secondary authentication, the determination unit 72 determines whether or not a mobile phone ID is included in the service selection instruction.

携帯電話IDが含まれていない場合(S59:無)、すなわちユーザ端末がPCなどの端末2の場合、図12の処理に進む。一方、携帯電話IDが含まれている場合(S59:有)、すなわちユーザ端末が携帯電話1の場合、判別部72は、当該携帯電話IDおよびユーザIDの検証要求を認証サーバ8に送信する(S60)。なお、判別部72は、セッション情報テーブル80から当該セッションIDに対応するユーザIDを取得するものとする。   If the mobile phone ID is not included (S59: None), that is, if the user terminal is the terminal 2 such as a PC, the process proceeds to the process of FIG. On the other hand, when the mobile phone ID is included (S59: Yes), that is, when the user terminal is the mobile phone 1, the determination unit 72 transmits a verification request for the mobile phone ID and the user ID to the authentication server 8 ( S60). Note that the determination unit 72 acquires a user ID corresponding to the session ID from the session information table 80.

認証サーバ8の携帯電話ID検証部81は、業務サーバ7が送信した検証要求に含まれる携帯電話IDおよびユーザIDが、第2の認証テーブル85に存在するか否かをチェックする(S61)。第2の認証テーブル85の中に存在しない場合(S61:NG)、携帯電話ID検証部81は、認証サーバ8への登録を行っていない未登録ユーザからの要求であると判別し、検証結果(NGデータ)を業務サーバ7に送信し(S62)、図12の処理に進む。一方、第2の認証テーブル85に存在する場合、携帯電話ID検証部81は、検証結果(OKデータ)を業務サーバ7に送信する(S63)。   The mobile phone ID verification unit 81 of the authentication server 8 checks whether or not the mobile phone ID and the user ID included in the verification request transmitted by the business server 7 exist in the second authentication table 85 (S61). If it does not exist in the second authentication table 85 (S61: NG), the mobile phone ID verification unit 81 determines that the request is from an unregistered user who has not registered in the authentication server 8, and the verification result (NG data) is transmitted to the business server 7 (S62), and the process proceeds to FIG. On the other hand, when it exists in the 2nd authentication table 85, the mobile telephone ID verification part 81 transmits a verification result (OK data) to the business server 7 (S63).

業務サーバ7のPIN要求部73は、ユーザ端末にPIN(暗証番号)を要求する(S64)。すなわち、PIN要求部73は、PIN入力画面と、セッションIDとをユーザ端末に送信する。ユーザ端末は、PINの入力欄が設定されたPIN入力画面を出力装置に表示する(S65)。   The PIN requesting unit 73 of the business server 7 requests a PIN (password) from the user terminal (S64). That is, the PIN requesting unit 73 transmits a PIN input screen and a session ID to the user terminal. The user terminal displays a PIN input screen in which the PIN input field is set on the output device (S65).

ユーザは、あらかじめ認証サーバ8に登録したPINをPIN入力画面に入力する。ユーザ端末は、ユーザが入力したPINと、セッションIDとを業務サーバ7に送信する(S66)。業務サーバ7のPIN要求部73は、受信したセッションIDがセッション情報テーブル80に存在するか否かをチェックする(S67)。セッション情報テーブル80に存在する場合、PIN要求部73は、当該PINおよびユーザIDの検証要求を認証サーバ8に送信する(S68)。なお、PIN要求部73は、セッション情報テーブル80から当該セッションIDに対応するユーザIDを取得するものとする。   The user inputs a PIN registered in the authentication server 8 in advance on the PIN input screen. The user terminal transmits the PIN entered by the user and the session ID to the business server 7 (S66). The PIN request unit 73 of the business server 7 checks whether or not the received session ID exists in the session information table 80 (S67). If it exists in the session information table 80, the PIN request unit 73 sends a verification request for the PIN and user ID to the authentication server 8 (S68). It is assumed that the PIN request unit 73 acquires a user ID corresponding to the session ID from the session information table 80.

認証サーバ8のPIN検証部82は、業務サーバ7が送信したPINおよびユーザIDが、第2の認証テーブル85に存在するか否かをチェックし(S69)、検証結果(OKまたはNG)を業務サーバ7に送信する(S70)。業務サーバ7の2次認証部77は、OKの検証結果の場合、正当なユーザからの要求であると認証し、2次認証に成功した旨を示す2次認証後画面をユーザ端末に送信する(S71)。ユーザ端末は、例えば図7(a)に示すログイン後画面74を、出力装置に表示する(S72)。   The PIN verification unit 82 of the authentication server 8 checks whether the PIN and user ID transmitted by the business server 7 exist in the second authentication table 85 (S69), and uses the verification result (OK or NG) as the business. It transmits to the server 7 (S70). If the verification result is OK, the secondary authentication unit 77 of the business server 7 authenticates that the request is from a legitimate user, and transmits a secondary authentication screen indicating that the secondary authentication is successful to the user terminal. (S71). For example, the user terminal displays a post-login screen 74 shown in FIG. 7A on the output device (S72).

なお、携帯電話IDが含まれていない場合、すなわちユーザ端末がPCなどの端末2の場合(S59:無)の処理と、携帯電話IDが認証サーバ8の第2の認証テーブルに登録されていない場合の処理(S61:NG)は、図12に示すとおりである。図12のS81からS88までの処理は、第1の実施形態の処理(図6:S41〜S48)と同様であるため、ここでは説明を省略する。図12の本実施形態では、第1の実施形態で認証サーバ5のワンタイムパスワード要求部54、ワンタイムパスワード受信部55、第2の生成部56および2次認証部57が行う処理を、業務サーバ7のワンタイムパスワード要求部74、ワンタイムパスワード受信部75、生成部76および2次認証部77が行う。   When the mobile phone ID is not included, that is, when the user terminal is a terminal 2 such as a PC (S59: None), the mobile phone ID is not registered in the second authentication table of the authentication server 8. The process in the case (S61: NG) is as shown in FIG. The processes from S81 to S88 in FIG. 12 are the same as the processes in the first embodiment (FIG. 6: S41 to S48), and thus description thereof is omitted here. In the present embodiment of FIG. 12, the processing performed by the one-time password request unit 54, the one-time password reception unit 55, the second generation unit 56, and the secondary authentication unit 57 of the authentication server 5 in the first embodiment This is performed by the one-time password request unit 74, the one-time password reception unit 75, the generation unit 76, and the secondary authentication unit 77 of the server 7.

以上説明した本実施形態の業務サーバ7および認証サーバ8は、ユーザ端末から送信されたサービス選択指示などの要求に、携帯電話IDが含まれている場合はユーザ端末が携帯電話であると判別し、ワンタイムパスワードの替わりにPINの入力を要求する。ユーザは、認証サーバ5のWebサイトへのアクセス処理を中断することなく、PINを入力することにより2次認証に応答することができる。すなわち、本実施形態では、携帯電話の機種に関わらず、必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することができる。また、本実施形態では、ワンタイムパスワードの生成機能を有しない携帯電話であっても、高度なユーサ認証を行っているWebサイトに容易にアクセスすることができる。   The business server 7 and the authentication server 8 of the present embodiment described above determine that the user terminal is a mobile phone if the request such as a service selection instruction transmitted from the user terminal includes a mobile phone ID. Require PIN input instead of one-time password. The user can respond to the secondary authentication by inputting the PIN without interrupting the access process of the authentication server 5 to the Web site. That is, in the present embodiment, user convenience can be further improved when accessing a website that performs necessary advanced user authentication regardless of the model of the mobile phone. Further, in the present embodiment, even a mobile phone that does not have a one-time password generation function can easily access a website that performs advanced user authentication.

また、本実施形態の業務サーバ7および認証サーバ8は、ユーザ端末から送信された要求に、携帯電話IDが含まれていない場合は、ユーザ端末がPCなどの端末であると判別し、ワンタイムパスワードの入力を要求する。これにより、本実施形態では、ユーザ端末が携帯電話の場合に限らず、パソコンなどの端末であっても、ハードウェアトークンを利用することにより、容易にワンタイムパスワードの入力が必要なWebサイトにアクセスすることができる。   Further, the business server 7 and the authentication server 8 according to the present embodiment determine that the user terminal is a terminal such as a PC when the mobile phone ID is not included in the request transmitted from the user terminal, and the one-time Require password entry. As a result, in this embodiment, the user terminal is not limited to a mobile phone, and even if the user terminal is a terminal such as a personal computer, a hardware token is used to create a website that requires a one-time password. Can be accessed.

なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、上記実施形態では、図11のアクセス処理のS61において携帯電話IDが第2の認証テーブルに登録されていた場合(S61:OK)、PIN入力画面をユーザ端末に送信することとした(S64)。しかしながら、業務サーバ7は、第1の実施形態のようにワンタイムパスワードを生成し、ワンタイムパスワード確認画面をユーザ端末に送信し(図5:S21〜S24)、その後、PIN入力画面をユーザ端末に送信することととしてもよい。   In addition, this invention is not limited to said embodiment, Many deformation | transformation are possible within the range of the summary. For example, in the above embodiment, when the mobile phone ID is registered in the second authentication table in S61 of the access process of FIG. 11 (S61: OK), the PIN input screen is transmitted to the user terminal (S64). ). However, the business server 7 generates a one-time password as in the first embodiment, transmits a one-time password confirmation screen to the user terminal (FIG. 5: S21 to S24), and then displays the PIN input screen as the user terminal. It is good also as transmitting to.

本発明の第1の実施形態が適用された認証システムの全体構成図である。1 is an overall configuration diagram of an authentication system to which a first embodiment of the present invention is applied. 認証テーブルの一例を示す図である。It is a figure which shows an example of an authentication table. セッション情報テーブルの一例を示す図である。It is a figure which shows an example of a session information table. 各装置のハードウェア構成例を示す図である。It is a figure which shows the hardware structural example of each apparatus. アクセス処理のシーケンス図である。It is a sequence diagram of an access process. アクセス処理のシーケンス図である。It is a sequence diagram of an access process. ユーザ端末の各種画面例である。It is an example of various screens of a user terminal. 本発明の第2の実施形態が適用された認証システムの全体構成図である。It is a whole block diagram of the authentication system to which the 2nd Embodiment of this invention was applied. 第1の認証テーブルの一例を示す図である。It is a figure which shows an example of a 1st authentication table. 第2の認証テーブルの一例を示す図である。It is a figure which shows an example of a 2nd authentication table. アクセス処理のシーケンス図である。It is a sequence diagram of an access process. アクセス処理のシーケンス図である。It is a sequence diagram of an access process.

符号の説明Explanation of symbols

1:携帯電話、2:端末、3:ハードウェアトークン、5:認証サーバ、51:1次認証部、52:判別部、53:第1の生成部、54:ワンタイムパスワード要求部、55:ワンタイムパスワード受信部、56:第2の生成部、57:2次認証部、58:業務処理部、61:認証テーブル、62:セッション情報テーブル   1: mobile phone, 2: terminal, 3: hardware token, 5: authentication server, 51: primary authentication unit, 52: discrimination unit, 53: first generation unit, 54: one-time password request unit, 55: One-time password receiving unit, 56: second generation unit, 57: secondary authentication unit, 58: business processing unit, 61: authentication table, 62: session information table

Claims (7)

認証システムであって、
ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶手段と、
前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶手段と、
前記ユーザ端末からの要求に前記認証記憶手段に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別手段と、
前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶手段に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成手段と、
前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶手段から取得するパスワード受信手段と、
前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶手段から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成手段と、
前記第3のワンタイムパスワードと、前記パスワード受信手段が受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証手段と、を有すること
を特徴とする認証システム。 An authentication system,
Authentication storage means for storing terminal identification information of a user terminal, a password generation key for generating a one-time password, and a user ID in association with each other;
Session information storage means for storing session information of the user terminal and a user ID in association with each other;
Determining means for determining whether or not the request from the user terminal includes terminal identification information of the user terminal stored in the authentication storage means;
When the request includes terminal identification information of the user terminal, a first one-time password is generated based on a password generation key corresponding to the terminal identification information stored in the authentication storage unit, First generation means for transmitting to the user terminal;
Password receiving means for receiving a second one-time password and session information from the user terminal, and obtaining a user ID corresponding to the session information from the session information storage means;
A second generation unit that identifies a password generation key corresponding to the acquired user ID from the authentication storage unit, and generates a third one-time password based on the password generation key;
Authentication means for verifying whether or not the third one-time password matches the second one-time password received by the password receiving means, and determining that the authentication is successful if they match. An authentication system characterized by this. 請求項1記載の認証システムであって、
前記パスワード受信手段が受信した第2のワンタイムパスワードは、前記第1の生成手段が生成した第1のワンタイムパスワード、または、前記ユーザ端末においてユーザが入力したワンタイムパスワードであること
を特徴とする認証システム。 The authentication system according to claim 1,
The second one-time password received by the password receiving unit is the first one-time password generated by the first generation unit or the one-time password input by the user at the user terminal. Authentication system. 請求項1記載の認証システムであって、
前記要求に前記ユーザ端末の端末識別情報が含まれていない場合、ワンタイムパスワードを要求する要求指示を前記ユーザ端末に送信するワンタイムパスワード要求手段を、さらに有すること
を特徴とする認証システム。 The authentication system according to claim 1,
An authentication system, further comprising: a one-time password request means for transmitting a request instruction for requesting a one-time password to the user terminal when the request does not include the terminal identification information of the user terminal. 請求項1記載の認証システムであって、
前記第1の生成手段は、生成した第1のワンタイムパスワードを、当該認証システムに送信させるリダイレクト指示を前記ユーザ端末に送信すること
を特徴とする認証システム。 The authentication system according to claim 1,
The first generation means transmits to the user terminal a redirect instruction for transmitting the generated first one-time password to the authentication system. 請求項1記載の認証システムであって、
前記ユーザ端末からユーザIDを含む1次認証要求を受信し、前記ユーザIDが前記認証記憶手段に記憶されている場合に1次認証に成功したことを示す前記セッション情報を生成し、前記ユーザIDとともにセッション情報記憶手段に記憶する1次認証手段を、さらに有すること
を特徴とする認証システム。 The authentication system according to claim 1,
Receiving a primary authentication request including a user ID from the user terminal, and generating the session information indicating that the primary authentication is successful when the user ID is stored in the authentication storage unit; An authentication system further comprising primary authentication means for storing the information in the session information storage means. 認証システムが行うワンタイムパスワードの認証方法であって、
前記認証システムは、
ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、
前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、
前記処理部は、
前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、
前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、
前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、
前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、
前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を行うこと
を特徴とする認証方法。 A one-time password authentication method performed by an authentication system,
The authentication system includes:
An authentication storage unit that stores terminal identification information of a user terminal, a password generation key for generating a one-time password, and a user ID in association with each other;
A session information storage unit that stores session information of the user terminal and a user ID in association with each other, and a processing unit;
The processor is
A determination step of determining whether or not the request from the user terminal includes terminal identification information of the user terminal stored in the authentication storage unit;
When the request includes terminal identification information of the user terminal, a first one-time password is generated based on a password generation key corresponding to the terminal identification information stored in the authentication storage unit, A first generating step for transmitting to the user terminal;
A password receiving step of receiving a second one-time password and session information from the user terminal, and acquiring a user ID corresponding to the session information from the session information storage unit;
A second generation step of identifying a password generation key corresponding to the acquired user ID from the authentication storage unit, and generating a third one-time password based on the password generation key;
An authentication step is performed to verify whether or not the third one-time password matches the second one-time password received in the password reception step, and to determine that the authentication is successful if they match. An authentication method characterized by this. 認証システムが実行するワンタイムパスワードの認証プログラムであって、
前記認証システムは、
ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、
前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、
前記処理部に、
前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、
前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、
前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、
前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、
前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を実行させること
を特徴とする認証プログラム。 A one-time password authentication program executed by the authentication system,
The authentication system includes:
An authentication storage unit that stores terminal identification information of a user terminal, a password generation key for generating a one-time password, and a user ID in association with each other;
A session information storage unit that stores session information of the user terminal and a user ID in association with each other, and a processing unit;
In the processing unit,
A determination step of determining whether or not the request from the user terminal includes terminal identification information of the user terminal stored in the authentication storage unit;
When the request includes terminal identification information of the user terminal, a first one-time password is generated based on a password generation key corresponding to the terminal identification information stored in the authentication storage unit, A first generating step for transmitting to the user terminal;
A password receiving step of receiving a second one-time password and session information from the user terminal, and acquiring a user ID corresponding to the session information from the session information storage unit;
A second generation step of identifying a password generation key corresponding to the acquired user ID from the authentication storage unit, and generating a third one-time password based on the password generation key;
An authentication step for verifying whether or not the third one-time password matches the second one-time password received in the password reception step, and determining that the authentication is successful if they match An authentication program characterized by
JP2007084047A 2007-03-28 2007-03-28 Authentication system, authentication method, and authentication program Expired - Fee Related JP4960738B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007084047A JP4960738B2 (en) 2007-03-28 2007-03-28 Authentication system, authentication method, and authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007084047A JP4960738B2 (en) 2007-03-28 2007-03-28 Authentication system, authentication method, and authentication program

Publications (2)

Publication Number Publication Date
JP2008242926A JP2008242926A (en) 2008-10-09
JP4960738B2 true JP4960738B2 (en) 2012-06-27

Family

ID=39914177

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007084047A Expired - Fee Related JP4960738B2 (en) 2007-03-28 2007-03-28 Authentication system, authentication method, and authentication program

Country Status (1)

Country Link
JP (1) JP4960738B2 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5317629B2 (en) * 2008-11-05 2013-10-16 ヤフー株式会社 Information management apparatus, information processing system, information management method, and information management program
JP5398291B2 (en) * 2009-02-10 2014-01-29 日本電信電話株式会社 Service providing apparatus, service providing method, service providing program, and service providing system
JP5603766B2 (en) * 2010-12-27 2014-10-08 新日鉄住金ソリューションズ株式会社 Information processing system, information processing method, and program
JP5440547B2 (en) * 2011-03-31 2014-03-12 キヤノンマーケティングジャパン株式会社 Information processing system, information processing apparatus, control method therefor, and program
CN102477820A (en) * 2011-09-07 2012-05-30 贾松仁 Dynamic password-based electronic lock system and authentication method thereof
EP2781071A1 (en) * 2011-11-14 2014-09-24 Fon Wireless Limited Secure tunneling platform system and method
EP2683127A1 (en) * 2012-07-05 2014-01-08 Alcatel-Lucent Voucher authorization for cloud server
JP2015534138A (en) * 2012-07-25 2015-11-26 ファイナンシャル・サービシーズ/インフォメーション・シェアリング・アンド・アナリシス・センターFinancial Services/Information Sharing & Analysis Center Method and system for secure authentication and information sharing and analysis
JP6322444B2 (en) * 2014-02-28 2018-05-09 ゲヒルン株式会社 User authentication server, user authentication method, and program for user authentication server
JP2020201716A (en) * 2019-06-10 2020-12-17 富士電機株式会社 Authentication system and authentication method

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002259344A (en) * 2001-02-28 2002-09-13 Mitsubishi Electric Corp One-time password authentication system, portable telephone and user identification server
JP3678417B2 (en) * 2002-04-26 2005-08-03 正幸 糸井 Personal authentication method and system
JP2004021311A (en) * 2002-06-12 2004-01-22 Japan Telecom Co Ltd Information processor and information processing method
JP2004153300A (en) * 2002-10-28 2004-05-27 Osaka Gas Co Ltd Internet access management system
JP4451339B2 (en) * 2005-03-24 2010-04-14 株式会社野村総合研究所 Load balancing system and load balancing method
JP4755866B2 (en) * 2005-08-23 2011-08-24 株式会社野村総合研究所 Authentication system, authentication server, authentication method, and authentication program

Also Published As

Publication number Publication date
JP2008242926A (en) 2008-10-09

Similar Documents

Publication Publication Date Title
JP4960738B2 (en) Authentication system, authentication method, and authentication program
US8495720B2 (en) Method and system for providing multifactor authentication
JP4755866B2 (en) Authentication system, authentication server, authentication method, and authentication program
JP5462021B2 (en) Authentication system, authentication method, and authentication program
CN104969528A (en) Query system and method to determine authentication capabilities
JP4334515B2 (en) Service providing server, authentication server, and authentication system
WO2006073008A1 (en) Login-to-network-camera authentication system
JP2011215753A (en) Authentication system and authentication method
KR20210095093A (en) Method for providing authentification service by using decentralized identity and server using the same
JP4824986B2 (en) Authentication system, authentication method, and authentication program
KR20110055542A (en) An apparatus for managing user authentication
JP2008027222A (en) Authentication system, authentication method, and authentication program
JP4913624B2 (en) Authentication system and authentication method
JP4718917B2 (en) Authentication method and system
JP2009301446A (en) Method and server for user authentication using a plurality of terminals, and program
JP5317795B2 (en) Authentication system and authentication method
JP5086024B2 (en) User authentication system, apparatus, and method
KR20210095061A (en) Method for providing authentification service by using decentralized identity and server using the same
JP5707204B2 (en) Identification system and identification method
EP2916509B1 (en) Network authentication method for secure user identity verification
JP2011164837A (en) Authentication system and authentication method
KR100993333B1 (en) Method for enrollment and authentication using private internet access devices and system
JP4914725B2 (en) Authentication system, authentication program
JP5793593B2 (en) Network authentication method for securely verifying user identification information
JP4837060B2 (en) Authentication apparatus and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090914

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120313

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120323

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150330

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees