JP4964048B2 - 非接触icと携帯情報端末を使用した認証システム及び認証方法 - Google Patents
非接触icと携帯情報端末を使用した認証システム及び認証方法 Download PDFInfo
- Publication number
- JP4964048B2 JP4964048B2 JP2007184050A JP2007184050A JP4964048B2 JP 4964048 B2 JP4964048 B2 JP 4964048B2 JP 2007184050 A JP2007184050 A JP 2007184050A JP 2007184050 A JP2007184050 A JP 2007184050A JP 4964048 B2 JP4964048 B2 JP 4964048B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- mac
- terminal
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
また、固定パスワードによる認証では、認証に使用するパスワードを定期的に変更することで総当り攻撃を防止しているが、このような頻繁なパスワードの変更が、利用者に大きな負担をかけるという問題がある。
例えば、特許文献1には、オンラインサービスサーバと情報端末と携帯情報端末と携帯情報端末会社メールサーバとがインターネットを介して接続された構成において、情報端末からの認証要求に対し、オンラインサービスサーバが認証要求に対して一定時間かつ一度しか使用することができないワンタイムパスワードを生成し、生成したワンタイムパスワードを記載したメールを作成し、当該メールを携帯情報端末会社メールサーバを介して利用者の携帯情報端末に送信し、利用者が受信したメールに記載されたワンタイムパスワードを従来の固定パスワードに代わって情報端末に入力し、情報端末がオンラインサービスサーバにワンタイムパスワードを送信することで、認証を行う技術が開示されている。
さらに、認証システムの利用者は、パスワードを覚えたり定期的に変更したりする手間なく、認証システムを利用することができる。
第一に、携帯情報端末の電波の受信状況によっては、認証システムが利用できない点である。従来技術では、地下や建物の中など携帯情報端末の電波が届きにくい場所では、携帯情報端末での認証情報の取得に遅延が生じたり、取得に失敗する可能性がある。
第二に、利用者の端末の操作負担が大きく、短時間に複数回の認証を実行することが難しい点である。従来技術では、利用者は、認証の度に毎回携帯情報端末を操作する必要がある。例えば、特許文献1記載の従来技術では、認証の度に毎回携帯情報端末のメーラを操作し、受信したメールを読まなければならない。また、特許文献2記載の従来技術では、認証の度に毎回電話を受けなければならない。さらに、特許文献1の場合は、利用者は携帯情報端末を見ながら、情報端末を操作してワンタイムパスワードを入力しなければならず、これも利用者の端末操作負担を大きくしている。
このようなトランザクションごとに認証を要求するオンラインサービスサイトのセキュリティを強化する際に、従来技術では端末の操作に時間がかかるため、オンラインサービスの利便性が大きく損なわれる可能性がある。
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末とで構成される認証システムであって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信する手段と、
前記認証サーバが、
乱数情報と認証クライアント起動コードとを生成し、サービス要求内容と乱数情報を暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報を取得し、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする。
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末とで構成される認証システムであって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信する手段と、
前記認証サーバが、
乱数情報と認証クライアント起動コードとを生成し、サービス要求内容と乱数情報を暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報を取得し、予め記憶された本人確認情報を使用して端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする。
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信する手段と、
前記認証サーバが、
乱数情報と認証クライアント起動コードと端末使用者認証判定情報を生成し、サービス要求内容と乱数情報と端末使用者認証判定情報を暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報と端末使用者認証判定情報を取得し、端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定が不要と判定された場合、及び、前記必要性判定が要と判定され、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする。
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信する手段と、
前記認証サーバが、
乱数情報と認証クライアント起動コードと端末使用者認証判定情報を生成し、端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定の結果を端末使用者認証要求フラグとして取得し、サービス要求内容と乱数情報と端末使用者認証要求フラグを暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報と端末使用者認証要求フラグを取得し、端末使用者認証要求フラグが不要である場合、及び、非接触ICチップから読み込んだ端末使用者認証要求フラグが要であり、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする。
請求項10記載の発明は、請求項2〜9いずれかに記載の認証システムにおいて、前記本人確認情報は、暗証番号であることを特徴とする。
請求項11記載の発明は、請求項2〜9いずれかに記載の認証システムにおいて、前記本人確認情報は、位置情報であることを特徴とする。
請求項12記載の発明は、請求項2〜9いずれかに記載の認証システムにおいて、前記本人確認情報は、利用者の生体情報であることを特徴とする。
請求項13記載の発明は、請求項1〜12いずれかに記載の認証システムにおいて、前記認証情報は、ワンタイムパスワードであることを特徴とする。
請求項14記載の発明は、請求項1〜12いずれかに記載の認証システムにおいて、前記認証情報は、ディジタル署名であることを特徴とする。
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムにおける認証方法であって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信するステップと、
前記認証サーバが、
乱数情報と認証クライアント起動コードとを生成し、サービス要求内容と乱数情報を暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報を取得し、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信するステップを備えることを特徴とする。
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末とで構成される認証システムにおける認証方法であって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信するステップと、
前記認証サーバが、
乱数情報と認証クライアント起動コードとを生成し、サービス要求内容と乱数情報を暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報を取得し、予め記憶された本人確認情報を使用して端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信するステップを備えることを特徴とする。
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信するステップと、
前記認証サーバが、
乱数情報と認証クライアント起動コードと端末使用者認証判定情報を生成し、サービス要求内容と乱数情報と端末使用者認証判定情報を暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報と端末使用者認証判定情報を取得し、端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定が不要と判定された場合、及び、前記必要性判定が要と判定され、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする。
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信するステップと、
前記認証サーバが、
乱数情報と認証クライアント起動コードと端末使用者認証判定情報を生成し、端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定の結果を端末使用者認証要求フラグとして取得し、サービス要求内容と乱数情報と端末使用者認証要求フラグを暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報と端末使用者認証要求フラグを取得し、端末使用者認証要求フラグが不要である場合、及び、非接触ICチップから読み込んだ端末使用者認証要求フラグが要であり、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする。
また、利用者が携帯情報端末を非接触ICリーダライタが読み書き可能な距離の範囲内に置きさえすれば、携帯情報端末を操作することなく情報端末を操作するだけで、ワンタイムパスワードなどの認証情報の生成に必要な認証クライアントの起動と、生成した認証情報の情報端末への入力が可能な認証システムを提供することができる。これにより、利用者は、従来技術より簡易な操作で短時間に複数回の認証を行うことができる。
また、携帯情報端末の端末使用者認証の必要性を判定する仕組みを導入したことにより、正規利用者ではない第三者に認証システムを不正使用される危険性を、利用者に最小限の端末操作負担を要求するだけで防止することができる。
図1は、本発明の実施の形態に係る認証システムの全体構成図である。
まず、本認証システムの構成について以下に説明する。
本実施形態の認証システムは、情報端末101とオンラインサービスサーバ103と認証サーバ104とがインターネット等の通信ネットワーク105を介して接続された構成をとる。
さらに、情報端末101には、非接触ICチップリーダライタ106(図及び、以下本文では非接触ICR/Wと記述する)が接続される。非接触ICR/W106は携帯情報端末102と非接触通信を行う情報機器である。
情報端末101は、少なくとも、オンラインサービスクライアント107を備える。
この情報端末101は、例えば、オンラインサービスの利用者が所有するパーソナルコンピュータ(PC)である。
携帯情報端末102は、少なくとも、非接触ICチップ108と認証クライアント109とを備える。携帯情報端末102は、例えば、オンラインサービスの利用者が所有する携帯電話機である。
なお、本図のオンラインサービスクライアント209は、図1で示したオンラインサービスクライアント107と同一のものである。
情報端末101は、プログラムの実行や演算を行うCPU201と、命令やデータの入力を行う入力部202と、システムの状態などを出力する出力部203と、プログラムやデータをロードするメモリ204と、非接触ICR/Wを接続する非接触ICR/W接続部205と、他の通信機器とコネクションを確立する通信処理部206と、オンラインサービスクライアント209や、非接触ICR/W制御プログラム210が記憶される記憶部207が、バス208で接続される構成をとる。
オンラインサービスクライアント209は、利用者が入力部202を通じて入力した情報をオンラインサービスサーバ103に送信する機能や、オンラインサービスサーバ103から受信した情報を出力部203を介して利用者に提示する機能を備えるソフトウェアである。
オンラインサービスクライアント209は、例えば、ブラウザである。
非接触ICR/W制御プログラム210は、非接触ICチップ108への情報の読み書き要求や、認証クライアント109を起動させる認証クライアント起動コードを携帯情報端末102に送信する機能を実現するプログラムである。
ここで、認証クライアント起動コードは、携帯情報端末102の記憶部における認証クライアント109のアドレスや、起動に必要な暗証コード、及び起動後に認証クライアントが参照する引数である起動パラメータを含む情報である。
非接触ICR/W制御プログラム210は、オンラインサービスクライアントの機能を拡張するプラグインや、オンラインサービスクライアントの機能の一つとして提供されるプログラムである。
なお、本図の非接触ICチップ305と認証クライアント310は、それぞれ図1で示した非接触ICチップ108及び認証クライアント109と同一のものである。
携帯情報端末102は、プログラムの実行や演算を行うCPU301と、命令やデータの入力を行う入力部302と、システムの状態などを出力する出力部303と、プログラムやデータをロードするメモリ304と、分割済MAC付き暗号情報A308、及び、認証情報309を記憶する非接触ICチップ305と、端末使用者認証必要性判定プログラム313と端末使用者認証プログラム314とを含む認証クライアント310、及び、非接触ICチップ制御プログラム311、及び、本人確認情報312を記憶する記憶部306とが、バス307で接続された構成をとる。
入力部302は、キーボードやカメラやマイクのほか、GPS等の位置情報の取得手段、及び、指紋、虹彩、網膜パターン、静脈パターンといった生体情報の入力装置である。
非接触ICチップ305は、非接触通信に対応したICチップであり、非接触ICR/W106を介した外部情報機器からの情報の読み書きのほか、携帯情報端末102が搭載するソフトウェアからの情報の読み書きも可能なICチップである。
非接触ICチップ305は、例えば、FeliCa(登録商標)チップである。
ここで、サービス要求内容は、利用者が要求した、オンラインサービスへのログインなどの操作内容や、商品売買や銀行振込などの取引内容であって、本認証システムでの認証が成功した場合に、オンラインサービスサーバ103が提供するサービスの内容に関する情報である。また、サービス要求内容には、利用者が要求したサービス内容がオンラインサービスサイトへのログインであるか、又は商品売買や銀行振込などのログイン以外のサービスであるかを判定するログイン判定フラグが含まれるものとする。
また、端末使用者認証判定情報は、端末使用者認証必要性判定プログラム313の引数として使用される情報である。
また、乱数情報は、認証クライアント310の処理において、認証情報309を生成する際の引数の一つとして使用される情報であって、例えば擬似乱数プログラムにより生成されるランダムなバイト列である。
認証情報309は、例えば、ワンタイムパスワードやディジタル署名である。
認証クライアント310は、オンラインサービスを提供する事業者や認証サーバを運営する事業者により配布される携帯情報端末用ソフトウェアである。
非接触ICチップ制御プログラム311は、非接触ICR/W106から非接触ICチップ305への読み書き要求を受信して、非接触ICチップ内の情報を読み書きする機能や、非接触ICR/W106から認証クライアント起動コードを受信して、認証クライアント310を起動する機能を備えるプログラムである。
非接触ICチップ制御プログラム311は、認証クライアントと共に、オンラインサービスを提供する事業者や認証サーバを運営する事業者により配布されたり、あるいは、認証クライアントの機能の一つとして提供されるプログラムである。
本人確認情報312は、端末使用者認証プログラム314の引数として使用される情報である。
本人確認情報312は、例えば、携帯情報端末の所有者しか知りえない暗証番号や位置情報などの秘密情報や、指紋、虹彩、網膜パターン、静脈パターンなどの、携帯情報端末の所有者の生体情報である。
なお、以下に説明する本実施の形態は、利用者がオンラインバンキングにログインし、口座振込み手続きを完了するまでの処理を例にしている。利用者は、ログイン時と口座振込み執行時のそれぞれで本システムを使用した認証を受ける。また、本実施の形態では、利用者が要求したサービス要求内容がログインである場合には端末使用者認証を行い、振込み等ログイン以外の手続きである場合には端末使用者認証を省略する形態について説明している。
本実施形態の認証システムの動作は、大別すると、認証情報生成準備プロセス、認証情報生成プロセス、認証プロセスの3つの動作に分けられる。
認証情報生成準備プロセスは、オンラインサービスクライアント107からの認証要求の送信に伴い実行される。
図5は、本認証システムの認証情報生成プロセスの動作の流れを示した図である。
認証情報生成プロセスは、認証情報生成準備プロセスの実行によりオンラインサービスクライアント107に表示される認証情報生成ボタンを、利用者が押下することにより実行される。
図6は、本認証システムの認証プロセスの動作の流れを示した図である。
認証プロセスは、認証情報生成プロセスの実行により認証クライアント109に表示されるサービス要求内容確認ボタンを利用者が押下後、さらに、認証情報生成準備プロセスの実行によりオンラインサービスクライアント107に表示される認証情報送信ボタンを利用者が押下することにより実行される。
オンラインサービスの利用者が所有する携帯情報端末は、以下に列挙するデータを記憶部306に記憶する。
・共通鍵K
・秘密鍵SK
認証サーバ104は、オンラインサービス利用者ごとに以下に列挙するデータを記憶する。
・利用者ID
・共通鍵K
・公開鍵PK
ただし、秘密鍵SKと公開鍵PKは、認証情報309としてディジタル署名を使用する場合にのみ必要な情報であり、認証情報としてワンタイムパスワードを使用する場合は必要ない。
また、秘密鍵SKと公開鍵PKは、認証サーバ104がオンラインサービスの利用者ごとに生成・発行する公開鍵暗号技術に基づく鍵情報のペアであって、秘密鍵SKは認証クライアントでのディジタル署名の生成に、また、公開鍵PKは認証サーバ104でのディジタル署名の検証に使用される鍵情報である。
オンラインサービスを提供する事業者や認証サーバを運営する事業者は、オンラインサービスの利用者に認証クライアント109を配布する際に、一緒に利用者IDと固定パスワードを配布する。
利用者は、オンラインサービスクライアント107から、認証サーバ104に用意された初期設定用サイトにアクセスして、利用者IDと固定パスワードでログインし、認証サーバ104へ認証クライアント109の初期設定要求を送信する。
オンラインサービスクライアント107は、非接触通信を使用して携帯情報端末102へ共通鍵Kと秘密鍵SKとを送信する。
以上、初期設定手順を説明した。
なお、以上の手順は、携帯情報端末102が通信ネットワーク105に接続可能で、初期設定用サイトにアクセスできる場合には、携帯情報端末から初期設定用サイトに初期設定要求を送信し、情報端末101を介さず、携帯情報端末が共通鍵Kと秘密鍵SKとを受信するような形態にしてもよい。
また、初期設定手順の完了後、利用者は必要に応じて、暗証番号や位置情報や生体情報といった本人確認情報や、後述するサービス要求内容確認画面が表示されてから認証クライアントが実行を終了するまでの時間を入力し、記憶部306へ記憶させるものとする。
図4において、オンラインサービスクライアント107は、利用者による情報端末の操作に応じて、利用者IDとサービス要求内容とを含む認証要求を、オンラインサービスサーバ103へ送信する(ステップ401)。
オンラインサービスサーバ103は、受信した認証要求を認証サーバ104へ送信する(ステップ402)。
認証サーバ104は、端末使用者認証判定情報として、ステップ403で受信したサービス要求内容のログイン判定フラグを取得する(ステップ404)。
認証サーバ104は、まず、ステップ403で取得した利用者IDを参照して、利用者IDに関連付けられて認証サーバに記憶されている共通鍵Kを取得する。
そして、サービス要求内容と端末使用者認証判定情報と乱数情報とを共通鍵Kで暗号化し、さらにMACを付加して、MAC付き暗号情報を生成する(ステップ405)。
認証サーバ104は、まず分割済MAC付き暗号情報Bを起動パラメータとした認証クライアント起動コードを生成する。そして、認証クライアント起動コードと分割済MAC付き暗号情報Aとサービス要求内容とをオンラインサービスサーバ103に送信する(ステップ407)。
ここで、認証クライアント操作画面表示コードは、例えば、非接触ICチップリーダライタ制御コードを組み込んだHTMLコードである。
また、前記非接触ICチップリーダライタ制御コードは、認証クライアント起動コードや、分割済MAC付き暗号情報Aの非接触ICチップへの書き込み要求や、認証情報309の非接触ICチップからの読み込み要求を、携帯情報端末102へ送信する機能を実現するコードである。
認証クライアント操作画面801及び1101はいずれも、少なくとも、サービス要求内容表示部802又は1102と、認証情報生成ボタン803又は1103と、認証情報送信ボタン804又は1104とを備える。
認証情報送信ボタンは、押下されると、ステップ408で組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICチップ305から認証情報309を読み込み、さらに、読み込んだ認証情報を、オンラインサービスサーバ103へ送信するボタンである。
認証情報生成準備プロセスで情報端末101に表示される認証クライアント操作画面を確認後、利用者は非接触ICR/W106の通信可能範囲内に携帯情報端末102を置き、認証情報生成ボタンを押下する。
オンラインサービスクライアント107は、認証情報生成ボタンが押下されると、分割済MAC付き暗号情報A308を非接触ICチップ305へ書き込み、さらに、分割済MAC付き暗号情報Bを起動パラメータとして携帯情報端末102の認証クライアント310を起動する。(ステップ501)。
認証情報生成ボタン803が押下されると、オンラインサービスクライアントは、分割済MAC付き暗号情報Aの書き込み要求と、分割済MAC付き暗号情報Bを起動パラメータとする認証クライアント起動コードとを、携帯情報端末の非接触ICチップ制御プログラム311に送信する。
非接触ICチップ制御プログラム311は、分割済MAC付き暗号情報Aの書き込み要求を受信すると、非接触ICチップへ分割済MAC付き暗号情報Aを書き込む。さらに、認証クライアント起動コードを受信すると、認証クライアントを起動し、起動パラメータとして分割済MAC付き暗号情報Bを認証クライアントに渡す。
認証クライアント109は、ステップ502で取得した分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合し、MAC付き暗号情報を生成する。なお、ここで生成されるMAC付き暗号情報は、ステップ405で認証サーバが生成したMAC付き暗号情報と同一のものである(ステップ503)。
MAC認証と復号に成功した場合は、サービス要求内容と端末使用者認証判定情報と乱数情報とをメモリに取得し、ステップ505へ進む(ステップ504)。
認証クライアント109は、端末使用者認証判定情報を引数に、端末使用者認証必要性判定プログラム313を実行し、実行結果として端末使用者認証要求フラグを取得する(ステップ505)。
認証クライアント109は、端末使用者認証要求フラグの値が「不要」であった場合は、ステップ508へ進む。端末使用者認証要求フラグの値が「要」であった場合は、端末使用者認証プログラム314を実行し、実行結果として端末使用者認証結果を取得し、ステップ507へ進む(ステップ506)。
端末使用者認証プログラム314は、図9に例示する端末使用者認証画面901を表示し、携帯情報端末102の入力部302からの本人確認情報の入力を求め、入力された本人確認情報が、予め記憶部306に記憶された本人確認情報312と一致するかどうかを判定するプログラムである。
本人確認情報が一致した場合は、端末使用者認証を成功と判定して端末使用者認証結果として「成」を、本人確認情報が一致しなかった場合は、端末使用者認証を失敗と判定して端末使用者認証結果として「否」を返す。
ここで、図9では本人確認情報が暗証番号である例を示しているが、携帯情報端末102が入力部302に位置情報や生体情報の入力手段をもつ場合には、暗証番号の代わりに本人確認情報に位置情報や生体情報を利用し、端末使用者認証プログラムの実行時に位置情報や生体情報の入力を求めるようにしてもよい。
端末使用者認証結果が「成」であった場合は、ステップ508へ進む(ステップ507)。
認証クライアント109は、サービス要求内容と乱数情報と鍵情報に基づいて認証情報を生成し、図10又は図12に示すサービス要求内容確認画面1001又は1201を表示する。ここで、図10に示すサービス要求内容確認画面1001は、サービス要求内容がオンラインバンキングへのログインである場合に表示される画面の例である。また、図12に示すサービス要求内容確認画面1201は、サービス要求内容が口座振込み手続きである場合に表示される画面の例である(ステップ508)。
認証情報としてワンタイムパスワードを使用する場合は、認証クライアント109は、まず、記憶部306に記憶されている共通鍵Kを読込み、メモリに取得する。
次に、共通鍵Kとサービス要求内容と乱数情報とを連結したバイト列を引数としてセキュアハッシュ関数を実行し、実行結果としてハッシュ値を取得する。
そして、当該ハッシュ値の一部または全部をワンタイムパスワードとする。
認証情報としてディジタル署名を使用する場合は、認証クライアント109は、まず、記憶部306に記憶されている秘密鍵SKを読込み、メモリに取得する。
次に、サービス要求内容と乱数情報とを連結したバイト列を引数としてセキュアハッシュ関数を実行し、実行結果としてハッシュ値を取得する。
そして、当該ハッシュ値を秘密鍵SKで暗号化し、取得したバイト列をディジタル署名とする。
サービス要求内容確認画面1001及び1201は、サービス要求内容を表示する認証クライアントサービス要求内容表示部1002又は1202と、サービス要求内容確認ボタン1003又は1203と、認証中断ボタン1004又は1204とを備える。
さらに、図10及び図12に示すサービス要求内容確認画面では、利用者の利便性を考慮し、認証情報の生成が完了したことを利用者に通知するメッセージや、後に続くステップ510で認証クライアント109を終了するまでの残り時間を利用者に通知するメッセージを表示している。
認証中断ボタンは、利用者が押下すると、認証情報を非接触ICチップに書き込まずに、直ちに認証クライアントの実行を終了するボタンである。
一方、ステップ508から一定時間内にサービス要求内容確認ボタンを押下しなかった場合、又は利用者が認証中断ボタンを押下した場合は、認証クライアント109は、認証情報を非接触ICチップに書き込まずに、認証処理が中断された旨のメッセージを表示して実行を終了する(ステップ509)。
また、サービス要求内容確認画面が表示されてから認証クライアントの実行が終了するまでの時間は、利用者が予め認証クライアント109に入力するなどの方法で、携帯情報端末の記憶部306に記憶されているものとする。
利用者は、認証情報生成プロセスで携帯情報端末102に表示されるサービス要求内容確認ボタンを押下後、非接触ICR/W106の通信可能範囲内に携帯情報端末102を置いて、認証情報送信ボタン804を押下する。
オンラインサービスクライアント107は、認証情報送信ボタン804が押下されると、非接触ICチップ305から認証情報309を読み込んでメモリに取得し、さらに、取得した認証情報をオンラインサービスサーバ103へ送信する(ステップ601)。
オンラインサービスサーバ103は、受信した認証情報を認証サーバ104へ送信する(ステップ602)。
ステップ603の認証処理について、処理の詳細を以下に説明する。
認証情報としてワンタイムパスワードを使用する場合は、認証サーバ104は、まず、ステップ402で取得した利用者IDを参照して、利用者IDに関連付けられて認証サーバに記憶されている共通鍵Kを取得する。
次に、共通鍵Kと、ステップ402で取得したサービス要求内容と、ステップ403で取得した乱数情報とを連結したバイト列を引数として、セキュアハッシュ関数を実行し、実行結果としてハッシュ値を取得する。
そして、当該ハッシュ値と、ステップ603でオンラインサービスサーバから受信したワンタイムパスワードとを比較する。
これらが一致する場合は認証に成功したと判定して認証結果として「成」を返し、一致しない場合は認証に失敗したと判定して認証結果として「否」を返す。
次に、ステップ402で取得したサービス要求内容と、ステップ403で取得した乱数情報とを連結したバイト列を引数として、セキュアハッシュ関数を実行し、実行結果としてハッシュ値を取得する。
そして、当該ハッシュ値と、ステップ603でオンラインサービスサーバから受信したディジタル署名を公開鍵PKで復号した値とを比較する。
これらが一致する場合は認証に成功したと判定して認証結果として「成」を返し、一致しない場合は認証に失敗したと判定して認証結果として「否」を返す。
認証サーバ104は、認証結果をオンラインサービスサーバ103に送信する(ステップ604)。
受信した認証結果が「否」であった場合は、オンラインサービスを提供せず、認証に失敗した旨を利用者に伝えるメッセージをオンラインサービスクライアント107に送信する(ステップ605)。
なお、以下に説明する端末使用者認証必要性判定プログラムの動作は、本認証システムの認証情報生成プロセスの動作において、利用者の要求したサービス要求内容がオンラインサービスサイトへのログインである場合には端末使用者認証を行い、ログイン以外のサービスである場合には端末使用者認証を省略する仕組みを実現するプログラムである。
ログイン判定フラグが真である場合はステップ703へ進む。ログイン判定フラグが偽である場合はステップ704へ進む(ステップ702)。
端末使用者認証要求フラグの値として「要」を返し、処理を終了する(ステップ703)。
端末使用者認証要求フラグの値として「不要」を返し、処理を終了する(ステップ704)。
以上、本実施の形態における、端末使用者認証必要性判定プログラムの動作の流れを説明した。
例えば、どのような端末使用者認証判定情報を取得しても、端末使用者認証要求フラグとして必ず「要」を返すという動作である。この場合、本認証システムは認証クライアントが起動される度に毎回、利用者に端末使用者認証を要求する。
さらに、端末使用者認証判定情報として、ステップ403において認証サーバが乱数情報を生成した時刻をとり、その時刻を基に前回認証情報生成時からの時間差を算出し、算出した時間差が、予め認証システムに定められた時間差未満であった場合に、端末使用者認証要求フラグとして「不要」を返し、算出した時間差が、予め認証システムに定められた時間差以上であった場合に、端末使用者認証要求フラグとして「要」を返す動作である。この場合、本認証システムは、前回認証情報を生成してから一定時間以上経過した場合に、利用者に端末使用者認証を要求する。
さらに、端末使用者認証判定情報として、ステップ403で受信したサービス要求内容に含まれる取引金額をとり、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額未満であった場合に、端末使用者認証要求フラグとして「不要」を返し、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額以上であった場合に、端末使用者認証要求フラグとして「要」を返す動作である。この場合、本認証システムは、利用者が要求した取引が一定以上の金額を扱う取引である場合に、利用者に端末使用者認証を要求する。
さらに、端末使用者認証判定情報として、ステップ403で受信したサービス要求内容に含まれる取引金額と取引先情報、及び処理中の認証要求以前に利用者が実行したサービス要求内容の履歴情報をとり、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額より高額であるか、または、低額であるか、及び端末使用者認証判定情報として取得した取引先情報が、端末使用者認証判定情報として取得したサービス要求内容の履歴情報に含まれるか、または、含まれないか、という条件判定の組み合わせにより、端末使用者認証要求フラグとして「要」か「不要」を返す動作である。この場合、本認証システムは、例えば利用者が要求した取引が、当該利用者がこれまでに取引を行ったことのない取引先を対象とした取引であり、かつ、一定金額以上の金額を扱う取引である場合に、利用者に端末使用者認証を要求する。
なお、本発明の認証システムの実施の形態において、端末使用者認証必要性判定プログラム313は、認証クライアント310の機能の一つであり、携帯情報端末102で実行されるものとした。
しかし、端末使用者認証必要性判定プログラムを、認証サーバ104の機能の一つとし、認証サーバで実行する形態としても、本発明の実施は可能である。
まず、ステップ404の後、かつ、ステップ405の前に、認証サーバ104は、端末使用者認証判定情報を引数に、端末使用者認証必要性判定プログラムを実行し、実行結果として端末使用者認証要求フラグを取得する。
続く、ステップ405において、認証サーバ104は、端末使用者認証判定情報の代わりに、端末使用者認証要求フラグを使用してMAC付き暗号情報を生成する。
また、ステップ504において、認証クライアント109は、端末使用者認証判定情報の代わりに、端末使用者認証要求フラグをメモリに取得し、取得後はステップ505を省略してステップ506へ進むものとする。
ステップ506において、認証クライアント109は、前記ステップ503で取得した端末使用者認証要求フラグに基づき、処理を実行するものとする。
本人確認情報が情報端末の入力部202より入力される場合の動作の流れについて、動作の変更点を以下に説明する。
ステップ409において、認証クライアント操作画面には、新たに、本人確認情報の入力欄(例えば暗証番号の入力を受け付けるテキストボックス)を追加する。さらに、認証情報生成ボタンの機能に、新たに、非接触ICチップ305への本人確認情報の書き込み要求を、携帯情報端末102へ送信する機能を追加する。
ステップ501において、オンラインサービスクライアント107は、認証情報生成ボタンが押下されると、MAC付き暗号情報に加え、本人確認情報を非接触ICチップ305へ書き込むものとする。
なお、この変更は、前記ステップ407の非接触ICチップリーダライタ制御コードへの記述の追加により実現されるものである。
ステップ506において、端末使用者認証プログラム314は、ステップ502で取得した本人確認情報を使用して処理を実行し、実行結果として、端末使用者認証結果を取得するものとする。
認証クライアント109は、処理を終了する前に、端末使用者認証結果が「否」となった認証失敗回数を記憶部306に記録する。
そして、前記認証失敗回数がある一定回数を上回った場合に、認証クライアント109は、記憶部に記憶されている共通鍵Kや秘密鍵SKを削除し、再度認証クライアントの初期設定手順を実行するように利用者に要求する。
利用者に再度、初期設定を要求する認証失敗回数は、オンラインサービスを提供する事業者が本認証システムに求めるセキュリティ強度に応じて決定し、予め認証クライアントのプログラム内に組み込んだり、あるいは、利用者が認証クライアントの初期設定において入力するものとする。
このような仕組みを導入すると、本認証システムのセキュリティ強度を、必要に応じてさらに向上させることができるようになる。
102 携帯情報端末
103 オンラインサービスサーバ
104 認証サーバ
105 通信ネットワーク
106 非接触ICR/W
107 オンラインサービスクライアント
108 非接触ICチップ
109 認証クライアント
Claims (22)
- オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムであって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信する手段と、
前記認証サーバが、
乱数情報と認証クライアント起動コードとを生成し、サービス要求内容と乱数情報を暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報を取得し、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする認証システム。 - オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムであって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信する手段と、
前記認証サーバが、
乱数情報と認証クライアント起動コードとを生成し、サービス要求内容と乱数情報を暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報を取得し、予め記憶された本人確認情報を使用して端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする認証システム。 - オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムであって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信する手段と、
前記認証サーバが、
乱数情報と認証クライアント起動コードと端末使用者認証判定情報を生成し、サービス要求内容と乱数情報と端末使用者認証判定情報を暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報と端末使用者認証判定情報を取得し、端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定が不要と判定された場合、及び、前記必要性判定が要と判定され、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする認証システム。 - オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムであって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信する手段と、
前記認証サーバが、
乱数情報と認証クライアント起動コードと端末使用者認証判定情報を生成し、端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定の結果を端末使用者認証要求フラグとして取得し、サービス要求内容と乱数情報と端末使用者認証要求フラグを暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させる手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信する手段と、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報と端末使用者認証要求フラグを取得し、端末使用者認証要求フラグが不要である場合、及び、非接触ICチップから読み込んだ端末使用者認証要求フラグが要であり、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了する手段と、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信する手段と、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信する手段と、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする認証システム。 - 請求項3及び請求項4のいずれかに記載の認証システムにおいて、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれるログイン判定フラグであり、
前記端末使用者認証必要性判定手段は、端末使用者認証判定情報として取得したログイン判定フラグが、サービス要求内容としてオンラインサービスへのログイン以外が要求されたことを示す値である場合には、端末使用者認証必要性判定手段の実行結果を不要と判定し、端末使用者認証判定情報として取得したログイン判定フラグが、サービス要求内容としてオンラインサービスへのログインが要求されたことを示す値である場合には、端末使用者認証必要性判定手段の実行結果を要と判定することを特徴とする認証システム。 - 請求項3及び請求項4のいずれかに記載の認証システムにおいて、
前記端末使用者認証判定情報は、認証情報の生成の際に引数として使用する乱数情報を前記認証サーバが生成した時刻であり、
前記端末使用者認証必要性判定手段は、処理中の認証要求の直前に携帯情報端末が認証情報を生成した際に、端末使用者認証判定情報として取得した乱数生成時刻と、端末使用者認証判定情報として取得した乱数生成時刻との時間差を算出し、算出した時間差が、予め認証システムに定められた時間差未満であった場合に、端末使用者認証必要性判定手段の実行結果を不要と判定し、算出した時間差が、予め認証システムに定められた時間差以上であった場合に、端末使用者認証必要性判定手段の実行結果を要と判定することを特徴とする認証システム。 - 請求項3及び請求項4のいずれかに記載の認証システムにおいて、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれる取引金額であり、
前記端末使用者認証必要性判定手段は、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額未満であった場合に、端末使用者認証必要性判定手段の実行結果を不要と判定し、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額以上であった場合に、端末使用者認証必要性判定手段の実行結果を要と判定することを特徴とする認証システム。 - 請求項3及び請求項4のいずれかに記載の認証システムにおいて、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれる取引金額と取引先情報、及び処理中の認証要求以前に利用者が実行したサービス要求内容の履歴情報であり、
前記端末使用者認証必要性判定手段は、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額より高額であるか、または、低額であるか、及び端末使用者認証判定情報として取得した取引先情報が、端末使用者認証判定情報として取得したサービス要求内容の履歴情報に含まれるか、または、含まれないか、という条件判定の組み合わせにより、端末使用者認証必要性判定手段の実行結果を、要か不要に判定することを特徴とする認証システム。 - 請求項2〜8のいずれかに記載の認証システムにおいて、
前記認証クライアントが実行する端末使用者認証手段は、利用者に本人確認情報の入力を求め、入力された本人確認情報が予め携帯情報端末に記憶された本人確認情報と一致する場合に、端末使用者認証を成功と判定することを特徴とする認証システム。 - 請求項2〜9いずれかに記載の認証システムにおいて、
前記本人確認情報は、暗証番号であることを特徴とする認証システム。 - 請求項2〜9いずれかに記載の認証システムにおいて、
前記本人確認情報は、位置情報であることを特徴とする認証システム。 - 請求項2〜9いずれかに記載の認証システムにおいて、
前記本人確認情報は、利用者の生体情報であることを特徴とする認証システム。 - 請求項1〜12いずれかに記載の認証システムにおいて、
前記認証情報は、ワンタイムパスワードであることを特徴とする認証システム。 - 請求項1〜12いずれかに記載の認証システムにおいて、
前記認証情報は、ディジタル署名であることを特徴とする認証システム。 - オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムにおける認証方法であって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信するステップと、
前記認証サーバが、
乱数情報と認証クライアント起動コードとを生成し、サービス要求内容と乱数情報を暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報を取得し、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信するステップを備えることを特徴とする認証方法。 - オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムにおける認証方法であって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信するステップと、
前記認証サーバが、
乱数情報と認証クライアント起動コードとを生成し、サービス要求内容と乱数情報を暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報を取得し、予め記憶された本人確認情報を使用して端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信するステップを備えることを特徴とする認証方法。 - オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムにおける認証方法であって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信するステップと、
前記認証サーバが、
乱数情報と認証クライアント起動コードと端末使用者認証判定情報を生成し、サービス要求内容と乱数情報と端末使用者認証判定情報を暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報と端末使用者認証判定情報を取得し、端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定が不要と判定された場合、及び、前記必要性判定が要と判定され、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする認証方法。 - オンラインサービスを提供するオンラインサービスサーバと、
非接触ICチップリーダライタを備え、前記オンラインサービスサーバにサービス要求内容を送信してオンラインサービスの提供を受ける情報端末と、
オンラインサービスにおけるサービス要求内容の認証に関する処理を行う認証サーバと、
前記情報端末でオンラインサービスを受ける利用者が所持し、非接触ICチップ及び認証クライアントとを備え、本人確認情報を予め記憶し、サービス要求内容の認証に使用する認証情報を生成する携帯情報端末と
で構成される認証システムにおける認証方法であって、
前記情報端末が、
認証要求と共にサービス要求内容を前記オンラインサービスサーバへ送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信したサービス要求内容を前記認証サーバに送信するステップと、
前記認証サーバが、
乱数情報と認証クライアント起動コードと端末使用者認証判定情報を生成し、端末使用者認証判定情報を使用して、端末使用者認証必要性判定手段を実行することで端末使用者認証の必要性判定を行い、前記必要性判定の結果を端末使用者認証要求フラグとして取得し、サービス要求内容と乱数情報と端末使用者認証要求フラグを暗号化してMACを付加したMAC付き暗号情報を生成し、前記MAC付き暗号情報を分割して分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bを生成し、認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとをオンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
認証クライアント起動コードと分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを含んだ非接触ICチップリーダライタ制御コードを生成し、非接触ICチップリーダライタ制御コードを組み込んだ認証クライアント操作画面を前記情報端末に表示させるステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた前記非接触ICチップリーダライタ制御コードを実行し、非接触ICチップリーダライタを介して、非接触ICチップに分割済みMAC付き暗号情報Aを書き込むとともに、分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを前記携帯情報端末に送信するステップと、
前記携帯情報端末が、
前記情報端末から分割済みMAC付き暗号情報Bをパラメータとして含んだ認証クライアント起動コードを受信して認証クライアントを起動し、非接触ICチップから読み込んだ分割済MAC付き暗号情報Aと分割済MAC付き暗号情報Bとを結合してMAC付き暗号情報を生成し、MAC付き暗号情報のMAC認証と復号を行ってサービス要求内容と乱数情報と端末使用者認証要求フラグを取得し、端末使用者認証要求フラグが不要である場合、及び、非接触ICチップから読み込んだ端末使用者認証要求フラグが要であり、かつ、予め記憶された本人確認情報を使用して、端末使用者認証手段を実行することで端末使用者認証を行い、前記端末使用者認証が成功と判定された場合に、取得したサービス要求内容と乱数情報を基に認証情報を生成するとともに、サービス要求内容を含むサービス要求内容確認画面を表示し、利用者の携帯情報端末の操作を受けて、生成した認証情報を非接触ICチップに書き込み、認証クライアントを終了するステップと、
前記情報端末が、
利用者による認証クライアント操作画面の操作を受けて、認証クライアント操作画面に組み込まれた非接触ICチップリーダライタ制御コードを実行し、非接触ICリーダライタを介して、非接触ICチップから認証情報を読み込むとともに、認証情報を前記オンラインサービスサーバに送信するステップと、
前記オンラインサービスサーバが、
前記情報端末から受信した認証情報を前記認証サーバに送信するステップと、
前記認証サーバが、
前記オンラインサービスサーバから受信した認証情報を、自身が生成した乱数情報と、認証要求と共に前記情報端末から受信したサービス要求内容とに基づいて認証し、認証結果を前記オンラインサービスサーバに送信することを特徴とする認証方法。 - 請求項17及び請求項18のいずれかに記載の認証方法において、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれるログイン判定フラグであり、
前記端末使用者認証必要性判定手段は、端末使用者認証判定情報として取得したログイン判定フラグが、サービス要求内容としてオンラインサービスへのログイン以外が要求されたことを示す値である場合には、端末使用者認証必要性判定手段の実行結果を不要と判定し、端末使用者認証判定情報として取得したログイン判定フラグが、サービス要求内容としてオンラインサービスへのログインが要求されたことを示す値である場合には、端末使用者認証必要性判定手段の実行結果を要と判定することを特徴とする認証方法。 - 請求項17及び請求項18のいずれかに記載の認証方法において、
前記端末使用者認証判定情報は、認証情報の生成の際に引数として使用する乱数情報を前記認証サーバが生成した時刻であり、
前記端末使用者認証必要性判定手段は、処理中の認証要求の直前に携帯情報端末が認証情報を生成した際に、端末使用者認証判定情報として取得した乱数生成時刻と、端末使用者認証判定情報として取得した乱数生成時刻との時間差を算出し、算出した時間差が、予め認証システムに定められた時間差未満であった場合に、端末使用者認証必要性判定手段の実行結果を不要と判定し、算出した時間差が、予め認証システムに定められた時間差以上であった場合に、端末使用者認証必要性判定手段の実行結果を要と判定することを特徴とする認証方法。 - 請求項17及び請求項18のいずれかに記載の認証方法において、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれる取引金額であり、
前記端末使用者認証必要性判定手段は、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額未満であった場合に、端末使用者認証必要性判定手段の実行結果を不要と判定し、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額以上であった場合に、端末使用者認証必要性判定手段の実行結果を要と判定することを特徴とする認証方法。 - 請求項17及び請求項18のいずれかに記載の認証方法において、
前記端末使用者認証判定情報は、前記情報端末が認証要求と共に送信したサービス要求内容に含まれる取引金額と取引先情報、及び処理中の認証要求以前に利用者が実行したサービス要求内容の履歴情報であり、
前記端末使用者認証必要性判定手段は、端末使用者認証判定情報として取得した取引金額が、予め認証システムに定められた金額より高額であるか、または、低額であるか、及び端末使用者認証判定情報として取得した取引先情報が、端末使用者認証判定情報として取得したサービス要求内容の履歴情報に含まれるか、または、含まれないか、という条件判定の組み合わせにより、端末使用者認証必要性判定手段の実行結果を、要か不要に判定することを特徴とする認証方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007184050A JP4964048B2 (ja) | 2007-07-13 | 2007-07-13 | 非接触icと携帯情報端末を使用した認証システム及び認証方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007184050A JP4964048B2 (ja) | 2007-07-13 | 2007-07-13 | 非接触icと携帯情報端末を使用した認証システム及び認証方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009020783A JP2009020783A (ja) | 2009-01-29 |
JP4964048B2 true JP4964048B2 (ja) | 2012-06-27 |
Family
ID=40360359
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007184050A Expired - Fee Related JP4964048B2 (ja) | 2007-07-13 | 2007-07-13 | 非接触icと携帯情報端末を使用した認証システム及び認証方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4964048B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10887113B2 (en) * | 2016-09-13 | 2021-01-05 | Queralt, Inc. | Mobile authentication interoperability for digital certificates |
US11431509B2 (en) | 2016-09-13 | 2022-08-30 | Queralt, Inc. | Bridging digital identity validation and verification with the FIDO authentication framework |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002259344A (ja) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | ワンタイムパスワード認証システム及び携帯電話及びユーザ認証サーバ |
JP2002351845A (ja) * | 2001-05-24 | 2002-12-06 | Yutaka Hokura | 通信端末装置における電子情報保護システム |
JP2003150553A (ja) * | 2001-11-14 | 2003-05-23 | Nippon Telegr & Teleph Corp <Ntt> | 複数のアカウントを用いた認証方法及び装置並びに処理プログラム |
JP2003208409A (ja) * | 2002-01-15 | 2003-07-25 | Mitsubishi Electric Corp | 認証システム及び認証方法 |
JP3697212B2 (ja) * | 2002-01-16 | 2005-09-21 | 株式会社エヌ・ティ・ティ・ドコモ | ユーザ認証システム、ユーザ認証方法、ユーザ認証プログラム、及び、コンピュータ読取可能な記録媒体 |
JP2003233592A (ja) * | 2002-02-12 | 2003-08-22 | Toshiba Corp | 認証サーバ、認証システム及び認証方法 |
JP4135151B2 (ja) * | 2004-01-28 | 2008-08-20 | 日本電気株式会社 | Rfidを用いたシングルサインオン方法及びシステム |
-
2007
- 2007-07-13 JP JP2007184050A patent/JP4964048B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2009020783A (ja) | 2009-01-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5066827B2 (ja) | 移動装置を用いる認証サービスのための方法及び装置 | |
JP5619007B2 (ja) | サーバ・オペレーションの認可を行うための装置、システムおよびコンピュータ・プログラム | |
CN204948095U (zh) | 认证装置和确保应用程序和用户之间的交互的系统 | |
US7296149B2 (en) | Secure user and data authentication over a communication network | |
EP2936369B1 (en) | Verification of password using a keyboard with a secure password entry mode | |
US20160307194A1 (en) | System and method for point of sale payment data credentials management using out-of-band authentication | |
US9344896B2 (en) | Method and system for delivering a command to a mobile device | |
US8433908B2 (en) | Card issuing system, card issuing server, card issuing method and program | |
US9977886B2 (en) | Methods, apparatus and computer programs for entity authentication | |
US20140250499A1 (en) | Password based security method, systems and devices | |
KR100792163B1 (ko) | 통신망을 이용한 온라인 금융거래 인증시스템과 이를 위한사용자 단말기 | |
KR101498120B1 (ko) | 클라우드 공인인증 시스템 및 그 방법 | |
JP4964048B2 (ja) | 非接触icと携帯情報端末を使用した認証システム及び認証方法 | |
JP5317795B2 (ja) | 認証システムおよび認証方法 | |
EP2916509B1 (en) | Network authentication method for secure user identity verification | |
JP4895288B2 (ja) | 認証システム及び認証方法 | |
TW201619880A (zh) | 利用卡裝置的網路認證方法 | |
KR101576038B1 (ko) | 사용자 신원 인증을 안전하게 보장하기 위한 네트워크 인증 방법 | |
CN114257410A (zh) | 基于数字证书的身份认证方法、装置、计算机设备 | |
CN115103356A (zh) | 计算机安全验证系统、方法、移动终端及可读存储介质 | |
JP2015534406A (ja) | 安全装置と安全なデータ送信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100115 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120321 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120326 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120327 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150406 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |