以下では添付する図面を参照して本発明が属する技術分野で通常の知識を有する者が容易に実施できるように本発明の実施形態について詳細に説明する。しかし、本発明は数多くの異なる形態で実現され得、ここで説明する実施形態に限定されない。そして図面で本発明を明確に説明するため、説明と関係ない部分は省略し、明細書全体にかけて類似する部分に対しては類似の図面符号を付与した。
明細書全体で、一つの部分が他の部分と「接続」されたと指称される場合、これは「直接的に接続」されている場合だけでなく、その中間に他の素子を介して「電気的に接続」されている場合も含む。また一つの部分が一つの構成要素を「含む」と指称される場合、これは特に言及しない限り他の構成要素を除外するものではなく、他の構成要素をさらに含むことを意味する。
以下、添付する図面を参照して本発明について詳細に説明する。
図1は本発明の一実施形態による認証システムの構成を示すネットワーク構成図である。図2は本発明の一実施形態による認証システムに含まれるユーザ端末の機能的な構成を示すブロック図である。図3は本発明の一実施形態による認証システムに含まれる認証サーバの機能的な構成を示すブロック図である。
先ず、図1に示すように本発明の一実施形態による認証システムは、ネットワークNを介して接続されたユーザ端末10と認証サーバ30を含む。また付加的に電子メール認証端末20をさらに含み得るが、この際、電子メール認証端末20はユーザ端末10と物理的に同じである一つの端末であり得、または別の端末であり得る。
ここで、ネットワークNは、ローカルエリアネットワーク(Local Area Network、LAN)、広域通信網(Wide Area Network、WAN)、付加価値通信網(Value Added Network、VAN)、パーソナルエリアネットワーク(Personal Area Network、PAN)、移動無線通信網(mobile radio communication network)または衛星通信網などのようなすべての種類の有・無線ネットワークで実現され得る。
また、ユーザ端末10と電子メール認証端末20はネットワークNを介して遠隔地のサーバに接続する通信端末として、他端末及びサーバと接続可能な携帯用端末機で実現され得る。携帯用端末機は例えば、携帯性と移動性が保障される無線通信装置であって、PCS(Personal Communication System)、GSM(登録商標)(Global System for Mobile communications)、PDC(Personal Digital Cellular)、PHS(Personal Handyphone System)、PDA(Personal Digital Assistant)、IMT(International Mobile Telecommunication)−2000、CDMA(Code Division Multiple Access)−2000、W−CDMA(W−Code Division Multiple Access)、Wibro(Wireless Broadband Internet)端末、スマートフォン(Smart Phone)、タブレット(Tablet)コンピュータなどのようなすべての種類の携帯型(Handheld)の無線通信装置を含み得る。この際、ユーザ端末10は認証サーバ30の運営者が提供するオンラインサービスの利用者が使用する端末であり、電子メール認証端末20は認証サーバ30が発送した認証電子メールを受信する端末であって、両者は単に役割によって区分されたものであり、前述したように同じ端末であり得、または互いに異なる端末であり得る。
ユーザ端末10には認証サーバ30と通信して認証サーバ30の運営者が提供するオンラインサービスを提供するためのアプリケーションがインストールされ得、電子メール認証端末20には認証サーバ30が発送した認証電子メールを電子メールサーバ(図示せず)を介して受信して表示するか、または電子メール認証端末20から認証サーバ30に発送される認証電子メールを作成するためのウェブブラウザまたは別の電子メールアプリケーションがインストールされ得る。ここで本発明の実施形態の説明において「認証電子メール」が指す意味については後述する。
一方、認証サーバ30はネットワークNを介して複数のユーザ端末10と通信してオンラインサービスを提供するが、それぞれのユーザ端末10のユーザ認証手続を経て、各ユーザ端末10を識別し、識別されたユーザ端末10に合わせたサービスを提供する。
このとき、認証サーバ30が提供するサービスは特定サービスに限定されない。ただし、例えば、オンライン掲示板サービスやオンラインコミュニティサービスなどのようなように、複数の使用者がそれぞれの掲示物を登録して共有するサービスであり得る。特に本発明の実施形態で認証サーバ30は、各ユーザが所属しているグループに対し、ユーザから選択を受けるか、入力を受け、該当ユーザがそのグループのメンバーであるかを認証することができ、特定グループのメンバーとして認証されたユーザに対してのみ該当グループと関連する掲示物を提供したり該当グループのコミュニティに加入したりできるようにする。
以下では前述したユーザ端末10と認証サーバ30の構成についてより詳細に説明する。先にこれらの説明するために使用される用語を定義する。
先ず、「グループ」は、個々人が属する多様な組織体であって、例えば会社や学校、親睦の集いなどのように同じ目的を達成するために個々人が集まって形成するすべての集団がグループに含まれ得る。すなわち、前述した「グループ」には概念的または社会的に、自己または他人の意思によってグループできるすべての集団を含み得る。
また、「グループ認証」は、電子メールまたはその他にグループを識別できる情報を含むデータ(これを「グループ識別データ」という)を利用した認証手続を意味する用語として使用され、特定ユーザが特定グループに属するかどうかを認証する過程を意味する。
本発明の一実施形態でグループ認証は、電子メールにより行われ、このために認証サーバ30にはそれぞれのグループを識別するためのグループコードと、それぞれのグループコードに対応する電子メールアドレスのフォーマットが格納され得る。ここで電子メールアドレスのフォーマットは一般的な電子メールアドレスで、ユーザを識別するための部分を除いたホストアドレスの部分の文字列として設定され得る。
例えば、「ソウル大学校」に通う学生「金ミンホ」の電子メールアドレスが「kmh@snu.ac.kr」であり、実際ソウル大学校でホストする電子メールサービスのホストアドレスが「snu.ac.kr」である場合、認証サーバ30は、「金ミンホ」から入力を受けた電子メールアドレス「kmh@snu.ac.kr」の「@」後部分と、ソウル大学校が提供する電子メールサービスのホストアドレスの部分「snu.ac.kr」部分が一致することを確認することによってグループ認証を行うことができる。
さらにグループ認証で、ユーザが入力した電子メールアドレスが該当ユーザが実際使用する電子メールアドレスであるかを確認するために、認証サーバ30はユーザによって入力された電子メールアドレスに認証用電子メール(以下「認証電子メール」)を伝送し、認証電子メールに対し、ユーザが確認の有無の認証を受けることができる。
すなわち、例えば、「金ミンホ」が入力した電子メールアドレス「kmh@snu.ac.kr」に認証電子メールを伝送し、予め設定された時間内に電子メール確認の有無の認証を受けることができる。
ここで、認証電子メールに対するユーザの確認の有無を感知するための多様な方式が利用され得る。一例として、認証サーバ30が発送する認証電子メールに後述する「認証リンク」を含めて伝送した後、認証電子メールを受信した電子メール認証端末20で認証リンクが選択されると、認証電子メールをユーザが確認したと感知できる。これについて以下でより詳細に説明する。
他の例として、認証サーバ30が発送する認証電子メールに「認証用文字列」を含めて伝送することによって、ユーザが電子メール認証端末20を介して認証電子メールに含まれた「認証用文字列」を確認できるようにし、これを確認したユーザが一定の時間内にユーザ端末10を介して「認証用文字列」を正確に入力すると、認証電子メールをユーザが確認したと感知できる。
このように認証サーバ30がユーザから入力を受けたグループ電子メールアドレスに認証リンクまたは認証用文字列を含む認証電子メールを発送することによって行われるグループ認証方式を第1実施形態という。
また他のグループ認証方式として、第2実施形態では、グループ認証のためにユーザが電子メールアドレスを入力すると、認証サーバ30はユーザが入力した電子メールアドレスがユーザが選択したグループに対応し、予め格納された電子メールアドレスのフォーマットに対応するかどうかを確認した後、ユーザが認証電子メールを認証サーバ30管理者、すなわちサービス運営者側に伝達できるように、運営者側の電子メールアドレスをユーザに提供できる。このとき、実施形態により選択的に、ユーザが認証電子メールに記録しなければならない「認証用キーワード」を共に提供できる。
また、ユーザが入力した電子メールアドレスと同じグループ電子メールアドレスを利用して認証サーバ30の運営者側に(認証用キーワードを本文に含む)認証電子メールを伝送すると、これを確認しながらユーザが発送した電子メールの電子メールアドレスを確認して認証手続を完了できる。このとき、認証サーバ30は、付加的にユーザに提供した認証用キーワードと受信された電子メールに含まれた認証用キーワードを比較して一致する場合に限り、グループ認証を成功として処理できる。このとき、グループ認証を成功として処理するため、ユーザから受信された認証用電子メールを発送したメールサーバのIPアドレスが正しいかどうかを確認でき、受信された認証用電子メールの差出人、受信人、メール本文に含まれたキーワードなどをそれぞれユーザが入力した電子メールアドレス、ユーザに提供した電子メールアドレス(受信メールアドレス)、及びユーザに提供した認証用キーワードと比較し得る。もちろん前述した第2実施形態で、認証サーバ30は、グループ電子メールアドレスを入力して加入手続を進めようとするユーザに運営者側の電子メールアドレスのみを提供し、認証用キーワードは提供しないこともできる。この場合、ユーザは自身のグループ電子メールアドレスを利用して運営者側の電子メールアドレスを受信人とする認証電子メールを発送することによってグループ認証を成功させることもできる。
さらに、グループ認証の第3実施形態によれば、本発明では電子メールアドレスではない他の情報を利用してグループ認証を行うこともできる。例えば、認証サーバ30はそれぞれのグループが使用する無線LANアクセスポイント(Access Point)の固有IPアドレス、またはSSIDなどのような識別子情報をグループ別に予め格納できる。また各グループのオフラインアドレス情報を予め格納できる。
また、認証サーバ30は特定グループの会員としてサービスに加入しようとするユーザのユーザ端末10から該当ユーザ端末10がアクセスした無線LANアクセスポイントの識別子情報とユーザ端末10の現在位置のうち少なくとも一つを既に格納されたグループの無線LANアクセスポイント識別子とオフラインアドレスなどと比較して該当ユーザが実際そのグループ所属であるかどうかを認証することもできる。
一方「会員認証」は、上記のようなグループ認証が完了したユーザ端末10に対し、今後のユーザ端末10のサービス接続を許与するための固有キー(以下「セッションキー」)を付与する過程を意味する。
本発明の一実施形態で認証サーバ30は、グループ認証が完了したユーザ端末10のユーザから暗証番号の入力を受け、ユーザまたはユーザ端末10と関連する情報を暗号化してサーバに登録し、これによりユーザ端末10ごとに固有のセッションキーを付与する過程を行うことによって前述した会員認証を完了する。
前記定義された用語を使用して以下では本発明の実施形態によるユーザ端末10の機能的な構成について調べる。
図2に示すようにユーザ端末10は加入要求部11を含む。加入要求部11は、前述したようにユーザ端末10にインストールされたアプリケーションを実行したユーザが、自身が属するグループを選択して該当グループに対するオンラインサービスの加入を認証サーバ30に要求できるようにするユーザインターフェースを提供する。
加入要求部11は、先ず、ユーザがグループ名を入力するようにしたり、既に格納されている複数のグループ名のうちいずれか一つを選択したりできるようにする。またユーザがグループ名を入力する場合、入力されたグループ名の文字列に対応する予め格納されたグループ名を検索して表示することによって、ユーザが自身が属するグループを選択できるようにする。このとき、ユーザが選択したそれぞれのグループにはグループを識別するためのグループコードがマッチされ得、加入要求部11はユーザが選択したグループに対する情報を認証サーバ30に伝送することにおいて、前述したグループコードを伝送する。
また前述したように加入要求部11はユーザから電子メールアドレスを文字列で入力を受けてグループコードと共に認証サーバ30に伝達し得る。
これにより認証サーバ30は、このように伝達されたグループコードと電子メールアドレスを利用してグループ認証を行うことができる。もちろんこのとき、加入要求部11は実施形態によりグループコードと無線LANアクセスポイントの識別子や現在位置情報を認証サーバ30に伝送できることは前述したとおりである。
一方、ユーザ端末10は認証キー管理部12を含み得る。認証キー管理部12が管理する「認証キー」は認証サーバ30から受信される。加入要求部11が前述したようにグループコードと、電子メールアドレスを認証サーバ30に提供すると、認証サーバ30は受信された情報が選択されたグループコードの電子メールアドレスフォーマットに対応するかどうかを確認した後、受信された電子メールアドレスに認証電子メールを発送できる。このとき、認証サーバ30は認証電子メールの発送事実をユーザ端末10に通知すると同時に「認証キー」をユーザ端末10に提供できる。ここで認証キーは認証電子メールを発送する度に新たに生成される固有の乱数キーである。
ここで、認証サーバ30がユーザ端末10に伝送する認証電子メールの発送事実に対する通知を、以下では「認証電子メール発送通知」という。
これにより認証キー管理部12は、認証電子メール発送通知と共に受信された認証キーを格納できる。そして認証キー管理部12は後に認証電子メールに対する確認が完了した事実が通知されたとき、格納された認証キーを後述する認証要求部13に提供する。
ここで認証電子メール発送通知と共に受信され、認証キー管理部12によって格納される認証キーを以下では「第1認証キー」という。
また、グループ認証の第2実施形態で認証サーバ30は、ユーザ端末10から電子メールアドレスの入力を受け、入力を受けたメールアドレスが、ユーザが選択したグループに対応するフォーマットであることを確認した後、ユーザが認証電子メールを発送する運営者側の電子メールアドレス、そして実施形態により選択的に認証用キーワードをユーザ端末10に提供するとき、認証キーを生成してユーザ端末10に発送することができ、認証キー管理部12はこれを格納できる。すなわち、この実施形態で認証キーはユーザから受信しようとする認証電子メールの受信アドレス(運営者側の電子メールアドレス)と認証用キーワードをユーザに提供する度に新たに生成される固有の乱数キーであり得る。
また、グループ認証の第3実施形態として、ユーザ端末10の加入要求部11がグループコードと無線LANアクセスポイントの識別子や現在位置情報を認証サーバ30に伝送する場合、認証サーバ30は受信された情報を受信されたグループコードに対応するグループに対して予め登録された情報と比較してユーザ端末10に認証キーを発送できる。これにより認証キー管理部12が認証サーバ30から受信された認証キーを格納できる。このとき認証キーは、ユーザから受信された情報を認証サーバ30に格納されたグループの情報と比較してグループ認証を行うとき、新たに生成してユーザ端末10に提供する固有の乱数キーであり得る。
一方、本発明の実施形態によるユーザ端末10は認証要求部13を含む。認証要求部13はグループ認証を完了するための最終的な認証を認証サーバ30に要求し、会員認証を行うことができるようにする構成である。
認証サーバ30は、ユーザ端末10に認証電子メールに対する確認が完了した事実を通知すると共に認証電子メール発送通知をユーザ端末10に提供するときに共に伝送した認証キーを再び伝送する。
このとき、以下では認証サーバ30がユーザ端末10に伝送する、認証電子メールに対する確認が完了した事実に対する通知を「認証電子メール確認通知」といい、これと共にユーザ端末10に受信される認証キーを「第2認証キー」という。このとき、「認証電子メール確認通知」は本発明の第1実施形態により認証サーバ30が認証電子メールを発送したとき、認証電子メールがユーザによって閲覧されたことが確認された場合に発生する通知であり、このような確認は、認証電子メールに含まれた認証リンクが選択されたか(認証リンクに対応するURL情報を含む要求が認証サーバ30に受信されたか)、または認証電子メールに含まれた認証用の文字列がユーザ端末10を介して認証サーバ30に伝送されたかどうかを確認することによって行われ得ることは前述したとおりである。
したがって、認証要求部13は、認証電子メール確認通知と共に受信した第2認証キーと、認証電子メール発送通知と共に受信され、認証キー管理部12によって格納された第1認証キーを互いに比較して一致するかどうかを確認する。そして認証要求部13は、両方が一致する場合に限り、認証サーバ30に互いに一致する認証キーと、電子メールアドレスを伝送し、グループ認証の成功の可否の確認を受けることができる。
もちろんこの際、実施形態によっては、認証電子メール発送通知には認証キーが含まれず、認証電子メール確認通知にのみ認証キーが含まれ、認証要求部13が認証キーの比較過程を経ず認証電子メール確認通知に含まれた認証キーのみを利用して認証サーバ30にグループ認証の成功の可否を問い合わせることもできる。または認証電子メール発送通知にのみ認証キーが含まれ、認証電子メール確認通知には認証キーが含まれず、認証要求部13が認証電子メール確認通知を受信すると、認証電子メール発送通知に含まれていた認証キーを認証サーバ30に伝送することによって該当認証キーに対応するグループ認証の成功の可否を問い合わせるようにすることもできる。
一方、グループ認証の第2実施形態では認証サーバ30がユーザが認証電子メールを発送する対象になる運営者側の電子メールアドレス(選択的に認証用キーワードを含み得る)をユーザ端末10に通知(以下「認証電子メール受信アドレス通知」という)を発送するとき、第1認証キーを共に発送できる。
また、ユーザがこのように認証電子メール受信アドレス通知を確認した後、該当受信アドレスに(認証用キーワードを本文に含む)認証電子メールを発送したとき、認証サーバ30が認証電子メールを確認すると、ユーザ端末10に認証電子メール確認通知を再び発送しながら第2認証キーを共に発送できる。
このような第2実施形態でも第1認証キーと第2認証キーが必ず区分される必要はなく、順次に発生する二回の通知のうち少なくとも一度の通知に認証キーが含まれるようにできる。
一方、グループ認証の第3実施形態では、認証サーバ30がユーザ端末10からグループコードと共に、無線LANアクセスポイントの識別子や現在位置情報を受信した場合、該当ユーザ端末10に対応する認証キーを生成し、ユーザ端末10に伝送し得、このとき認証サーバ30は受信された無線LANアクセスポイントの識別子や現在位置情報がユーザが選択したグループに対応するかどうか、これによりグループ認証に成功したかどうかを共に通知できる。次いで、このような通知に含まれた認証キーを利用してユーザが会員認証の手続を行うことができる。すなわち、このような第3実施形態で認証要求部13は認証サーバ30から受信した通知に含まれた認証キーを利用して認証サーバ30に最終的なグループ認証の成功の可否を確認し、続いて会員認証手続を行うことができる。
さらに、本発明の実施形態によるユーザ端末10は会員情報設定部14を含み得る。会員情報設定部14は、ユーザから暗証番号の入力を受け、暗証番号を含むユーザと関連する情報を認証サーバ30に提供し得る。
このとき、暗号化部15は入力された暗証番号と電子メールアドレスなどを暗号化することによって、認証サーバ30に格納されるユーザに対する情報が暗号化した状態で登録されるようにして会員認証手続が完了できるようにする。
このため、会員情報設定部14は、認証サーバ30から前述した認証要求部13の認証サーバ30に対するグループ認証の有無の確認に対する応答として、ユーザ端末10にグループ認証の成功の応答が受信されると、ユーザから暗証番号の入力を受けるためのユーザインターフェースを提供する。もちろんこのときの「暗証番号」は単に数桁の数字列であり得、その他に文字列を含むこともできる。さらに特定の軌跡を有するパターンで構成できることは自明である。
次いで、暗号化部15が入力された暗証番号を利用して加入要求部11が入力を受けたメールアドレスを暗号化できる。また暗号化部15は入力された暗証番号自体を暗号化できる。これにより会員情報設定部14は暗号化した電子メールアドレスと暗号化した暗証番号を認証サーバ30に提供できる。このとき電子メールアドレスは先に暗号化した暗証番号によって暗号化され得る。
さらに、このときの会員情報設定部14は、暗号化した電子メールアドレス及び暗号化した暗証番号と共に、予め入力を受けたグループコードと、認証キーを共に認証サーバ30に伝送できる。
また会員情報設定部14は、暗証番号の入力を受けるとき、ユーザが設定しようとする「ニックネーム」を共に入力され得る。ここでニックネームは、特定文字列に設定し得、会員情報設定部14がニックネームの入力を受けた後、認証サーバ30から重複するかどうかの確認を受け、ユーザが重複しないニックネームを設定できる。このとき会員情報設定部14は、ユーザが最終的に確定したニックネームを暗号化した暗証番号と共に認証サーバ30に伝送し、ユーザ個々のニックネームが認証サーバ30に登録されるようにすることができる。
一方、このように会員情報設定部14が暗号化した電子メールアドレスと暗号化した暗証番号、及びその他の付加的な情報を認証サーバ30に提供することによって、認証サーバ30は暗号化した情報を格納し、同じ電子メールアドレスの重複加入を確認した後、ユーザ端末10にセッションキーを発給する。
一方、本発明の一実施形態によるユーザ端末10は、認証サーバ30から発給されたセッションキーを格納し、更新し、認証サーバ30との通信時にセッションキーを共に認証サーバ30に伝送することによって、認証サーバ30がユーザ端末10を識別し、これによりサービスを提供するようにするセッション維持部16を含む。
また、本発明の一実施形態によるユーザ端末10には、認証サーバ30または認証サーバ30の運営者が共に運営する他のサーバ、または認証サーバ30の運営者が提供する認証API(Application Programming Interface)を利用するサードパーティサーバに掲示物を要求し、要求された掲示物を受信して表示する掲示物表示部17がさらに含まれ得る。このとき、掲示物を要求することにおいてもセッション維持部16が格納されたセッションキーを読み出し、認証サーバ30または認証サーバ30からユーザ端末10に発給されるセッションキーと同じセッションキーの提供を受ける、認証サーバ30の運営者が共に運営する他のサーバまたはサードパーティサーバに伝送され得る。
さらに、本発明の一実施形態によるユーザ端末10にはユーザから掲示物が新たに登録され、これを認証サーバ30または認証サーバ30の運営者が共に運営する他のサーバ、または認証サーバ30の運営者が提供する認証APIを利用するサードパーティサーバに伝送し、掲示物を登録する掲示物登録部18がさらに含まれ得る。
このときも同様にセッション維持部16は、格納されたセッションキーを読み出し、認証サーバ30または認証サーバ30からユーザ端末10に発給されるセッションキーと同じセッションキーの提供を受ける、認証サーバ30の運営者が共に運営する他のサーバまたはサードパーティサーバに伝送され得る。
以下では、前述したような本発明の一実施形態によるユーザ端末10と通信してグループ認証と会員認証を行う認証サーバ30の機能的な構成についてより詳細に説明する。以下では図3を参照して認証サーバ30を説明するが、図3は、グループ認証方式を、前述した第1実施形態による場合の認証サーバ30構成を示し、後述するグループ認証部32が電子メール発送部32aと電子メール認証部32bを含むように構成され得る。しかし、他の実施形態による場合、グループ認証部32は別に構成され得、これについても説明する。
認証サーバ30は、先ず加入要求受信部31を含み得る。加入要求受信部31はユーザ端末10から加入要求が受信されると、ユーザ端末10の加入要求部11がユーザから入力されたグループコードと電子メールアドレスを加入要求と共に受信して記録する。
このとき加入要求受信部31は、受信されたグループコードと電子メールアドレスをそれぞれ一つのアカウントとして互いに関連して格納し得る。
ここで、加入要求受信部31が受信した情報は「加入用テーブル」に記録され得る。
「加入用テーブル」は、加入要求と共にユーザ端末10から受信されたグループコードと電子メールアドレスをユーザ端末10から受信して格納するテーブルとして、前述したグループ認証と会員認証手続を含む加入手続を行う際に利用される。また、加入用テーブルに記録されたデータは、該当ユーザ端末10に対して加入手続を完了してユーザ端末10にセッションキーが付与された後は削除される。
加入用テーブルに書き込まれるデータの種類は次のとおりである。
ここで、グループコードと電子メールアドレスは前述したように加入要求受信部31がユーザ端末10から受信する。また、認証キーと、電子メール認証コードはユーザ端末10から加入要求を受信した後、加入要求受信部31が生成して前述した加入用テーブルに書込できる。
このような加入用テーブルに記録される情報は、認証電子メールを発送した後、一定期間内にユーザが認証電子メールに対するなんらかのアクションを取らなければ、一定期間が徒過すると削除され得る。
一方、このときPush識別子は、例えばアンドロイド(Android)オペレーティングシステムの登録ID(Registered ID)、またはiOSのデバイストークン(Device Token)情報などのようなように、Pushサーバ(例えば、アンドロイドのGCMまたはiOSのAPNS)で使用されるデバイス識別情報になる。このようなデバイス識別情報はそれぞれのユーザ端末10にインストールされるアプリケーションを識別するためにそれぞれのユーザ端末10にインストールされ、Push通知を受信するアプリケーションごとに付与され得る。
最後に「グループ認証成功フィールド」については後述する。
したがって、加入要求受信部31は加入を要求するユーザ端末10のPush識別子を一時的に前述した加入用テーブルに格納することによって、前記の認証電子メール発送通知、そして認証電子メール確認通知などがPush方式でユーザ端末10に伝達されるようにできる。
このとき加入要求受信部31は、ユーザ端末10からグループコード及び電子メールアドレスと共に加入要求が受信されると、先ず前述したようにグループコードに対応する電子メールアドレスフォーマットと、ユーザ端末10から受信された電子メールアドレスのホストアドレスの部分が互いに対応するかどうかを確認した後、互いに対応すると認証キーと電子メール認証コードを生成して前記の加入用テーブルに記録できる。
認証キーは、前述したようにそれぞれの加入要求に対応して新たに生成される固有の乱数キーとして、それぞれの加入要求を区分するための識別用に使用され得る。
「電子メール認証コード」も認証キーのような固有の値として、例えば50kbytes以上の乱数キーとして生成される。このとき電子メール認証コードは後述する電子メール発送部32aが発送する認証電子メールに含まれ、具体的には認証電子メール内でユーザが選択できる形式の認証リンクとして含まれ、ユーザが認証リンクを選択(クリック又はタッチ)することを認証サーバ30が感知することによって、いかなる電子メール認証コードに対応する認証電子メールが確認されたかを把握できるように構成され得る。このような電子メール認証コードは、認証リンク形式ではなく認証電子メール本文に含まれた認証用文字列の形式でユーザに提供され得ることは前述したとおりである。すなわち、電子メール認証コードは認証リンクまたは認証文字列のうちいずれか一つの実施形態として提供され得る。
このとき電子メール認証コードは、グループ認証の第1実施形態による場合、加入用テーブルに記録され、第2実施形態による場合は電子メール認証コードのフィールドの代りに認証用キーワードのフィールドが記録され得る。また第2実施形態でそれぞれのユーザに互いに異なる受信メールアドレスを通知する場合、各ユーザに通知した受信メールアドレスに対するフィールドが加入用テーブルに含まれ得る。一方、グループ認証の第3実施形態による場合、電子メール認証コードのフィールドの代りにユーザから受信した無線LANアクセスポイントの識別子または位置情報を記録するためのフィールドが含まれ得る。
一方、認証サーバ30にはグループ認証部32の構成として、電子メール発送部32aが含まれ、電子メール発送部32aは前述した電子メール認証コードを認証リンクまたは認証用文字列として含めた電子メールを発送できる。例えば認証電子メールは、認証電子メールが発送された電子メールアドレスを利用していかなるサービスに会員加入をしようとしたかに関する情報と、認証リンクを選択すると、加入承認されるという情報(または認証用文字列をアプリケーションに入力すると加入承認されるという情報)、そして認証リンク(または認証用文字列)を含み得る。また認証リンクが選択されたり認証用文字列が記録されたりすると、対応する電子メール認証コードが認証サーバ30に伝達されることによって、いかなる認証電子メールに対してユーザが承認したかを確認できる。
このとき電子メール発送部32aは、認証電子メールを発送した後、認証電子メールが発送された電子メールアドレスに対応するPush識別子を利用してユーザ端末10に認証キーを含む認証電子メール発送通知を伝送できる。
さらに、認証サーバ30はグループ認証部32の構成として電子メール認証部32bを含み得る。電子メール認証部32bは、ユーザが電子メール認証端末20を利用して電子メールを確認した後、認証リンクを選択するか、認証用文字列を入力することによって、認証サーバ30に電子メール認証コードが伝送されると、加入用テーブルで該当電子メール認証コードに対応するグループ認証成功のフィールド値を成功として処理(記録されていないフィールド値を記録するかフィールド値を変更)できる。すなわち「グループ認証成功フィールド」は電子メール認証が成功的に完了してグループ認証が成功したかどうかを示す値が記録される領域である。
また、電子メール認証部32bはこのようにグループ認証成功のフィールド値が成功として処理されると、対応するPush識別子を利用してユーザ端末10に認証電子メール確認通知の発送と共に認証キーを共に伝送する。
これによりユーザ端末10では認証電子メールを利用したグループ認証が完了したことを確認でき、特にユーザ端末10は認証電子メール発送通知と認証電子メール確認通知にそれぞれ含まれていた第1認証キーと第2認証キーが一致するかどうかを確認した後、一致する場合に限り、一致する一つの認証キーを再び認証サーバ30に伝送し、最終的な認証要求をできる。
すなわち、電子メール認証部32bはグループ認証成功のフィールド値を成功として処理し、ユーザ端末10で認証電子メール確認通知を伝送した後、ユーザ端末10から認証キーを含む認証要求が受信されると、グループ認証成功のフィールド値を確認して成功として処理されたことが確認される場合に限り認証要求に対するグループ認証成功の応答を伝送できる。
すなわち、認証サーバ30でグループ認証成功のフィールド値が成功として処理されると、ユーザ端末10がこれを確認できるように認証電子メール確認通知を発送することによってユーザ端末10でアプリケーションが実行されて認証キーを認証サーバ30に伝達して認証の有無の確認を受けられるようにすることができる。
一方、グループ認証の第2実施形態によれば、前述したグループ認証部32は図3に示す場合とは異なり「電子メール受信部」と「電子メール認証部」を含み得る。「電子メール受信部」は、受信メールアドレスと認証用キーワードをユーザ端末10に通知(第1認証キーを含み得る)した後、受信メールアドレスを受信人として、ユーザが予め入力した電子メールアドレスを差出人とし、選択的に認証用キーワードを本文に含む認証電子メールを受信する。また、「電子メール認証部」は、認証電子メールが受信されると、加入用テーブルで該当電子メールアドレスに対応する受信メールアドレスと認証用キーワードがすべて対応するかどうかを確認してグループ認証成功のフィールド値を成功として処理し得る。そして電子メール認証部はグループ認証成功のフィールド値を成功として処理するとき、認証電子メール確認通知と共に認証キー(第2認証キー)をユーザ端末10に伝送できる。
また、グループ認証の第3実施形態によれば、前述したグループ認証部32はユーザ端末10から電子メールアドレスの代りに、ユーザ端末10がアクセス可能な無線LANアクセスポイントの識別子と現在位置情報を受信した後、ユーザが選択したグループに対して既に格納された無線LANアクセスポイント識別子やオフラインアドレス情報と比較してグループ認証を行うことができる。認証が成功すると、加入用テーブルのグループ認証成功のフィールド値を成功として処理し、ユーザ端末10に認証キーを伝送できる。
一方、ユーザ端末10では認証サーバ30からグループ認証成功の応答を受信すると、暗証番号とニックネームなどを設定できるようにするグループ認証成功の画面をユーザに提供する。
さらに、本発明の一実施形態によれば、認証サーバ30は会員情報管理部34を含む。
会員情報管理部34はユーザ端末10のグループ認証成功の画面を介してユーザが入力するニックネームと暗証番号などを受信する。このとき既に説明したように暗証番号は暗号化して伝達され得る。
会員情報管理部34がユーザ端末10から受信する会員情報は会員用テーブルに記録され、会員用テーブルの各フィールドは次のとおりである。
ここで会員番号は、ユーザ端末10から会員情報が受信され、これを会員用テーブルに記録するとき、会員情報管理部34が新たに生成する識別コードであり得る。
また、暗号化した暗証番号と暗号化した電子メールアドレスは前述したようにユーザ端末10から受信できる。このとき暗号化した電子メールアドレスは暗証番号と電子メールアドレス、そして選択的にその他の暗号化に必要な追加情報などを利用して暗号化した形で格納されるハッシュ値になる。このとき電子メールアドレスの暗号化は単方向暗号化方式でエンコードされるためまた復号化されない。このとき暗号化した電子メールアドレスは認証サーバ30に格納されるとき、最終的に復号化されないように暗号化した状態で格納されるが、ユーザ端末10ではユーザが入力した電子メールアドレスを先ずは復号化可能な状態に暗号化して認証サーバ30に伝達し、認証サーバ30がこれを復号化した後、再び復号化されない方式で暗号化したものであり得、ユーザ端末10で認証サーバ30に暗号化した電子メールアドレスを伝達するときから、復号化されない方式で暗号化して伝達し、認証サーバ30がこれをそのまま格納したものであり得る。例えば、暗号化した電子メールアドレスはユーザ端末10で暗号化したものであって、ユーザが入力した暗証番号とサービス提供者、すなわち認証サーバ30の運営者側で設定したソルト値(Salt Value)を利用して復号化できないように暗号化され得る。
また、会員用テーブルはグループコードが記録されるフィールドを追加的に含み得る。
一方、会員セッションキーについては後述する。
このように会員情報管理部34は、ユーザ端末10から受信した暗号化した暗証番号と、暗号化した電子メールアドレス、ニックネームなどを記録して管理する。このとき暗号化した暗証番号はユーザ端末10から受信した暗号化した暗証番号を復号化した後、再び他の方式で暗号化したものであり得ることは前述したとおりである。
一方、認証サーバ30には重複処理部35が含まれ得る。重複処理部35は同じ電子メールアドレスに対する重複した加入要求があったり、既に会員として認証が完了したユーザに対し、再加入要求がある場合、重複して会員加入されることを防止するための構成である。
このため、重複処理部35は先に新たな加入要求が受信されるとき、加入要求に含まれた電子メールアドレスが加入用テーブルに既に登録された電子メールアドレスと同じであるかどうかを判断し、加入を要求したユーザ端末10に重複した加入要求であることを通知できる。また同様に重複処理部35は新たな加入要求が受信されるとき、加入要求に含まれた電子メールアドレスが後述する重複処理用テーブルに既に登録された電子メールアドレスと同じであるかどうかを判断して重複した加入要求であることを通知することもできる。さらに重複処理部35はユーザ端末10に対してグループ認証が完了した後、再び暗証番号などの会員情報の入力を受けるとき、ユーザ端末10が入力した電子メールアドレスが重複処理用テーブルに既に登録された電子メールアドレスと同じであるかどうかを判断して重複した加入要求であることを通知できる。このとき重複処理部35は平文の電子メールアドレスを、重複除去用テーブルに記録された暗号化した電子メールアドレスを暗号化するとき使用した暗号化ロジックと同じロジックで暗号化した後、重複除去テーブルに記録された暗号化した電子メールアドレスと比較して重複するかどうかを判断できる。
このように重複処理部35がユーザ端末10に重複した加入要求であることを通知するとき、ユーザ端末10では既存の会員加入を取り消して新たに会員加入をするかどうかを決定して認証サーバ30にその決定を通知できる。例えば、ユーザ端末10で同じ電子メールアドレスで新たな会員加入をしようと要求すると、重複処理部35は該当電子メールアドレスと関連する従来の記録をすべて削除し、再び会員加入手続を行うことができる。
このため、ユーザ端末10はユーザが重複した加入要求であるという通知を受けた後、再加入を要求すると、認証サーバ30に加入要求や会員情報を発送することにおいて「強制フラグ」を含めることができる。
また、重複処理部35は加入要求または会員認証をするための会員情報が受信されるとき、加入用テーブルまたは重複除去用テーブルに同じ電子メールアドレスが既に存在しても、強制フラグの存否に応じて既存の記録を削除し、新たにグループ認証及び/または会員認証を行うか、加入要求または会員情報登録を無視できる。
ここで重複除去用テーブルは次のようなフィールドを含み得る。
このような重複除去用テーブルの各フィールドは、任意のユーザ端末10に対する認証が成功したとき、電子メールアドレスを暗号化し、電子メールセッションキーを新たに生成することによって記録され得る。
一方、本発明の実施形態による認証サーバ30はセッション管理部36を含み得る。
セッション管理部36は会員用テーブルの「会員セッションキー」と重複除去用テーブルの「電子メールセッションキー」を新たに生成して管理する役割を果たす。
ここで、会員セッションキーはユーザ端末10に提供されて格納される会員セッションキーと同期され、セッション管理部36はユーザ端末10から受信される会員セッションキーで会員を識別してサービスを提供する。
また、電子メールセッションキーは重複除去用テーブルに格納されるセッションキーとして同様にユーザ端末10に提供されて格納される。
電子メールセッションキーが会員セッションキーと別に提供される理由は、会員用テーブルと会員加入の有無を判別するための重複除去用テーブルとの間に互いに関連する情報が全くないため、重複除去を行うとき削除されるデータは重複除去用テーブルの電子メールセッションキーのみであり、これに対応する会員セッションキーが何であるかを確認できないため、重複処理部35がこれを削除できない。
したがって、ユーザ端末10から受信する会員セッションキーが会員用テーブルに存在し、同時に受信した電子メールセッションキーが重複除去用テーブルに存在し、会員セッションキーと電子メールセッションキーがすべて有効である場合に限りサービスを提供するため、互いに異なる二つのセッションキーを発給して利用する。
すなわち、重複除去の過程で電子メールセッションキーのみ削除され、会員セッションキーは有効であることが確認されても、セッション管理部36は後に削除された電子メールセッションキーを含むサービス要求に対してサービスが提供されないようにすることができる。
さらに、本発明の実施形態による認証サーバ30は掲示物管理部37を含み得る。
掲示物管理部37はそれぞれの掲示物をユーザ端末10から登録を受けて格納できる。
もちろんそれぞれの掲示物はグループコードにより区分され得る。
掲示物管理用テーブルは例えば、掲示物の識別番号と掲示物を登録した会員番号をフィールドとして含み得る。
また、掲示物管理部37はそれぞれの掲示物に対するコメントを共に管理できるが、このため、認証サーバ30にはコメントテーブルが備えられ得る。
コメントテーブルは、コメントの識別番号と、コメントが従属する掲示物の識別番号、そしてコメントを登録した会員番号をフィールドとして含み得る。
一方、本発明の実施形態による認証サーバ30は掲示物提供部38を含み得る。掲示物提供部38は掲示物テーブルとコメントテーブルを利用して管理される掲示物とコメントをユーザ端末10の要求に応じて提供できる。
このとき、掲示物提供部38は掲示者が作成した掲示物に対してコメントが登録されるなど新たなイベントが発生すると、これを掲示者に通知する。このため、認証サーバ30にはPush情報テーブルが備えられ得る。
Push情報テーブルには、それぞれの掲示物の識別番号と、該当掲示物を登録したユーザ端末10のPush識別子がそれぞれのフィールドとして含まれ得る。
このとき、Push情報テーブルには各会員と関連するデータは含まれない。
したがって、前述したように認証サーバ30に登録されるそれぞれのテーブルがすべて流出されても、各テーブルの間に有機的な対応関係を有するデータが含まれないだけでなく、ユーザと関連する情報が含まれないためにサービス利用者、特に特定掲示物を登録した掲示者が誰であるかを把握することは不可能である。
また、前述した実施形態で、認証キー、セッションキー、その他会員情報などはユーザ端末10と認証サーバ30との間で交換されるとき、最初に生成されたり入力されたままに交換され得るが、このような情報が生成されたり入力された一側では情報を他側に伝達するときは暗号化して伝送し、他側ではこれを復号化して使用する方式で交換できることは自明である。
一方、本発明の実施形態のうち、電子メールアドレスを利用しないグループ認証方式を使用する場合、すなわちグループ認証の第3実施形態では、ユーザから重複加入を防止するための電子メールアドレスを別に入力を受けるか、電子メールアドレス以外の他の識別情報の入力を受けて重複除去を行うことができる。またはこの場合、重複除去を省略することもできる。
以下では前述した本発明の実施形態による認証システムを利用した認証方法について図面を参照して説明する。
図4は本発明の実施形態による認証方法で、ユーザの加入要求に応じてグループ認証のための電子メールを発送する過程を段階的に示すフローチャートである。図5は本発明の実施形態による認証方法で、電子メールを利用してグループ認証に必要な電子メール認証コードを受信する過程を段階的に示すフローチャートである。図6は本発明の実施形態による認証方法で、電子メール認証コードを利用してグループ認証を行う過程を段階的に示すフローチャートである。
また、図7は本発明の実施形態による認証方法で、ユーザ端末へのセッションキー発給のための会員認証を行う過程を段階的に示すフローチャートである。図8は本発明の実施形態による認証方法で、ユーザ端末にインストールされたアプリケーションを実行した後に行われる段階を時系列的に示すフローチャートである。
以下では、認証コードを含む認証電子メールを発送する方式でグループ認証を行う第1実施形態を中心に本発明について説明するが、本発明でグループ認証は以下で説明する方式に限定されず、図1ないし3を参照して説明したグループ認証の第1ないし第3実施形態だけでなく、これと実質的に置換が容易な他の方式によって行われ得る。
先ず、図4に示すように、ユーザがユーザ端末10から提供する加入要求画面でグループと電子メールアドレスを入力したり選択したりすると(S141)、ユーザ端末10はこれに対応するグループコードと電子メールアドレス、及びユーザ端末10のアプリケーションに割り当てられたPush識別子を認証サーバ30に伝送する(S142)。
これにより認証サーバ30は受信された電子メールアドレスとグループコード、Push識別子などを加入用テーブルに記録した後、電子メールアドレスがグループコードに対応する形式であるかどうかを判断する(S341)。
仮に、電子メールアドレスに含まれたホストアドレスがグループコードに対応する電子メールアドレスフォーマットに合わなければ、認証サーバ30はユーザ端末10にエラーメッセージを伝送し(S342)、ユーザ端末10は伝送されたエラーメッセージを表示する(S143)。
一方、S341段階での判断結果、電子メールアドレスがグループコードに対応する形式であると判断されると、認証サーバ30は重複除去用テーブルに受信された電子メールアドレスに対応する電子メールアドレスが既に登録されているかどうかを判断する(S343)。
仮に、既に登録されている場合、認証サーバ30はユーザ端末10から受信した情報に強制フラグが含まれているかどうかを判別し(S344)、強制フラグが含まれていないことが確認されると、ユーザ端末10に重複した加入要求であることを通知する(S345)。
また、ユーザ端末10は重複した加入要求であるという通知を含む重複メッセージが受信されると、これを表示し(S144)、ユーザが加入手続を進めるかまたは加入をあきらめるかに対して選択を受ける。
仮に、ユーザがグループ認証手続を続行すると判断されると(S145)ユーザ端末10は強制フラグを含むグループコード、電子メールアドレス、Push識別子を再び認証サーバ30に伝送する(S146)。
これにより再び認証サーバ30では前述したS341、S343、S344段階が行われる。
一方、S343段階で、加入要求に含まれた電子メールアドレスが重複除去用テーブルには登録されていないと確認されたり、S344段階でユーザ端末10から受信した加入要求に強制フラグが含まれていることが確認されたりすると、認証サーバ30は加入要求に対応する電子メール認証コードと認証キーをそれぞれ生成し(S346)、加入要求に含まれた情報と共に加入用テーブルに記録する(S347)。
ここで、S346及びS347段階は、グループ認証の第2実施形態によれば、受信メールアドレスと認証用キーワードをそれぞれ生成して加入用テーブルに記録することで代えることができる。
次いで、認証サーバ30は電子メール認証コードを含む認証電子メールを発送し(S348)、加入要求に対応する認証キーは認証電子メール発送通知と共にユーザ端末10に伝送され得る(S349)。一方、認証キーを受信したユーザ端末10はこれを格納できる。
また、ここでS348段階とS349段階は、グループ認証の第2実施形態によれば、受信メールアドレスと認証用キーワード情報をユーザ端末10に通知すると同時に認証キーをユーザ端末10に発送する段階で代えることができる。これによりユーザ端末10には認証キーが格納され、ユーザはユーザ端末10またはその他の端末を利用して認証電子メールを認証サーバ30に発送できる。
一方、このように認証電子メールが発送されると(S351)、その後には、図5に示すように、電子メール認証端末20が発送された認証電子メールを受信し、電子メール認証コードを含む認証リンク(または認証コードを含む認証用文字列)が含まれた電子メールを表示する(S251)。このとき前述したように電子メール認証端末20はユーザ端末10と同じ端末であり得る。
また、認証電子メールが表示された状態で、電子メール認証端末20のユーザが認証リンクを選択したりユーザ端末10にインストールされたアプリケーションを介して認証用文字列を入力したりすると(S252)、認証サーバ30に、選択された認証リンク(または認証用文字列)に対応する電子メール認証コードが伝達される(S253)。
ここで、第2実施形態によるグループ認証方式によれば、前述したS351段階ないしS253段階は、認証サーバ30が受信メールアドレスと認証用キーワード情報をユーザ端末10に通知し、これによりユーザが通知を受けた受信メールアドレスを受信人としてメール本文に認証用キーワードを含む認証電子メールを認証サーバ30に発送する段階で代替することができる。
これにより認証サーバ30は加入用テーブルから受信された電子メール認証コードと同じ電子メール認証コードを検索した後、検索された電子メール認証コードに対応するグループ認証成功のフィールド値を成功として処理する(S353)。
しかし、加入用テーブルで、受信された電子メール認証コードと同じ電子メール認証コードが検索されない場合、受信された信号を無視する。
第2実施形態によれば、S353段階で認証サーバ30はユーザから受信された認証電子メールの差出人と受信人の情報、そして本文に含まれたキーワードを加入用テーブルに記録された情報と比較してグループ認証成功のフィールド値を成功または失敗と処理する。
一方、認証サーバ30は図5のS353段階でグループ認証成功のフィールド値が成功として処理された加入要求に対し、これに対応するPush識別子を利用して対応する認証キーが含まれたPushメッセージ、すなわち認証電子メール確認通知を伝送できる(S361)。
これによりユーザ端末10は図4のS349段階で受信された認証キーと、図6のS361段階で受信された認証キーを比較し、両方が一致すると(S161)、互いに一致した認証キーと電子メールアドレスを認証サーバ30に伝送する(S162)。
これにより認証サーバ30はS162段階で伝送された認証キーに対応するグループ認証成功のフィールド値を確認し(S362)、成功として処理されたことが確認されると(S363)、ユーザ端末10にグループ認証成功の応答を返還する(S364)。
これによりユーザ端末10にはグループ認証成功の画面、すなわちユーザからニックネームや暗証番号などの会員情報の入力を受けるための画面が提供される(S163)。
これでグループ認証が完了する。
一方、図7に示すようにグループ認証が完了することによって、ニックネームと暗証番号などを設定できる画面がユーザ端末10に提供されると、ユーザ端末10はユーザからニックネームと暗証番号の入力を受ける(S171)。
また、ユーザ端末10は入力された暗証番号を利用して電子メールアドレスを暗号化し、暗証番号自体も暗号化する(S172)。
次いで、ユーザ端末10は暗号化した電子メールアドレス、暗号化した暗証番号、ニックネーム、グループコードなどの会員情報と、予め発給された認証キーを認証サーバ30に伝達する(S173)。
このとき、ユーザ端末10ではユーザが入力した電子メールアドレスを先ずは復号化可能な状態に暗号化して認証サーバ30に伝達し、認証サーバ30がこれを復号化した後、再び復号化されない方式で暗号化して格納でき、またはユーザ端末10で認証サーバ30に暗号化した電子メールアドレスを伝達するときから、復号化されない方式で暗号化して伝達して認証サーバ30がこれをそのまま格納することもできる。
認証サーバ30は受信された会員情報と共に受信される認証キーを利用して加入用テーブルで認証キーに対応する電子メールアドレスを確認できる(S371)。
また、認証サーバ30は加入用テーブルに平文で格納された電子メールアドレスが確認されると、これを利用して重複除去用テーブルに既に該当電子メールアドレスが登録されているかを確認する(S372)。このようなS372段階は、平文の電子メールアドレスを重複除去用テーブルに記録された暗号化した電子メールアドレスを暗号化するときに使用した暗号化ロジックと同じロジックで暗号化した後、重複除去テーブルに記録された暗号化した電子メールアドレスと比較することによって行われ得る。このとき電子メールアドレスの暗号化に使用される暗号化ロジックは、認証サーバ30の運営者によって決定されたり変更されたりし得る。
仮に、S372段階で電子メールアドレスが重複することが確認されると、認証サーバ30は会員情報に強制フラグが存在するかどうかを確認した後、強制フラグが存在しなければユーザ端末10に重複メッセージを伝送し(S375)、同じ電子メールアドレスに対する重複した加入要求であることを通知する。
また、これを受信したユーザ端末10は重複メッセージを表示し(S174)、ユーザが同じ電子メールアドレスで再び加入するか、または加入をあきらめるかを選択できるようにする。
ユーザ端末10で引き続き加入手続を行い会員認証を完了しようとしない場合、残りの手続はすべて中断される。しかし、ユーザ端末10で引き続き加入手続を進めようとするユーザの入力が発生すると(S175)、ユーザ端末10はS173段階で伝送した会員情報と認証キーを再び伝送するが、このときには強制フラグを共に伝送する(S176)。
これにより認証サーバ30は会員情報と、認証キー、及び強制フラグを受信し、S371ないしS374段階を再行う。
仮にS372段階で重複除去用テーブルに電子メールアドレスが存在しないことが確認されると、認証サーバ30は電子メールセッションキーを新たに生成し、電子メールアドレスを暗号化して重複除去用テーブルに共に記録する(S373)。
一方、S372段階で重複除去用テーブルに同じ電子メールアドレスが存在すると判断されたが、S374段階で会員情報に強制フラグが含まれたことが確認されると、認証サーバ30は重複除去用テーブルの該当電子メールアドレスに対応し、新たな電子メールセッションキーを更新して格納する(S376)。
次いで、認証サーバ30は会員用テーブルに受信された会員情報を記録し、会員セッションキーを生成して共に格納できる(S377)。
また、このように加入要求したユーザ端末10に対してグループ認証が完了し、会員情報の登録及びセッションキーの発給が行われ、会員認証手続まですべて完了すると、認証サーバ30は始めて加入用テーブルに記録された関連データをすべて削除し(S378)、電子メールセッションキーと会員セッションキーをユーザ端末10に発給する。
これによりユーザ端末10ではセッションキーを格納できる。このときユーザ端末10もセッションキーの発給と共に電子メールアドレスやグループコードなどの臨時格納されたデータをすべて削除できる。
一方、以上ではグループ認証手続と会員認証手続を様々な過程に分けて認証サーバ30の時系列的な遂行段階を中心に説明したが、以下では図8を参照してユーザ端末10を中心にグループ認証手続と会員認証手続などが行われる過程について調べる。
図8に示すようにユーザ端末10でアプリケーションが実行されると(S181)、ユーザ端末10は先に発給された認証キーの存在を確認する(S182)。
ここで、認証キーはセッションキーの発給によってユーザ端末10から削除されるため、認証キーが存在することは該当ユーザ端末10に対するセッションキーがまだ発給されないこと、すなわち加入手続が完了していないことを意味する。
したがって、S182段階でユーザ端末10に認証キーが格納されていること確認すると、ユーザ端末10は認証キーと、ユーザから入力を受けて格納されていた電子メールアドレスを認証サーバ30に伝送できる(S183)。
したがって、認証サーバ30は加入用テーブルで受信された認証キーに対応するグループ認証成功のフィールド値を確認できる(S381)。
また、認証サーバ30はグループ認証成功のフィールド値が成功として処理されたかどうかに応じてグループ認証の成功応答または失敗応答をユーザ端末10に伝送できる(S383、S384)。
したがって、ユーザ端末10では成功応答が受信されると(S184)、グループ認証成功画面、すなわちユーザ端末10からニックネームと暗証番号など会員情報の入力を受けて会員認証を行うための画面を提供し、図7に示す段階を行うことができる。
また、ユーザ端末10では認証キーが存在しない場合や、認証キーは存在するがグループ認証に失敗した場合(セッションキーも存在しない場合)、加入要求画面を表示できる(S187)。これにより新たなグループと電子メールアドレスの入力を受けて図4ないし6に示すグループ認証手続から再び行うことができる。
一方、ユーザ端末10に認証キーは存在せず、セッションキーが存在する場合、ユーザ端末10はセッションキーを利用してサービスを利用できる(S192)。
このとき、選択的にセッションキーが存在してもサービスを利用するためにはスクリーンロックを解除するようにすることができるが、スクリーンロック状態である場合(S188)、ユーザ端末10は暗証番号の入力を受けるためのユーザインターフェースをユーザに提供し、暗証番号の入力を受けることができる(S189)。
これによりユーザから入力された暗証番号を暗号化してセッションキーと共に認証サーバ30に伝送できる(S190)。
これを受信した認証サーバ30は、受信されたセッションキーと同じ会員セッションキーを会員用テーブルで検索し、検索された会員に対応する暗号化した暗証番号とS190段階で受信された暗号化した暗証番号を比較できる(S383)。
また、二つの暗証番号が一致しなければ、認証サーバ30はユーザ端末10にエラーメッセージを伝送できる。
一方、S383段階で二つの暗証番号が一致することが確認されると、認証サーバ30は重複除去用テーブルで電子メールセッションキーも有効であるかを確認した後(S385)、認証成功の応答をユーザ端末10に伝送できる。
これによりユーザ端末10は認証成功の応答を受信し(S191)、正常にサービスを利用できる(S192)。
一方、図4ないし図8を参照して説明した認証方法において、グループ認証方式を第3実施形態によるグループ認証方法で代替する場合、図4ないし図6に示すグループ認証手続は認証サーバ30がユーザ端末10からグループコード及び無線LANアクセスポイントの識別子と現在位置情報を受信した後、無線LANアクセスポイントの識別子と現在位置情報を、受信されたグループコードに対応するグループに対して予め登録されたアクセスポイント識別子とグループのオフライン位置と比較し、互いに対応すると、グループ認証成功のフィールド値を成功として処理し、認証キーを生成してユーザ端末10に伝送する過程を経て行われる。このとき重複した会員加入を防止するために第1または第2実施形態と同様にユーザから電子メールアドレスの登録を受け得るが、この電子メールアドレスはグループ認証には使用されず、重複除去用にのみ使用され得る。電子メールアドレスの他に社員番号などが重複除去のための情報として使用され得る。
図4ないし図8に示す実施形態による認証方法は図1ないし3に示す認証システムで時系列的に処理される段階を含む。したがって、以下で省略された内容でも図1ないし3に示す認証システムに関して前述した内容は図4ないし図8に示す実施形態による認証方法にも適用され得る。
図4ないし図8を参照して説明された実施形態による認証方法は、コンピュータによって実行されるプログラムモジュールのようなコンピュータによって実行可能な命令語を含む記録媒体の形態で具現され得る。コンピュータで判読可能な媒体は、コンピュータによってアクセスされる任意の使用が可能な媒体であり得、揮発性及び不揮発性媒体、分離型及び非分離型媒体をすべて含む。また、コンピュータで判読可能な媒体はコンピュータ格納媒体及び通信媒体をすべて含み得る。コンピュータ格納媒体はコンピュータで判読可能な命令語、データ構造、プログラムモジュールまたはその他のデータのような情報の格納のための任意の方法または技術で具現された揮発性及び不揮発性、分離型及び非分離型媒体をすべて含む。通信媒体は典型的にコンピュータで判読可能な命令語、データ構造、プログラムモジュール、または搬送波のような変調したデータ信号のその他のデータ、またはその他の伝送メカニズムを含み、任意の情報伝達媒体を含む。
また、本発明の一実施形態による認証方法は、コンピュータによって実行可能な命令語を含むコンピュータープログラム(またはコンピュータープログラム製品)で実現され得る。コンピュータープログラムは、プロセッサによって処理されるプログラミング可能な機械命令語を含み、高水準プログラム言語(High−level Programming Language)、オブジェクト指向プログラミング言語(Object−oriented Programming Language)、アセンブリ言語または機械言語などで実現され得る。またコンピュータープログラムは、有型のコンピュータで判読可能な記録媒体(例えば、メモリ、ハードディスク、磁気/光学媒体またはSSD(Solid−State Drive)など)に記録され得る。
したがって、本発明の一実施形態による認証方法は、前述したことのようなコンピュータープログラムがコンピュータ装置によって実行されることによって実現され得る。コンピュータ装置は、プロセッサ、メモリ、格納装置、メモリ、及び高速拡張ポートに接続している高速インターフェースと、低速バスと格納装置に接続している低速インターフェースのうち少なくとも一部を含み得る。このような成分のそれぞれは、多様なバスを利用して接続されており、共通マザーボードに搭載されたり他の適切な方式で装着されたりし得る。
ここで、プロセッサは、コンピュータ装置内で命令語を処理できるが、このような命令語では、例えば高速インターフェースに接続されたディスプレイのように外部入力、出力装置上にGUI(Graphic User Interface)を提供するためのグラフィック情報を表示するためにメモリや格納装置に格納された命令語を挙げることができる。他の実施形態として、多数のプロセッサ及び(または)多数のバスが適切に多数のメモリ及びメモリ形態と共に利用され得る。またプロセッサは独立的な多数のアナログ及び(または)デジタルプロセッサを含むチップからなるチップセットで実現され得る。
またメモリはコンピュータ装置内で情報を格納する。一例として、メモリは揮発性メモリユニットまたはこれらの集合で構成され得る。他の例として、メモリは不揮発性メモリユニットまたはこれらの集合で構成され得る。またメモリは例えば、磁気あるいは光ディスクと共に他の形態のコンピュータで判読可能な媒体であり得る。
また、格納装置はコンピュータ装置に大容量の格納空間を提供できる。格納装置はコンピュータで判読可能な媒体であるか、このような媒体を含む構成であり得、例えばSAN(Storage Area Network)内の装置や他の構成も含み得、フロッピーディスク装置、ハードディスク装置、光ディスク装置、あるいはテープ装置、フラッシュメモリ、これと類似の他の半導体メモリ装置あるいは装置アレイであり得る。
前述した本発明の説明は例示するためのものであり、本発明が属する技術分野の通常の知識を有する者は、本発明の技術的な思想や必須の特徴を変更しない範囲で他の具体的な形態で簡単に変形できることを理解できるであろう。したがって、上記実施形態はすべての面で例示的なものであり、限定的なものではないと理解しなければならない。例えば、単一型と説明されている各構成要素は分散して実施され得、同様に分散していると説明されている構成要素も結合された形態で実施され得る。
本発明の範囲は、上記の詳細な説明よりは後述する特許請求の範囲によって示され、特許請求の範囲の意味及び範囲そしてその均等概念から導き出されるすべての変更または変形された形態が本発明の範囲に含まれると解釈されなければならない。