JP7186346B2 - 認証システム、認証装置及び認証方法 - Google Patents
認証システム、認証装置及び認証方法 Download PDFInfo
- Publication number
- JP7186346B2 JP7186346B2 JP2020550989A JP2020550989A JP7186346B2 JP 7186346 B2 JP7186346 B2 JP 7186346B2 JP 2020550989 A JP2020550989 A JP 2020550989A JP 2020550989 A JP2020550989 A JP 2020550989A JP 7186346 B2 JP7186346 B2 JP 7186346B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- identification information
- information
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
Description
本発明は、認証システム、認証方法、アプリケーション提供装置、認証装置、認証用プログラムに関する。
近年、Webアプリケーション等のアプリケーションを提供するWebサイトの認証において、従来のパスワード認証の代替手段として生体認証を用いるケースが増えている。生体認証を用いた認証の仕組みとして、FIDO(Fast IDentity Online) UAF(Universal Authentication Framework)が注目されており、準拠した製品も開発されている(例えば、特許文献1参照)。
FIDO UAFでは、サーバ側に生体情報を保存する必要がないため安全性が高く有効である。しかしながら、アプリケーションの開発者がFIDO UAFを導入する場合、FIDO UAFに準拠した処理を実行する認証サーバを導入する必要があり、導入障壁が高いという問題がある。
そこで、本発明はこれらの点に鑑みてなされたものであり、アプリケーションサーバにおいて生体認証の結果を容易に扱えるようにすることができる認証システム、認証方法、アプリケーション提供装置、認証装置、認証用プログラムを提供することを目的とする。
本発明の第1の態様に係る認証システムは、アプリケーションを提供する複数のアプリケーション提供装置と、前記アプリケーションを利用するユーザの生体認証を行う認証装置とを備える認証システムであって、前記アプリケーション提供装置は、端末から前記ユーザの認証要求を受け付けると、前記アプリケーション提供装置を識別するサービス識別情報を含み、前記ユーザの生体認証を要求する生体認証要求情報を前記認証装置に送信する認証要求部と、前記認証装置から前記生体認証の認証結果を受信し、当該認証結果が前記生体認証に成功したことを示していると、前記端末に前記アプリケーションに関する機能を提供する提供部と、を有し、前記認証装置は、前記生体認証要求情報を受信すると、前記ユーザが所持し、生体認証を実行可能な携帯端末に、当該生体認証要求情報に含まれるサービス識別情報に対応する前記生体認証の実行を指示する第1指示情報をプッシュ通知する生体認証指示部と、前記携帯端末から前記第1指示情報に対応する前記生体認証の認証結果を受信し、当該認証結果の正当性を検証する検証部と、前記検証部により前記認証結果が正当であると検証されると、前記認証結果を、前記生体認証要求情報を送信した前記アプリケーション提供装置に送信する結果送信部と、を有する。
前記認証装置は、前記ユーザを識別するユーザ識別情報と、前記サービス識別情報と、前記携帯端末に前記プッシュ通知を行う場合に使用される通知用識別情報とを関連付けて記憶する記憶部をさらに有し、前記認証要求部は、前記端末から前記ユーザ識別情報を取得すると、当該ユーザ識別情報と、前記サービス識別情報とを含む生体認証要求情報を前記認証装置に送信し、前記生体認証指示部は、前記生体認証要求情報を受信すると、前記記憶部を参照し、前記ユーザ識別情報及び前記サービス識別情報に関連付けられている前記通知用識別情報に基づいて、前記携帯端末に前記第1指示情報をプッシュ通知してもよい。
前記記憶部は、前記サービス識別情報と、前記通知用識別情報と、ハッシュ化された前記ユーザ識別情報とを関連付けて記憶し、前記認証要求部は、前記端末から前記ハッシュ化されたユーザ識別情報を取得すると、前記サービス識別情報及び前記ハッシュ化されたユーザ識別情報を含む前記生体認証要求情報を前記認証装置に送信し、前記生体認証指示部は、前記生体認証要求情報を受信すると、前記記憶部を参照し、前記ハッシュ化されたユーザ識別情報及び前記サービス識別情報に関連付けられている前記通知用識別情報に基づいて、前記携帯端末に前記第1指示情報をプッシュ通知してもよい。
前記認証要求部は、前記ユーザ識別情報をハッシュ化するスクリプトのアドレスを含み、前記ユーザ識別情報の入力を受け付けるページを送信し、当該アドレスに基づいて前記携帯端末が取得した前記スクリプトに基づいて生成された前記ハッシュ化されたユーザ識別情報を前記端末から取得してもよい。
前記アプリケーション提供装置は、前記携帯端末から、前記ユーザ識別情報と、前記通知用識別情報とを含み、前記ユーザの前記認証装置への登録要求を示す第1登録要求情報を取得すると、当該ユーザ識別情報と、当該通知用識別情報と、前記サービス識別情報とを含み、当該ユーザの登録を要求する第2登録要求情報を前記認証装置に送信する登録要求部をさらに有し、前記生体認証指示部は、前記第2登録要求情報を受信すると、当該第2登録要求情報に含まれる前記通知用識別情報に基づいて、前記携帯端末に、当該第2登録要求情報に含まれるサービス識別情報に対応する前記生体認証の実行を指示する第2指示情報をプッシュ通知し、前記検証部は、前記携帯端末から前記第2指示情報に対応する前記生体認証の認証結果を受信し、当該認証結果の正当性を検証し、前記結果送信部は、前記検証部により前記第2指示情報に対応する前記生体認証の認証結果が正当であると検証されると、前記第2登録要求情報に含まれる前記ユーザ識別情報と、前記サービス識別情報と、前記通知用識別情報とを関連付けて前記記憶部に記憶させ、前記ユーザの登録結果を前記携帯端末及び前記アプリケーション提供装置に送信してもよい。
前記登録要求部は、前記ユーザ識別情報をハッシュ化するスクリプトのアドレスを含み、前記ユーザ識別情報の入力を受け付けるページを送信し、当該アドレスに基づいて前記携帯端末が取得した前記スクリプトに基づいて生成された前記ハッシュ化されたユーザ識別情報を含む前記第1登録要求情報を取得してもよい。
前記生体認証指示部は、前記端末と前記携帯端末とが同一のユーザにより使用されていることを示す信頼関係状態であるか否かを判定し、前記端末と前記携帯端末とが前記信頼関係状態にあると判定すると、前記第1指示情報をプッシュ通知してもよい。
前記携帯端末と前記認証装置とは、ワンタイムパスワードを生成するための共通鍵を共有し、前記携帯端末は、前記共通鍵に基づいて前記ワンタイムパスワードを生成して表示し、前記認証要求部は、前記端末から、前記ユーザを識別するユーザ識別情報と前記ワンタイムパスワードとを受け付けることにより、前記ユーザの認証の要求を受け付け、当該ユーザ識別情報と当該ワンタイムパスワードとを含む前記生体認証要求情報を前記認証装置に送信し、前記生体認証指示部は、前記生体認証要求情報を受信すると、前記共通鍵に基づいてワンタイムパスワードを生成し、生成したワンタイムパスワードと、前記生体認証要求情報に含まれるワンタイムパスワードとが一致するか否かに基づいて、前記端末と前記携帯端末とが信頼関係状態にあるか否かを判定してもよい。
前記端末は、前記ユーザの認証に成功すると、当該認証に用いられた前記ユーザ識別情報を前記端末に記憶させ、前記認証要求部は、前記端末から前記ユーザの認証要求を受け付ける場合に前記端末に前記ユーザ識別情報が記憶されているときには、前記端末から当該ユーザ識別情報を取得し、当該ユーザ識別情報と前記サービス識別情報とを含む前記生体認証要求情報を前記認証装置に送信してもよい。
前記認証装置は、前記生体認証要求情報を取得すると、所定のチャネル識別情報に基づいて、前記端末と前記携帯端末とを前記認証装置を介して通信可能に接続させ、前記携帯端末から前記端末と前記携帯端末とが信頼関係にあるか否かを受け付け、前記信頼関係にあることを受け付けると、前記端末と前記携帯端末とに前記信頼関係にあることを示す信頼関係情報を記憶させる信頼構築部をさらに有し、前記生体認証指示部は、前記端末と前記携帯端末とに前記信頼関係情報が記憶されている場合に前記端末と前記携帯端末とが前記信頼関係状態にあると判定し、当該携帯端末に前記第1指示情報をプッシュ通知してもよい。
前記検証部は、前記認証装置が前記生体認証要求情報を受信する前に、前記携帯端末から、前記携帯端末において行われた前記生体認証の認証結果を受信し、当該認証結果の正当性を検証し、前記結果送信部は、前記検証部により前記認証結果が正当であると検証された後に、前記生体認証要求情報を受信したことに応じて、前記認証結果を、前記生体認証要求情報を送信した前記アプリケーション提供装置に送信してもよい。
前記結果送信部は、前記認証結果が前記生体認証に成功したことを示していると、前記端末又は前記携帯端末に、前記ユーザの認証に成功したことを示す情報を表示させてもよい。
前記結果送信部は、前記認証結果が前記生体認証に成功したことを示していると、前記端末又は前記携帯端末に、所定時間にわたって前記ユーザの認証に成功したことを示す情報を表示させてもよい。
本発明の第2の態様に係る認証方法は、アプリケーションを提供する複数のアプリケーション提供装置と、前記アプリケーションを利用するユーザの認証を行う認証装置とを備える認証システムが実行する認証方法であって、前記アプリケーション提供装置が、端末から前記ユーザの認証要求を受け付けると、当該アプリケーション提供装置を識別するサービス識別情報を含み、前記ユーザの生体認証を要求する生体認証要求情報を前記認証装置に送信するステップと、前記認証装置が、前記生体認証要求情報を受信すると、前記ユーザが所持し、生体認証を実行可能な携帯端末に、前記生体認証要求情報に含まれるサービス識別情報に対応する前記生体認証の実行を指示する第1指示情報をプッシュ通知するステップと、前記認証装置が、前記携帯端末から前記第1指示情報に対応する前記生体認証の認証結果を受信し、当該認証結果の正当性を検証するステップと、前記認証装置が、前記認証結果が正当であると検証すると、前記認証結果を、前記生体認証要求情報を送信した前記アプリケーション提供装置に送信するステップと、前記アプリケーション提供装置が、前記認証装置から前記生体認証の認証結果を受信し、当該認証結果が前記生体認証に成功したことを示していると、前記端末に前記アプリケーションに関する機能を提供するステップと、を有する。
本発明の第3の態様に係るアプリケーション提供装置は、アプリケーションを提供するアプリケーション提供装置であって、端末からユーザの認証要求を受け付けると、自身を識別するサービス識別情報を含み、前記ユーザの生体認証を要求する生体認証要求情報を、前記ユーザの生体認証を行う認証装置に送信する認証要求部と、前記認証装置から前記生体認証の認証結果を受信し、当該認証結果が前記生体認証に成功したことを示していると、前記端末に前記アプリケーションに関する機能を提供する提供部と、を備える。
本発明の第4の態様に係る認証装置は、ユーザの生体認証を行う認証装置であって、アプリケーションを提供するアプリケーション提供装置から、前記アプリケーション提供装置を識別するサービス識別情報を含み、前記ユーザの生体認証を要求する生体認証要求情報を受信すると、前記ユーザが所持し、生体認証を実行可能な携帯端末に、当該サービス識別情報に対応する前記生体認証の実行を指示する指示情報をプッシュ通知する生体認証指示部と、前記携帯端末から前記指示情報に対応する前記生体認証の認証結果を受信し、当該認証結果の正当性を検証する検証部と、前記検証部により前記認証結果が正当であると検証されると、前記認証結果を、前記生体認証要求情報を送信した前記アプリケーション提供装置に送信する結果送信部と、を備える。
本発明の第5の態様に係る認証用プログラムは、アプリケーションを提供するコンピュータを、端末からユーザの認証要求を受け付けると、自身を識別するサービス識別情報を含み、前記ユーザの生体認証を要求する生体認証要求情報を、前記ユーザの生体認証を行う認証装置に送信する認証要求部、及び、前記認証装置から前記生体認証の認証結果を受信し、当該認証結果が前記生体認証に成功したことを示していると、前記端末に前記アプリケーションに関する機能を提供する提供部、として機能させる。
本発明によれば、アプリケーションサーバにおいて生体認証の結果を容易に扱えるようにすることができるという効果を奏する。
[認証システムSの概要]
図1は、実施の形態に係る認証システムSの構成を示す図である。認証システムSは、認証装置としての認証サーバ1と、アプリケーション提供装置としてのアプリケーションサーバ2と、端末3と、携帯端末4とを備え、生体認証を行うシステムである。
図1は、実施の形態に係る認証システムSの構成を示す図である。認証システムSは、認証装置としての認証サーバ1と、アプリケーション提供装置としてのアプリケーションサーバ2と、端末3と、携帯端末4とを備え、生体認証を行うシステムである。
端末3は、例えば、ユーザUが使用するパーソナルコンピュータである。携帯端末4は、例えば、スマートフォン等の携帯電話機であり、指紋認証等の生体認証を行うことができる。
端末3及び携帯端末4は、例えば、LANや携帯電話回線網やWi-Fi(登録商標)等のネットワークNを介して、認証サーバ1及びアプリケーションサーバ2と通信可能に接続されている。
認証サーバ1は、携帯端末4を用いてユーザUの生体認証を行うサーバである。
アプリケーションサーバ2は、端末3にアプリケーションを提供するサーバである。実施の形態において、アプリケーションサーバ2は複数設けられているものとする。
アプリケーションサーバ2は、端末3にアプリケーションを提供するサーバである。実施の形態において、アプリケーションサーバ2は複数設けられているものとする。
以下、認証システムSで行われる処理の手順を(1)から(6)で説明するが、その説明は図1中の(1)から(6)と対応する。
(1)、(2)アプリケーションサーバ2は、端末3から認証要求を受け付けると、認証サーバ1に端末3のユーザに対する生体認証の要求を行う。
(1)、(2)アプリケーションサーバ2は、端末3から認証要求を受け付けると、認証サーバ1に端末3のユーザに対する生体認証の要求を行う。
(3)認証サーバ1は、アプリケーションサーバ2から端末3のユーザに対する生体認証の要求を受け付けると、携帯端末4に、生体認証の実行を指示する指示情報をプッシュ通知し、携帯端末4に生体認証を行わせる。
(4)、(5)認証サーバ1は、携帯端末4から生体認証の認証結果を取得し、認証結果が正当であることを確認すると、認証結果をアプリケーションサーバ2に送信する。
(4)、(5)認証サーバ1は、携帯端末4から生体認証の認証結果を取得し、認証結果が正当であることを確認すると、認証結果をアプリケーションサーバ2に送信する。
(6)アプリケーションサーバ2は、認証サーバ1から受信した認証結果が生体認証に成功したことを示していると、ユーザUにアプリケーションに係る機能を提供する。
アプリケーションサーバ2の運用者は、アプリケーションサーバ2におけるユーザUの認証時においてユーザUに生体認証を行わせる場合に、生体認証の要求に関する処理を行う機能と、認証結果を取得する機能とを実装するだけで、アプリケーションサーバ2において生体認証の結果を容易に扱えるようにすることができる。
[認証サーバ1及びアプリケーションサーバ2の機能構成]
以下、図2を参照して、認証サーバ1の機能構成とアプリケーションサーバ2の機能構成とを説明する。図2は、実施の形態に係る認証サーバ1とアプリケーションサーバ2とのそれぞれの機能構成を模式的に示す図である。
以下、図2を参照して、認証サーバ1の機能構成とアプリケーションサーバ2の機能構成とを説明する。図2は、実施の形態に係る認証サーバ1とアプリケーションサーバ2とのそれぞれの機能構成を模式的に示す図である。
図2に示すように、認証サーバ1は、通信部10、記憶部11、及び制御部12を備える。通信部10は、ネットワークNを介してアプリケーションサーバ2及び携帯端末4との間でデータを送受信する。記憶部11は、認証サーバ1を実現するコンピュータのBIOS(Basic Input Output System)等を格納するROM(Read Only Memory)や認証サーバ1の作業領域となるRAM(Random Access Memory)、OS(Operating System)やアプリケーションプログラム、当該アプリケーションプログラムの実行時に参照される各種データベースを含む種々の情報を格納するHDD(Hard Disk Drive)やSSD(Solid State Drive)等の大容量記憶装置である。
制御部12は、認証サーバ1のCPU(Central Processing Unit)やGPU(Graphics Processing Unit)等のプロセッサである。制御部12は、記憶部11に記憶されたプログラムを実行することにより、生体認証指示部121、検証部122、結果送信部123として機能する。
また、図2に示すように、アプリケーションサーバ2は、通信部20、記憶部21、及び制御部22を備える。
通信部20は、ネットワークNを介して認証サーバ1及び端末3との間でデータを送受信する。
通信部20は、ネットワークNを介して認証サーバ1及び端末3との間でデータを送受信する。
記憶部21は、アプリケーションサーバ2を実現するコンピュータのBIOS等を格納するROMやアプリケーションサーバ2の作業領域となるRAM、OSやアプリケーションプログラム、当該アプリケーションプログラムの実行時に参照される各種データベースを含む種々の情報を格納するHDDやSSD等の大容量記憶装置である。記憶部21は、制御部22を、登録要求部221、登録結果通知部222、認証要求部223、及び提供部224として機能させる認証用プログラムを記憶する。
制御部22は、アプリケーションサーバ2のCPUやGPU等のプロセッサであり、記憶部21に記憶されたプログラムを実行することによって登録要求部221、登録結果通知部222、認証要求部223、及び提供部224として機能する。
[認証サーバ1におけるユーザの登録]
実施の形態において、アプリケーションサーバ2の登録要求部221は、ユーザUが使用する携帯端末4からユーザUの認証サーバ1への登録要求を受け付けると、認証サーバ1にユーザUの登録を要求する。
実施の形態において、アプリケーションサーバ2の登録要求部221は、ユーザUが使用する携帯端末4からユーザUの認証サーバ1への登録要求を受け付けると、認証サーバ1にユーザUの登録を要求する。
認証サーバ1の生体認証指示部121は、ユーザUの登録要求を受け付けると、携帯端末4に生体認証の実行を指示する。検証部122は、携帯端末4から生体認証の認証結果を受信すると、当該認証結果の正当性を検証する。結果送信部123は、生体認証の認証結果が正当であると検証すると、ユーザUを登録する。
以下、認証サーバ1がユーザUを登録する機能の詳細について、認証システムSにおけるシーケンスに沿って説明する。図3及び図4は、実施の形態に係る認証サーバ1がユーザUを登録する場合の処理の流れを示すシーケンス図である。
まず、アプリケーションサーバ2の登録要求部221は、携帯端末4からユーザ登録要求を受け付ける(S1)。具体的には、携帯端末4には、生体認証を行うとともに認証サーバ1と連携する認証アプリケーションがインストールされている。携帯端末4は、認証アプリケーションを実行すると、認証アプリケーションの画面を表示する。図5及び図6は、実施の形態に係る認証アプリケーションの画面の一例を示す図である。図5は、ユーザ登録用の画面の一例を示す例である。図6は、ユーザ登録が行われたサービスを示す登録済サービス画面の一例を示す図である。図5及び図6に示す画面には、「生体認証登録」と表示されたタブ、及び「登録済み」と表示されたタブが設けられている。携帯端末4の認証アプリケーションは、「生体認証登録」と表示されたタブが選択されると、図5に示す画面を表示し、「登録済み」と表示されたタブが選択されると、図6に示す画面を表示する。なお、以下の説明において、携帯端末4の認証アプリケーションを、単に認証アプリケーションともいう。
ユーザUが認証サーバ1にユーザ登録を行う場合、図5に示すユーザ登録用の画面を表示させる。図5には、複数の認証サーバ1のそれぞれが提供するサービスの名称が表示されている。ユーザUは、図5に示す画面においてサービスの名称を選択することにより、認証サーバ1へのユーザ登録を希望するサービスを選択する。認証アプリケーションは、サービスが選択されると、当該サービスに対応するアプリケーションサーバ2にユーザ登録要求を行う。
登録要求部221は、認証アプリケーションからユーザ登録要求を受け付けると、ユーザIDの入力を受け付けるページであるログインフォームを携帯端末4に送信し、ログインフォームにおいて入力されたユーザIDを含む第1登録要求情報を取得する。
具体的には、登録要求部221は、認証アプリケーションからユーザ登録要求を受け付けると、ユーザIDとパスワードとの入力を受け付けるログインフォームを携帯端末4に送信する(S2)。ログインフォームには、ユーザIDをハッシュ化するとともに、携帯端末4にプッシュ通知を行う場合に使用される通知用識別情報としての通知用IDを取得するためのスクリプトとしてのJavaScript(登録商標)を認証サーバ1から取得するためのアドレスが埋め込まれている。アプリケーションサーバ2は、ログインフォームと、サービス識別情報としてのサービスIDとを関連付けて管理する。ここで、サービスIDは、アプリケーションサーバ2を識別する識別情報であり、所定長の文字列である。
認証アプリケーションは、ログインフォームを受信すると、当該ログインフォームを携帯端末4の表示部(不図示)に表示させる(S3)。認証アプリケーションは、ログインフォームを表示部に表示させる場合に、スクリプトを認証サーバ1から取得するためのアドレスに基づいてスクリプトの取得要求を認証サーバ1に送信する(S4)。認証サーバ1の制御部12は、スクリプトの取得要求を携帯端末4から受信すると、当該スクリプトを当該携帯端末4に送信する(S5)。
認証アプリケーションは、ログインフォームを介してユーザUからユーザIDとパスワードとの入力を受け付ける(S6)。認証アプリケーションは、ユーザIDが入力されると、認証サーバ1から受信したスクリプトに基づいて、当該ユーザIDをハッシュ化する(S7)。図3では、ハッシュ化されたユーザIDを、h(ユーザID)と表記する。また、認証アプリケーションは、通知用IDを取得する。
ログインフォームには、ユーザIDとパスワードとをアプリケーションサーバ2に送信するための送信ボタンが設けられている。送信ボタンが押下されると、認証アプリケーションは、HTTPS POSTメソッドにより、ユーザIDと、スクリプトに基づいてハッシュ化されたユーザIDと、パスワードと、通知用IDとを含む第1登録要求情報をアプリケーションサーバ2に送信する(S8)。登録要求部221は、第1登録要求情報を取得する。
登録要求部221は、携帯端末4から取得した第1登録要求情報に含まれるユーザIDとパスワードとに基づいて、パスワード認証を行う。アプリケーションサーバ2の記憶部21には、ユーザIDと、パスワードとを関連付けたパスワード認証情報が記憶されている。登録要求部221は、第1登録要求情報に含まれるユーザIDと、パスワードとが記憶部21に関連付けて記憶されていると、パスワード認証に成功したと判定する。
登録要求部221は、パスワード認証に成功した場合、HTTPS POSTメソッドにより、ハッシュ化されたユーザIDと、通知用IDと、ログインフォームに関連付けられているサービスIDとを含み、ユーザUの登録を要求する第2登録要求情報を認証サーバ1に送信する(S9)。認証サーバ1の生体認証指示部121は、アプリケーションサーバ2から第2登録要求情報を受信する。このようにすることで、認証サーバ1において、ユーザIDをそのまま扱うことがないので、認証サーバ1からユーザIDが漏洩することを防止することができる。
生体認証指示部121は、第2登録要求情報を受信すると、第2登録要求情報に含まれるサービスIDに関連付けられているアプリケーションIDを特定する(S10)。具体的には、記憶部11には、サービスIDとアプリケーションIDとが関連付けて記憶されており、生体認証指示部121は、受信したサービスIDに関連付けられているアプリケーションIDを特定する。アプリケーションIDは、例えば、アプリケーションサーバ2を識別する情報であり、認証アプリケーションにおいて、生体認証が要求されているサービスを識別するために用いられる。
生体認証指示部121は、アプリケーションIDを特定すると、第2登録要求情報に含まれる通知用IDを用いて、第2登録要求情報に含まれるサービスIDに対応する生体認証の実行を指示する第2指示情報をプッシュ通知する(S11)。ここで、第2指示情報には、アプリケーションIDと、ハッシュ化されたユーザIDとが含まれている。
認証アプリケーションは、第2指示情報を受信すると、例えば、FIDO UAFに対応する処理手順により、認証サーバ1へのユーザ登録を行う。
具体的には、認証アプリケーションは、ファセットIDの取得要求を認証サーバ1に送信する(S12)。認証サーバ1は、ファセットIDの取得要求を受信すると、ファセットIDを携帯端末4に送信する(S13)。ここで、ファセットIDは、認証アプリケーション(クライアントプラットフォーム)の正当性を確認するために用いられる。
具体的には、認証アプリケーションは、ファセットIDの取得要求を認証サーバ1に送信する(S12)。認証サーバ1は、ファセットIDの取得要求を受信すると、ファセットIDを携帯端末4に送信する(S13)。ここで、ファセットIDは、認証アプリケーション(クライアントプラットフォーム)の正当性を確認するために用いられる。
認証アプリケーションは、受信したファセットIDの検証を行う(S14)。その後、認証アプリケーションは、ユーザ登録要求を示す情報を認証サーバ1に送信する(S15)。ユーザ登録要求を示す情報には、アプリケーションIDと、ハッシュ化されたユーザIDとが含まれているものとする。
図3における連結点A、連結点B、及び連結点Cは、それぞれ図4における連結点A、連結点B、及び連結点Cに連結することを示している。以下、説明を図4のシーケンス図に示す処理に移行する。
認証サーバ1の生体認証指示部121は、ユーザ登録要求を示す情報を受信すると、ランダムな文字列であるチャレンジ情報を生成する。また、生体認証指示部121は、生体認証の認証方式を選択するために用いられるポリシー情報を選択する。生体認証指示部121は、生成したチャレンジ情報と、選択したポリシー情報とを携帯端末4に送信する(S16)。
認証アプリケーションは、チャレンジ情報及びポリシー情報を受信すると、当該ポリシー情報に基づいて生体認証の認証方式を選択する(S17)。
認証アプリケーションは、チャレンジ情報及びポリシー情報を受信すると、当該ポリシー情報に基づいて生体認証の認証方式を選択する(S17)。
認証アプリケーションは、選択した認証方式に基づいて、携帯端末4のユーザから生体情報を受け付ける(S18)。例えば、認証アプリケーションは、生体情報としてユーザUの指紋を示す指紋情報を受け付ける。
認証アプリケーションは、予め認証アプリケーションにおいてユーザUが登録している生体情報と、S18において受け付けた生体情報とに基づいて、生体情報を検証する(S19)。
認証アプリケーションは、S18において受け付けた生体情報が正当であることを検証すると、アプリケーションIDに対応する認証用秘密鍵と、認証用公開鍵と、これらの鍵を識別する鍵IDとを生成する(S20)。
認証アプリケーションは、生成した認証用公開鍵と、鍵IDと、認証証明書(Attestation Cert)と、AAID(Authenticator Attestation ID)とを、予め認証アプリケーションにおいて登録されている認証用証明書の秘密鍵を用いて署名し、署名データを生成する(S21)。認証アプリケーションは、生成した署名データを認証サーバ1に送信する(S22)。
認証サーバ1の検証部122は、携帯端末4から第2指示情報に対応する生体認証の認証結果を示す署名データを受信すると、署名データの正当性を検証する(S23)。具体的には、記憶部11には、認証アプリケーションにおいて登録されている認証用証明書の公開鍵が記憶されており、検証部122は、当該公開鍵を用いて、受信した署名データが正当であるか否かを検証する。
認証サーバ1の結果送信部123は、第2指示情報に対応する生体認証の認証結果を示す署名データが正当であると検証されると、第2登録要求情報に含まれるハッシュ化されたユーザIDと、アプリケーションIDと、通知用IDと、署名データに含まれる認証用公開鍵と、鍵IDとを関連付けて記憶部11に記憶させることにより、ユーザUを登録する(S24)。
結果送信部123は、ユーザUの登録結果を携帯端末4及びアプリケーションサーバ2に送信する。例えば、結果送信部123は、アプリケーションサーバ2から、ユーザUの登録結果の取得要求を取得したことに応じて、当該登録結果を送信する(S25、S26)。また、結果送信部123は、ユーザUを登録したことに応じて、第2指示情報を送信した携帯端末4に登録結果を送信する(S27)。認証アプリケーションは、携帯端末4が登録結果を受信すると、図6に示す画面に、認証サーバ1へのユーザ登録が行われたサービスを追加する。
なお、図3及び図4に示すシーケンス図のS13からS24に示すユーザ登録に係る処理の流れは、FIDO UAFに対応するものとするが、これに限らず、他の処理手順によりユーザ登録を行ってもよい。
[ユーザの認証]
実施の形態において、アプリケーションサーバ2の認証要求部223は、ユーザUが使用する端末3からユーザUの認証要求を受け付けると、サービスIDを含み、ユーザUの生体認証を要求する生体認証要求情報を認証サーバ1に送信する。
実施の形態において、アプリケーションサーバ2の認証要求部223は、ユーザUが使用する端末3からユーザUの認証要求を受け付けると、サービスIDを含み、ユーザUの生体認証を要求する生体認証要求情報を認証サーバ1に送信する。
認証サーバ1の生体認証指示部121は、生体認証要求情報を受信すると、ユーザUが所持し、生体認証を実行可能な携帯端末4に、生体認証要求情報に含まれるサービスIDに対応する生体認証の実行を指示する。検証部122は、携帯端末4から生体認証の認証結果を受信すると、当該認証結果の正当性を検証する。結果送信部123は、生体認証の認証結果が正当であると検証されると、ユーザUの認証に成功したと判定し、認証結果を、生体認証要求情報を送信したアプリケーションサーバ2に送信する。
アプリケーションサーバ2の提供部224は、認証サーバ1から生体認証の認証結果を受信し、当該認証結果が生体認証に成功したことを示していると、端末3にアプリケーションに関する機能を提供する。
以下、認証サーバ1がユーザUを認証する機能の詳細について、認証システムSにおけるシーケンスに沿って説明する。図7及び図8は、実施の形態に係る認証システムSにおいてユーザUを認証する場合の処理の流れを示すシーケンス図である。
まず、アプリケーションサーバ2の認証要求部223は、端末3から認証要求を受け付けると(S101)、ログインフォームを端末3に送信する(S102)。ログインフォームには、ユーザIDをハッシュ化するスクリプトとしてのJavaScriptのアドレスであって、認証サーバ1のアドレスが含まれている。アプリケーションサーバ2は、ログインフォームと、サービスIDとを関連付けて管理する。
端末3は、ログインフォームを受信すると、当該ログインフォームを端末3の表示部(不図示)に表示させる(S103)。端末3は、ログインフォームを表示部に表示させる場合に、スクリプトを認証サーバ1から取得するためのアドレスに基づいてスクリプトの取得要求を認証サーバ1に送信する(S104)。認証サーバ1の制御部12は、スクリプトの取得要求を端末3から受信すると、当該スクリプトを当該端末3に送信する(S105)。
端末3は、ログインフォームを介してユーザUからユーザIDの入力を受け付ける(S106)。なお、ユーザUの認証時には、パスワードの代わりに生体認証による認証を行うため、ログインフォームではパスワードの入力を受け付けないものとする。端末3は、ユーザIDが入力されると、認証サーバ1から受信したスクリプトに基づいて、当該ユーザIDをハッシュ化する(S107)。
ログインフォームには、ユーザIDをアプリケーションサーバ2に送信するための送信ボタンが設けられている。送信ボタンが押下されると、端末3は、HTTPS POSTメソッドにより、ユーザIDと、ハッシュ化されたユーザIDとをアプリケーションサーバ2に送信する(S108)。認証要求部223は、ユーザIDと、ハッシュ化されたユーザIDとを端末3から取得する。
認証要求部223は、ユーザIDと、ハッシュ化されたユーザIDとを端末3から取得すると、記憶部21を参照し、当該ユーザIDが記憶されているか否かを判定する。認証要求部223は、端末3から取得したユーザIDが記憶部21に記憶されていると判定すると、認証サーバ1に、当該ユーザIDに対応するユーザUの生体認証を要求する。具体的には、認証要求部223は、ハッシュ化されたユーザIDと、端末3に送信したログインフォームに関連付けられているサービスIDとを含む生体認証要求情報を認証サーバ1に送信することにより、認証サーバ1にユーザUの生体認証を要求する(S109)。
認証サーバ1の生体認証指示部121は、端末3から生体認証要求情報を受信する。生体認証指示部121は、生体認証要求情報を受信すると、アプリケーションID及び通知用IDを特定する。具体的には、生体認証指示部121は、記憶部11を参照し、生体認証要求情報に含まれているハッシュ化されたユーザID及びサービスIDに関連付けられている通知用IDを特定する。また、生体認証指示部121は、生体認証要求情報を受信すると、記憶部11を参照し、生体認証要求情報に含まれているサービスIDに関連付けられているアプリケーションIDを特定する。
生体認証指示部121は、特定した通知用IDに基づいて、サービスIDに対応する生体認証の実行を指示する第1指示情報を携帯端末4にプッシュ通知する(S111)。ここで、第1指示情報には、アプリケーションIDと、ハッシュ化されたユーザIDとが含まれている。
携帯端末4の認証アプリケーションは、第1指示情報を受信すると、例えば、FIDO UAFに対応する処理手順により、生体認証を行う。
具体的には、認証アプリケーションは、ファセットIDの取得要求を認証サーバ1に送信する(S112)。認証サーバ1は、ファセットIDの取得要求を受信すると、ファセットIDを携帯端末4に送信する(S113)。
具体的には、認証アプリケーションは、ファセットIDの取得要求を認証サーバ1に送信する(S112)。認証サーバ1は、ファセットIDの取得要求を受信すると、ファセットIDを携帯端末4に送信する(S113)。
認証アプリケーションは、受信したファセットIDの検証を行う(S114)。その後、認証アプリケーションは、認証開始要求を示す情報を認証サーバ1に送信する(S115)。認証開始要求を示す情報には、アプリケーションIDと、ハッシュ化されたユーザIDとが含まれているものとする。
図7における連結点E、連結点F、連結点G及び連結点Hは、それぞれ図8における連結点E、連結点F、連結点G及び連結点Hに連結することを示している。以下、説明を図8のシーケンス図に示す処理に移行する。
認証サーバ1の生体認証指示部121は、認証開始要求を受け付けると、ランダムな文字列であるチャレンジ情報を生成する。また、生体認証指示部121は、生体認証の認証方式を選択するために用いられるポリシー情報を選択する。生体認証指示部121は、生成したチャレンジ情報と、選択したポリシー情報とを携帯端末4に送信する(S116)。
認証アプリケーションは、チャレンジ情報及びポリシー情報を受信すると、当該ポリシー情報に基づいて生体認証の認証方式を選択する(S117)。
認証アプリケーションは、チャレンジ情報及びポリシー情報を受信すると、当該ポリシー情報に基づいて生体認証の認証方式を選択する(S117)。
認証アプリケーションは、選択した認証方式に基づいて、携帯端末4のユーザから生体情報を受け付ける(S118)。
認証アプリケーションは、予め認証アプリケーションにおいてユーザUが登録している生体情報と、S118において受け付けた生体情報とに基づいて、生体情報を検証する(S119)。
認証アプリケーションは、予め認証アプリケーションにおいてユーザUが登録している生体情報と、S118において受け付けた生体情報とに基づいて、生体情報を検証する(S119)。
認証アプリケーションは、S118において受け付けた生体情報が正当であることを検証すると、第1指示情報に含まれているアプリケーションIDに対応する認証用秘密鍵を用いて、検証結果及びチャレンジ情報を署名し、署名データを生成する(S120)。認証アプリケーションは、第2指示情報に対応する生体認証の認証結果として、生成した署名データを認証サーバ1に送信するとともに、認証用秘密鍵に対応する鍵IDを認証サーバ1に送信する(S121)。
認証サーバ1の検証部122は、携帯端末4から第2指示情報に対応する生体認証の認証結果を示す署名データを受信すると、署名データの正当性を検証する(S122)。具体的には、検証部122は、記憶部11を参照し、署名データとともに受信した鍵IDに関連付けられている認証用公開鍵を特定する。検証部122は、特定した認証用公開鍵を用いて、受信した署名データが正当であるか否かを検証する。
結果送信部123は、ユーザUの認証結果を携帯端末4及びアプリケーションサーバ2に送信する。具体的には、アプリケーションサーバ2の提供部224は、ユーザUの認証結果の取得要求を認証サーバ1に送信する(S123)。結果送信部123は、ユーザUの認証結果の取得要求を取得したことに応じて、アプリケーションサーバ2に当該認証結果を送信する(S124)。また、結果送信部123は、ユーザUを認証したことに応じて、第1指示情報を送信した携帯端末4に認証結果を送信する(S125)。
アプリケーションサーバ2の提供部224は、認証サーバ1から受信した生体認証の認証結果が生体認証に成功したことを示していると、端末3にアプリケーションに関する機能を提供する。具体的には、提供部224は、認証サーバ1から受信した生体認証の認証結果が生体認証に成功したことを示していると、生体認証に成功したことを示す認証完了ページを端末3に送信する(S126)。ここで、認証完了ページには、認証に成功したことを示す情報が表示されており、アプリケーションサーバ2が提供するアプリケーションの機能を提供するためのアプリケーションページをアプリケーションサーバ2に要求するためのOKボタンが設けられている。
端末3は、受信した認証完了ページを表示部に表示する。端末3は、認証完了ページにおいて、OKボタンが押下されると、アプリケーションページの取得要求をアプリケーションサーバ2に送信する(S127)。なお、アプリケーションページの取得要求はリダイレクトにより行われてもよい。アプリケーションサーバ2の提供部224は、アプリケーションページの取得要求を受け付けると、アプリケーションページを端末3に送信する(S128)。
なお、結果送信部123は、認証結果が生体認証に成功したことを示していると、端末3又は携帯端末4に、ユーザの認証に成功したことを示す情報を表示させてもよい。例えば、結果送信部123は、認証結果が生体認証に成功したことを示していると、端末3又は携帯端末4に、所定時間にわたってユーザUの認証に成功したことを示す情報を表示させる。図9は、携帯端末4にユーザUの認証に成功したことを示す情報が表示された例を示す図である。図9には、サービスBに対応するユーザUの認証に成功したことを示す情報として、サービスBに対応する領域41に、ユーザUの認証に成功したことを示す画像である認証成功画像が表示されていることが確認できる。また、領域41には、認証に成功したことを示す情報の表示期間、すなわち、認証の有効期間が表示されていることが確認できる。
[端末3と信頼関係にある携帯端末4へのプッシュ通知]
実施の形態においてユーザ認証を行う場合、ユーザUが、ログインフォームに対して自身とは異なるユーザのユーザIDを入力すると、当該異なるユーザが所持する携帯端末にプッシュ通知が行われてしまうという問題がある。このため、実施の形態に係る認証サーバ1の生体認証指示部121は、端末3と携帯端末4とが同一のユーザUにより使用される信頼関係状態であるか否かを判定し、端末3と携帯端末4とが信頼関係状態にあると判定すると、第1指示情報をプッシュ通知する。以下、端末3と信頼関係状態にある携帯端末4に第1指示情報をプッシュ通知する例について説明する。
実施の形態においてユーザ認証を行う場合、ユーザUが、ログインフォームに対して自身とは異なるユーザのユーザIDを入力すると、当該異なるユーザが所持する携帯端末にプッシュ通知が行われてしまうという問題がある。このため、実施の形態に係る認証サーバ1の生体認証指示部121は、端末3と携帯端末4とが同一のユーザUにより使用される信頼関係状態であるか否かを判定し、端末3と携帯端末4とが信頼関係状態にあると判定すると、第1指示情報をプッシュ通知する。以下、端末3と信頼関係状態にある携帯端末4に第1指示情報をプッシュ通知する例について説明する。
まず、携帯端末4と、認証サーバ1とは、ワンタイムパスワードを生成するための共通鍵を共有する。例えば、認証サーバ1の結果送信部123は、ユーザUを登録したことに応じて、パスワード生成用の共通鍵を生成する。結果送信部123は、生成した共通鍵を、ハッシュ化されたユーザIDと、アプリケーションIDとに関連付けて記憶させるとともに、登録結果と当該共通鍵とを携帯端末4に送信する。携帯端末4は、ユーザUの認証サーバ1への登録時に、ユーザの登録が行われたサービスに関連付けて、受信した共通鍵を記憶する。これにより、携帯端末4と認証サーバ1との間で、共通鍵が共有される。
携帯端末4の認証アプリケーションは、図6に示すユーザ登録が行われたサービスを示す登録済サービス画面に対し、複数のサービスのそれぞれに対応するワンタイムパスワードを表示させる。例えば、携帯端末4の認証アプリケーションは、所定時間おきに、パスワード生成用の共通鍵と、現在の時刻とに基づいてワンタイムパスワードを生成し、携帯端末4の表示部に表示させる。
認証要求部223は、端末3から、ユーザIDと、ワンタイムパスワードとを受け付けることにより、ユーザUの認証の要求を受け付ける。例えば、認証要求部223は、ユーザIDと、ワンタイムパスワードとの入力を受け付けるログインフォームを端末3に送信し、端末3からユーザIDと、ワンタイムパスワードとを受け付ける。認証要求部223は、ユーザIDと、ワンタイムパスワードとを含む生体認証要求情報を認証サーバ1に送信する。
生体認証指示部121は、アプリケーションサーバ2から生体認証要求情報を受信すると、パスワード生成用の共通鍵と現在の時刻とに基づいてワンタイムパスワードを生成し、生成したワンタイムパスワードと、生体認証要求情報に含まれるワンタイムパスワードとが一致するか否かに基づいて、端末3と携帯端末4とが信頼関係状態にあるか否かを判定する。生体認証指示部121は、生成したワンタイムパスワードと、生体認証要求情報に含まれるワンタイムパスワードとが一致すると、端末3と携帯端末4とが信頼関係状態にあると判定し、当該携帯端末4に第1指示情報を送信する。
なお、端末3は、ワンタイムパスワードを入力した後、ユーザUの認証に成功すると、ログインフォームに入力されたユーザIDに基づいてハッシュ化されたユーザIDを端末3に記憶させてもよい。例えば、アプリケーションサーバ2の提供部224は、生体認証に成功したことを示す認証完了ページを端末3に送信する場合に、当該認証完了ページに、ハッシュ化されたユーザIDを記憶させるためのスクリプトのアドレスを埋め込んでおき、端末3に認証完了ページが表示させる場合に、端末3に当該スクリプトを取得させる。端末3は、取得したスクリプトに基づいて、ログインフォームに対応するクッキー情報として、ハッシュ化されたユーザIDを記憶する。
認証要求部223は、端末3からユーザUの認証要求を受け付ける場合に、端末3にハッシュ化されたユーザIDが記憶されているか否かを判定する。そして、認証要求部223は、端末3にハッシュ化されたユーザIDが記憶されていると判定すると、端末3から、ログインフォームによるユーザIDの入力を受け付けずに、当該ハッシュ化されたユーザIDを取得する。認証要求部223は、当該ハッシュ化されたユーザIDと、ログインフォームに関連付けられているサービスIDと、ユーザIDが自動的に取得されたことを示す情報とを含む生体認証要求情報を認証サーバ1に送信する。
生体認証指示部121は、アプリケーションサーバ2から受信した生体認証要求情報にユーザIDが自動的に取得されたことを示す情報が含まれている場合、端末3と携帯端末4とが信頼関係状態にあると判定し、当該携帯端末4に第1指示情報を送信する。
このようにすることで、認証システムSは、端末3と、携帯端末4との間で信頼関係が構築された後に、ユーザIDの入力を省略し、ユーザ認証に係るユーザの操作量を軽減することができる。
また、認証サーバ1は、他の手法により、端末3と携帯端末4との信頼関係状態を構築してもよい。図10は、実施の形態の認証サーバ1とアプリケーションサーバ2とのそれぞれの機能構成の変形例を模式的に示す図である。図10に示すように認証サーバ1は、信頼構築部124をさらに備える。
信頼構築部124は、認証サーバ1が生体認証要求情報を取得すると、所定のチャネル識別情報に基づいて、端末3と、携帯端末4とを認証サーバ1を介して通信可能に接続させ、携帯端末4から端末3と携帯端末4とが信頼関係にあるか否かを受け付ける。例えば、ユーザ認証時に端末3に送信されるログインフォームには、ユーザIDが入力され、生体認証要求情報を認証サーバ1に送信するタイミングで所定のチャネル識別情報により端末3と認証サーバ1を通信可能に接続させるための接続用スクリプトのアドレスが含まれており、当該スクリプトに基づいて認証サーバ1と端末3とが通信可能に接続される。
また、信頼構築部124は、携帯端末4へのプッシュ通知時に、所定のチャネルIDを携帯端末4に通知する。そして、信頼構築部124は、サーバサイドで動作するJavaScript環境であるNode.jsと、認証サーバ1を介して端末間の双方向通信を行うためのWebSocketとを用いることにより、認証サーバ1を介して端末3と携帯端末4とを通信可能に接続させる。
信頼構築部124は、携帯端末4に、端末3と携帯端末4とが信頼関係にあるか否かを選択するための選択ボタンを表示させ、端末3と携帯端末4とが信頼関係にあるか否かを受け付ける。信頼構築部124は、携帯端末4から端末3と携帯端末4とが信頼関係にあることを受け付けると、信頼関係情報として、所定のチャネル識別情報を端末3及び携帯端末4に記憶させる。また、信頼構築部124は、ハッシュ化されたユーザIDを端末3に記憶させる。
所定のチャネル識別情報が端末3及び携帯端末4に記憶されている状態において、端末3においてログインフォームが表示される場合、端末3と、携帯端末4とは、自身に記憶されている所定のチャネル識別情報に基づいて、認証サーバ1を介して通信可能に接続する。例えば、接続用スクリプトには、所定のチャネル識別情報が端末3に記憶されている場合に、認証サーバ1を介して携帯端末4と通信接続するためのコードが含まれており、端末3は、当該コードに基づいて認証サーバ1を介して携帯端末4と通信可能に接続する。
生体認証指示部121は、端末3と携帯端末4とに所定のチャネル識別情報(信頼関係情報)が記憶され、端末3と、携帯端末4とが認証サーバ1を介して通信可能に接続されている場合、端末3と携帯端末4とが信頼関係状態にあると判定し、当該携帯端末4に第1指示情報をプッシュ通知する。
具体的には、まず、認証要求部223は、所定のチャネル識別情報に基づいて、端末3と、携帯端末4とが通信可能に接続されている場合、携帯端末4が操作されたことに応じて、端末3からユーザIDを取得する。例えば、図6に示す画面が携帯端末4に表示されており、当該画面においてサービスを選択されたことに応じて、サービスが選択されたことが端末3に通知される。端末3は、サービスが選択されたことが通知されると、当該サービスに対応して記憶部に記憶されているハッシュ化されたユーザIDをアプリケーションサーバ2に送信する。
アプリケーションサーバ2の認証要求部223は、当該ハッシュ化されたユーザIDと、端末3に送信したログインフォームに関連付けられているサービスIDと、ユーザIDが自動的に取得されたことを示す情報とを含む生体認証要求情報を認証サーバ1に送信する。
生体認証指示部121は、アプリケーションサーバ2から受信した生体認証要求情報にユーザIDが自動的に取得されたことを示す情報が含まれている場合、端末3と携帯端末4とが信頼関係状態にあると判定し、当該携帯端末4に第1指示情報を送信する。
このようにすることで、認証システムSは、ユーザUと異なるユーザが所持する携帯端末にプッシュ通知が行われてしまうことを防止することができる。
なお、図7から図8に示すシーケンス図のS112からS122に示す生体認証に係る処理の流れは、FIDO UAFに対応するものとするが、これに限らず、他の処理手順に対応した生体認証を行ってもよい。
[実施の形態に係る認証システムSが奏する効果]
以上説明したように、実施の形態に係る認証システムSによれば、アプリケーションサーバ2は、ユーザUが使用する端末3からユーザUの認証の要求を受け付けると、アプリケーションサーバ2を識別するサービスIDを含み、ユーザUの生体認証を要求する生体認証要求情報を認証サーバ1に送信することにより、認証サーバ1に生体認証を要求する。認証サーバ1は、生体認証要求情報を受信すると、ユーザUが所持し、生体認証を実行可能な携帯端末4に、当該生体認証要求情報に含まれるサービスIDに対応する生体認証の実行を指示する第1指示情報をプッシュ通知し、携帯端末4から、生体認証の認証結果を受信する。認証サーバ1は、認証結果が正当であると検証すると、生体認証要求情報を送信したアプリケーションサーバ2に認証結果を送信する。アプリケーションサーバ2は、認証サーバ1から生体認証の認証結果を受信し、当該認証結果が生体認証に成功したことを示していると、端末3にアプリケーションに関する機能を提供する。
以上説明したように、実施の形態に係る認証システムSによれば、アプリケーションサーバ2は、ユーザUが使用する端末3からユーザUの認証の要求を受け付けると、アプリケーションサーバ2を識別するサービスIDを含み、ユーザUの生体認証を要求する生体認証要求情報を認証サーバ1に送信することにより、認証サーバ1に生体認証を要求する。認証サーバ1は、生体認証要求情報を受信すると、ユーザUが所持し、生体認証を実行可能な携帯端末4に、当該生体認証要求情報に含まれるサービスIDに対応する生体認証の実行を指示する第1指示情報をプッシュ通知し、携帯端末4から、生体認証の認証結果を受信する。認証サーバ1は、認証結果が正当であると検証すると、生体認証要求情報を送信したアプリケーションサーバ2に認証結果を送信する。アプリケーションサーバ2は、認証サーバ1から生体認証の認証結果を受信し、当該認証結果が生体認証に成功したことを示していると、端末3にアプリケーションに関する機能を提供する。
このようにすることで、アプリケーションサーバ2の運用者は、アプリケーションサーバ2におけるユーザUの認証時に生体認証を行わせる場合に、生体認証の要求に関する処理を行う機能と、認証結果を受信した場合にアプリケーションに関する機能を端末3に提供する機能とをアプリケーションサーバ2に実装するだけで、アプリケーションサーバ2において生体認証の結果を容易に扱えるようにすることができる。よって、認証システムSは、アプリケーションサーバ2において生体認証の結果を容易に扱えるようにすることができる。
[変形例1]
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されず、その要旨の範囲内で種々の変形及び変更が可能である。例えば、上述の実施の形態においては、認証サーバ1は、アプリケーションサーバ2から生体認証の要求を受け付けたことに応じて、携帯端末4に生体認証の実行を指示する第1指示情報をプッシュ通知し、携帯端末4に生体認証を実行させることとしたが、これに限らない。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されず、その要旨の範囲内で種々の変形及び変更が可能である。例えば、上述の実施の形態においては、認証サーバ1は、アプリケーションサーバ2から生体認証の要求を受け付けたことに応じて、携帯端末4に生体認証の実行を指示する第1指示情報をプッシュ通知し、携帯端末4に生体認証を実行させることとしたが、これに限らない。
例えば、携帯端末4における生体認証は、端末3から生体認証の要求を受け付ける前に実行されるようにしてもよい。この場合、ユーザUは、図6に示す画面において生体認証を行うサービスを選択する操作を行う。携帯端末4には、サービス名と、アプリケーションIDと、ハッシュ化されたユーザIDとが予め関連付けられて記憶されている。これらの情報は、TEE(Trusted Execution Environment)に準拠したセキュア領域上に、AES(Advanced Encryption Standard)-GCM(Galois/Counter Mode)を用いて暗号化された状態で記憶されている。携帯端末4は、図6に示すように、サービス名と、サービスを識別するためのユニークコードを表示させ、サービスを選択する操作を受け付ける。ユニークコードは、例えば、アプリケーションIDとハッシュ化されたユーザIDに基づいて生成されている。認証アプリケーションは、サービスが選択されたことに応じて、図7に示すS115の処理と同様に、アプリケーションIDと、ハッシュ化されたユーザIDとを含む認証開始要求を認証サーバ1に送信する。その後、携帯端末4と、認証サーバ1との間で、図8に示すS116~S122の処理が実行される。
認証サーバ1の検証部122は、認証サーバ1が生体認証要求情報を受信する前に、携帯端末4から、携帯端末4において行われた生体認証の認証結果を受信し、当該認証結果の正当性を検証する。検証部122は、認証結果が正当であると検証すると、認証開始要求に含まれるハッシュ化されたユーザIDと、アプリケーションIDと、認証結果とを関連付けた事前認証情報を所定時間(例えば、5分)にわたって記憶部11に記憶させる。
結果送信部123は、検証部122により認証結果が正当であると検証された後に、認証サーバ1が生体認証要求情報を受信したことに応じて、認証結果を、当該生体認証要求情報を送信したアプリケーションサーバ2に送信する。具体的には、結果送信部123は、生体認証要求情報を受信すると、生体認証要求情報に含まれるサービスIDに関連付けられているアプリケーションIDを特定する。そして、結果送信部123は、生体認証要求情報に含まれるハッシュ化されたユーザIDと、特定したアプリケーションIDとに対応する事前認証情報が記憶部11に記憶されている場合、事前認証情報に含まれる認証結果を、生体認証要求情報を送信したアプリケーションサーバ2に送信する。
このようにすることで、ユーザUは、事前に認証を完了させておくことにより、アプリケーションサーバ2の機能の提供を受けることができる。
このようにすることで、ユーザUは、事前に認証を完了させておくことにより、アプリケーションサーバ2の機能の提供を受けることができる。
[変形例2]
認証システムSは、イベント会場へのユーザの入場時に用いられてもよい。この場合、ユーザUは、イベント会場における入場受付の前に、イベントに対応するサービスを提供するアプリケーションサーバ2に対応するユーザ登録を予め行っておく。この場合、ユーザID及びパスワードは、チケットに関連付けられており、例えば、チケットの発行時にユーザUに通知されるものとする。
認証システムSは、イベント会場へのユーザの入場時に用いられてもよい。この場合、ユーザUは、イベント会場における入場受付の前に、イベントに対応するサービスを提供するアプリケーションサーバ2に対応するユーザ登録を予め行っておく。この場合、ユーザID及びパスワードは、チケットに関連付けられており、例えば、チケットの発行時にユーザUに通知されるものとする。
ユーザUは、イベント会場において、認証システムSを用いたユーザUの認証を行う。認証サーバ1の結果送信部123は、ユーザUの認証に成功すると、ユーザUの携帯端末4に、所定時間にわたってユーザUの認証に成功したことを示す認証成功画像を表示させる。イベント会場において入場を管理する係員は、認証成功画像が携帯端末4に表示されていることを確認することにより、ユーザUの入場を許可する。なお、認証成功画像が表示されてから所定時間が経過し、ユーザUの携帯端末4に当該情報が表示されなくなった場合には、ユーザUは、再び認証を行うものとする。このようにすることで、認証システムSは、第三者によるチケット購入者へのなりすましを防止することができる。
[変形例3]
なお、変形例2において、結果送信部123は、認証に成功すると携帯端末4に認証成功画像を表示させることとしたが、これに限らない。例えば、結果送信部123は、TOTP(Time-based One-time Password)に基づいて、所定時間にわたって有効なトークンを示すQRコード(登録商標)を生成し、当該QRコードを携帯端末4に表示させてもよい。イベント会場には、例えば、QRコードを読み取り可能な入場管理装置が設けられており、ユーザUは、携帯端末4に表示されたQRコードを当該入場管理装置に読み取らせる。入場管理装置は、QRコードが示すトークンが有効であるか否かを判定し、判定結果を自身の表示部に表示させる。イベント会場において入場を管理する係員は、トークンが有効であることを示す判定結果が入場管理装置に表示されていることを確認することにより、ユーザUの入場を許可する。なお、入場管理装置は、QRコードが示すトークンが有効であると判定した場合に、入場ゲートにゲートを開かせる信号である制御信号を送り、ゲートを開くように制御してもよい。
なお、変形例2において、結果送信部123は、認証に成功すると携帯端末4に認証成功画像を表示させることとしたが、これに限らない。例えば、結果送信部123は、TOTP(Time-based One-time Password)に基づいて、所定時間にわたって有効なトークンを示すQRコード(登録商標)を生成し、当該QRコードを携帯端末4に表示させてもよい。イベント会場には、例えば、QRコードを読み取り可能な入場管理装置が設けられており、ユーザUは、携帯端末4に表示されたQRコードを当該入場管理装置に読み取らせる。入場管理装置は、QRコードが示すトークンが有効であるか否かを判定し、判定結果を自身の表示部に表示させる。イベント会場において入場を管理する係員は、トークンが有効であることを示す判定結果が入場管理装置に表示されていることを確認することにより、ユーザUの入場を許可する。なお、入場管理装置は、QRコードが示すトークンが有効であると判定した場合に、入場ゲートにゲートを開かせる信号である制御信号を送り、ゲートを開くように制御してもよい。
[変形例4]
また、変形例2及び変形例3において、端末3は、ユーザが所持するものであることとしたが、これに限らない。例えば、端末3は、入場を管理する係員が使用する端末であってもよい。端末3にログインフォームが表示され、ユーザUがユーザIDを入力すると、認証サーバ1から携帯端末4にプッシュ通知が行われ、ユーザUの生体認証が行われる。ユーザUの生体認証に成功すると、端末3には、ユーザUの生体認証に成功したことを示す情報が表示される。入場を管理する係員は、端末3に、ユーザUの生体認証に成功したことを示す情報が表示されると、ユーザUの入場を許可する。
また、変形例2及び変形例3において、端末3は、ユーザが所持するものであることとしたが、これに限らない。例えば、端末3は、入場を管理する係員が使用する端末であってもよい。端末3にログインフォームが表示され、ユーザUがユーザIDを入力すると、認証サーバ1から携帯端末4にプッシュ通知が行われ、ユーザUの生体認証が行われる。ユーザUの生体認証に成功すると、端末3には、ユーザUの生体認証に成功したことを示す情報が表示される。入場を管理する係員は、端末3に、ユーザUの生体認証に成功したことを示す情報が表示されると、ユーザUの入場を許可する。
なお、本変形例において、ユーザUは、端末3にユーザIDを入力することとしたが、これに限らない。例えば、アプリケーションサーバ2において、ユーザUが所持する携帯端末4の電話番号と、ユーザIDとを関連付けて記憶させておいてもよい。そして、アプリケーションサーバ2は、端末3において、電話番号の入力を受け付けたことに応じて、当該電話番号に対応するユーザIDを特定し、当該ユーザIDに対応するユーザの生体認証の要求を認証サーバ1に行うようにしてもよい。この場合において、端末3は、電話番号の下4桁の入力を受け付けてもよく、アプリケーションサーバ2は、当該電話番号の下4桁に基づいて、ユーザIDを特定してもよい。アプリケーションサーバ2は、入力された電話番号の下4桁と一致する電話番号が複数登録されている場合には、端末3に、これらの電話番号に関連する複数のユーザIDを表示させ、ユーザUから、自身のユーザIDの選択を受け付けるようにしてもよい。
[変形例5]
また、上述の実施の形態では、端末3と携帯端末4とが異なることとしたが、これに限らない。携帯端末4が端末3として機能してもよい。ユーザUが携帯端末4のみを所持する場合であっても、実施の形態と同じ手順によりユーザ認証を行うことができる。
また、上述の実施の形態では、端末3と携帯端末4とが異なることとしたが、これに限らない。携帯端末4が端末3として機能してもよい。ユーザUが携帯端末4のみを所持する場合であっても、実施の形態と同じ手順によりユーザ認証を行うことができる。
また、例えば、装置の分散・統合の具体的な実施の形態は、以上の実施の形態に限られず、その全部又は一部について、任意の単位で機能的又は物理的に分散・統合して構成することができる。また、複数の実施の形態の任意の組み合わせによって生じる新たな実施の形態も、本発明の実施の形態に含まれる。組み合わせによって生じる新たな実施の形態の効果は、もとの実施の形態の効果を合わせ持つ。
1・・・認証サーバ
10・・・通信部
11・・・記憶部
12・・・制御部
121・・・生体認証指示部
122・・・検証部
123・・・結果送信部
124・・・信頼構築部
2・・・アプリケーションサーバ
20・・・通信部
21・・・記憶部
22・・・制御部
221・・・登録要求部
222・・・登録結果通知部
223・・・認証要求部
224・・・提供部
3・・・端末
4・・・携帯端末
S・・・認証システム
10・・・通信部
11・・・記憶部
12・・・制御部
121・・・生体認証指示部
122・・・検証部
123・・・結果送信部
124・・・信頼構築部
2・・・アプリケーションサーバ
20・・・通信部
21・・・記憶部
22・・・制御部
221・・・登録要求部
222・・・登録結果通知部
223・・・認証要求部
224・・・提供部
3・・・端末
4・・・携帯端末
S・・・認証システム
Claims (16)
- アプリケーションを提供する複数のアプリケーション提供装置と、前記アプリケーションを利用するユーザの生体認証を行う認証装置とを備える認証システムであって、
前記アプリケーション提供装置は、
端末から、ユーザを識別するユーザ識別情報を含む前記ユーザの認証要求を受け付けると、当該ユーザ識別情報と、前記アプリケーション提供装置を識別するサービス識別情報とを含み、前記ユーザの生体認証を要求する生体認証要求情報を前記認証装置に送信する認証要求部と、
前記認証装置から前記生体認証の認証結果を受信し、当該認証結果が前記生体認証に成功したことを示していると、前記端末に前記アプリケーションに関する機能を提供する提供部と、
を有し、
前記認証装置は、
前記ユーザを識別するユーザ識別情報と、前記サービス識別情報と、前記ユーザの携帯端末に前記サービス識別情報に対応する前記生体認証の実行を指示する第1指示情報のプッシュ通知を行う場合に使用される通知用識別情報とを関連付けて記憶する記憶部と、
前記生体認証要求情報を受信すると、当該生体認証要求情報に含まれている前記ユーザ識別情報及び前記サービス識別情報に関連付けられて前記記憶部に記憶されている前記通知用識別情報に基づいて、前記ユーザが所持し、生体認証を実行可能な携帯端末に、当該生体認証要求情報に含まれるサービス識別情報に対応する前記第1指示情報をプッシュ通知する生体認証指示部と、
前記携帯端末から前記第1指示情報に対応する前記生体認証の認証結果を受信し、当該認証結果の正当性を検証する検証部と、
前記検証部により前記認証結果が正当であると検証されると、前記認証結果を、前記生体認証要求情報を送信した前記アプリケーション提供装置に送信する結果送信部と、
を有する、
認証システム。 - 前記記憶部は、前記サービス識別情報と、前記通知用識別情報と、ハッシュ化された前記ユーザ識別情報とを関連付けて記憶し、
前記認証要求部は、前記端末から前記ハッシュ化されたユーザ識別情報を取得すると、前記サービス識別情報及び前記ハッシュ化されたユーザ識別情報を含む前記生体認証要求情報を前記認証装置に送信し、
前記生体認証指示部は、前記生体認証要求情報を受信すると、前記記憶部を参照し、前記ハッシュ化されたユーザ識別情報及び前記サービス識別情報に関連付けられている前記通知用識別情報に基づいて、前記携帯端末に前記第1指示情報をプッシュ通知する、
請求項1に記載の認証システム。 - 前記認証要求部は、前記ユーザ識別情報をハッシュ化するスクリプトのアドレスを含み、前記ユーザ識別情報の入力を受け付けるページを送信し、当該アドレスに基づいて前記携帯端末が取得した前記スクリプトに基づいて生成された前記ハッシュ化されたユーザ識別情報を前記端末から取得する、
請求項2に記載の認証システム。 - 前記アプリケーション提供装置は、前記携帯端末から、前記ユーザ識別情報と、前記通知用識別情報とを含み、前記ユーザの前記認証装置への登録要求を示す第1登録要求情報を取得すると、当該ユーザ識別情報と、当該通知用識別情報と、前記サービス識別情報とを含み、当該ユーザの登録を要求する第2登録要求情報を前記認証装置に送信する登録要求部をさらに有し、
前記生体認証指示部は、前記第2登録要求情報を受信すると、当該第2登録要求情報に含まれる前記通知用識別情報に基づいて、前記携帯端末に、当該第2登録要求情報に含まれるサービス識別情報に対応する前記生体認証の実行を指示する第2指示情報をプッシュ通知し、
前記検証部は、前記携帯端末から前記第2指示情報に対応する前記生体認証の認証結果を受信し、当該認証結果の正当性を検証し、
前記結果送信部は、前記検証部により前記第2指示情報に対応する前記生体認証の認証結果が正当であると検証されると、前記第2登録要求情報に含まれる前記ユーザ識別情報と、前記サービス識別情報と、前記通知用識別情報とを関連付けて前記記憶部に記憶させ、前記ユーザの登録結果を前記携帯端末及び前記アプリケーション提供装置に送信する、
請求項1から3のいずれか1項に記載の認証システム。 - 前記登録要求部は、前記ユーザ識別情報をハッシュ化するスクリプトのアドレスを含み、前記ユーザ識別情報の入力を受け付けるページを送信し、当該アドレスに基づいて前記携帯端末が取得した前記スクリプトに基づいて生成された前記ハッシュ化されたユーザ識別情報を含む前記第1登録要求情報を取得する、
請求項4に記載の認証システム。 - アプリケーションを提供する複数のアプリケーション提供装置と、前記アプリケーションを利用するユーザの生体認証を行う認証装置とを備える認証システムであって、
前記アプリケーション提供装置は、
端末から前記ユーザの認証要求を受け付けると、前記アプリケーション提供装置を識別するサービス識別情報を含み、前記ユーザの生体認証を要求する生体認証要求情報を前記認証装置に送信する認証要求部と、
前記認証装置から前記生体認証の認証結果を受信し、当該認証結果が前記生体認証に成功したことを示していると、前記端末に前記アプリケーションに関する機能を提供する提供部と、
を有し、
前記認証装置は、
前記生体認証要求情報を受信すると、前記端末と、前記ユーザが所持し、生体認証を実行可能な携帯端末とが同一のユーザにより使用されていることを示す信頼関係状態であるか否かを判定し、前記端末と前記携帯端末とが前記信頼関係状態にあると判定すると、前記携帯端末に、当該生体認証要求情報に含まれるサービス識別情報に対応する前記生体認証の実行を指示する第1指示情報をプッシュ通知する生体認証指示部と、
前記携帯端末から前記第1指示情報に対応する前記生体認証の認証結果を受信し、当該認証結果の正当性を検証する検証部と、
前記検証部により前記認証結果が正当であると検証されると、前記認証結果を、前記生体認証要求情報を送信した前記アプリケーション提供装置に送信する結果送信部と、
を有する、
認証システム。 - 前記携帯端末と前記認証装置とは、ワンタイムパスワードを生成するための共通鍵を共有し、
前記携帯端末は、前記共通鍵に基づいて前記ワンタイムパスワードを生成して表示し、
前記認証要求部は、前記端末から、前記ユーザを識別するユーザ識別情報と前記ワンタイムパスワードとを受け付けることにより、前記ユーザの認証の要求を受け付け、当該ユーザ識別情報と当該ワンタイムパスワードとを含む前記生体認証要求情報を前記認証装置に送信し、
前記生体認証指示部は、前記生体認証要求情報を受信すると、前記共通鍵に基づいてワンタイムパスワードを生成し、生成したワンタイムパスワードと、前記生体認証要求情報に含まれるワンタイムパスワードとが一致するか否かに基づいて、前記端末と前記携帯端末とが信頼関係状態にあるか否かを判定する、
請求項6に記載の認証システム。 - 前記端末は、前記ユーザの認証に成功すると、当該認証に用いられた前記ユーザ識別情報を前記端末に記憶させ、
前記認証要求部は、前記端末から前記ユーザの認証要求を受け付ける場合に前記端末に前記ユーザ識別情報が記憶されているときには、前記端末から当該ユーザ識別情報を取得し、当該ユーザ識別情報と前記サービス識別情報とを含む前記生体認証要求情報を前記認証装置に送信する、
請求項7に記載の認証システム。 - 前記認証装置は、前記生体認証要求情報を取得すると、所定のチャネル識別情報に基づいて、前記端末と前記携帯端末とを前記認証装置を介して通信可能に接続させ、前記携帯端末から前記端末と前記携帯端末とが信頼関係にあるか否かを受け付け、前記信頼関係にあることを受け付けると、前記端末と前記携帯端末とに前記信頼関係にあることを示す信頼関係情報を記憶させる信頼構築部をさらに有し、
前記生体認証指示部は、前記端末と前記携帯端末とに前記信頼関係情報が記憶されている場合に前記端末と前記携帯端末とが前記信頼関係状態にあると判定し、当該携帯端末に前記第1指示情報をプッシュ通知する、
請求項6に記載の認証システム。 - 前記検証部は、前記認証装置が前記生体認証要求情報を受信する前に、前記携帯端末から、前記携帯端末において行われた前記生体認証の認証結果を受信し、当該認証結果の正当性を検証し、
前記結果送信部は、前記検証部により前記認証結果が正当であると検証された後に、前記生体認証要求情報を受信したことに応じて、前記認証結果を、前記生体認証要求情報を送信した前記アプリケーション提供装置に送信する、
請求項1から9のいずれか1項に記載の認証システム。 - 前記結果送信部は、前記認証結果が前記生体認証に成功したことを示していると、前記端末又は前記携帯端末に、前記ユーザの認証に成功したことを示す情報を表示させる、
請求項1から10のいずれか1項に記載の認証システム。 - 前記結果送信部は、前記認証結果が前記生体認証に成功したことを示していると、前記端末又は前記携帯端末に、所定時間にわたって前記ユーザの認証に成功したことを示す情報を表示させる、
請求項11に記載の認証システム。 - アプリケーションを提供する複数のアプリケーション提供装置と、前記アプリケーションを利用するユーザの認証を行う認証装置とを備える認証システムが実行する認証方法であって、
前記アプリケーション提供装置が、端末から、ユーザを識別するユーザ識別情報を含む前記ユーザの認証要求を受け付けると、当該ユーザ識別情報と、当該アプリケーション提供装置を識別するサービス識別情報とを含み、前記ユーザの生体認証を要求する生体認証要求情報を前記認証装置に送信するステップと、
前記認証装置が、前記生体認証要求情報を受信すると、前記ユーザ識別情報と、前記サービス識別情報と、前記ユーザの携帯端末に前記サービス識別情報に対応する前記生体認証の実行を指示する指示情報のプッシュ通知を行う場合に使用される通知用識別情報とを関連付けて記憶する記憶部を参照し、当該生体認証要求情報に含まれている前記ユーザ識別情報及び前記サービス識別情報に関連付けられている前記通知用識別情報に基づいて、前記ユーザが所持し、生体認証を実行可能な携帯端末に、当該生体認証要求情報に含まれるサービス識別情報に対応する前記指示情報をプッシュ通知するステップと、
前記認証装置が、前記携帯端末から前記指示情報に対応する前記生体認証の認証結果を受信し、当該認証結果の正当性を検証するステップと、
前記認証装置が、前記認証結果が正当であると検証すると、前記認証結果を、前記生体認証要求情報を送信した前記アプリケーション提供装置に送信するステップと、
前記アプリケーション提供装置が、前記認証装置から前記生体認証の認証結果を受信し、当該認証結果が前記生体認証に成功したことを示していると、前記端末に前記アプリケーションに関する機能を提供するステップと、
を有する認証方法。 - アプリケーションを提供する複数のアプリケーション提供装置と、前記アプリケーションを利用するユーザの認証を行う認証装置とを備える認証システムが実行する認証方法であって、
前記アプリケーション提供装置が、端末から前記ユーザの認証要求を受け付けると、当該アプリケーション提供装置を識別するサービス識別情報を含み、前記ユーザの生体認証を要求する生体認証要求情報を前記認証装置に送信するステップと、
前記認証装置が、前記生体認証要求情報を受信すると、前記端末と、前記ユーザが所持し、生体認証を実行可能な携帯端末とが同一のユーザにより使用されていることを示す信頼関係状態であるか否かを判定し、前記端末と前記携帯端末とが前記信頼関係状態にあると判定すると、前記携帯端末に、前記生体認証要求情報に含まれるサービス識別情報に対応する前記生体認証の実行を指示する指示情報をプッシュ通知するステップと、
前記認証装置が、前記携帯端末から前記指示情報に対応する前記生体認証の認証結果を受信し、当該認証結果の正当性を検証するステップと、
前記認証装置が、前記認証結果が正当であると検証すると、前記認証結果を、前記生体認証要求情報を送信した前記アプリケーション提供装置に送信するステップと、
前記アプリケーション提供装置が、前記認証装置から前記生体認証の認証結果を受信し、当該認証結果が前記生体認証に成功したことを示していると、前記端末に前記アプリケーションに関する機能を提供するステップと、
を有する認証方法。 - ユーザの生体認証を行う認証装置であって、
ユーザを識別するユーザ識別情報と、アプリケーションを提供するアプリケーション提供装置を識別するサービス識別情報と、前記ユーザの携帯端末に前記サービス識別情報に対応する前記生体認証の実行を指示する指示情報のプッシュ通知を行う場合に使用される通知用識別情報とを関連付けて記憶する記憶部と、
前記 アプリケーション提供装置から、前記ユーザ識別情報と、前記アプリケーション提供装置を識別する前記サービス識別情報とを含み、前記ユーザの生体認証を要求する生体認証要求情報を受信すると、当該生体認証要求情報に含まれている前記ユーザ識別情報及び前記サービス識別情報に関連付けられて前記記憶部に記憶されている前記通知用識別情報に基づいて、前記ユーザが所持し、生体認証を実行可能な携帯端末に、当該サービス識別情報に対応する前記生体認証の実行を指示する指示情報をプッシュ通知する生体認証指示部と、
前記携帯端末から前記指示情報に対応する前記生体認証の認証結果を受信し、当該認証結果の正当性を検証する検証部と、
前記検証部により前記認証結果が正当であると検証されると、前記認証結果を、前記生体認証要求情報を送信した前記アプリケーション提供装置に送信する結果送信部と、
を備える認証装置。 - ユーザの生体認証を行う認証装置であって、
アプリケーションを提供し、端末からユーザの認証要求を受け付けたアプリケーション提供装置から、前記アプリケーション提供装置を識別するサービス識別情報を含み、前記ユーザの生体認証を要求する生体認証要求情報を受信すると、前記端末と、前記ユーザが所持し、生体認証を実行可能な携帯端末とが同一のユーザにより使用されていることを示す信頼関係状態であるか否かを判定し、前記端末と前記携帯端末とが前記信頼関係状態にあると判定すると、前記携帯端末に、当該サービス識別情報に対応する前記生体認証の実行を指示する指示情報をプッシュ通知する生体認証指示部と、
前記携帯端末から前記指示情報に対応する前記生体認証の認証結果を受信し、当該認証結果の正当性を検証する検証部と、
前記検証部により前記認証結果が正当であると検証されると、前記認証結果を、前記生体認証要求情報を送信した前記アプリケーション提供装置に送信する結果送信部と、
を備える認証装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/036928 WO2020070807A1 (ja) | 2018-10-02 | 2018-10-02 | 認証システム、認証方法、アプリケーション提供装置、認証装置、認証用プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2020070807A1 JPWO2020070807A1 (ja) | 2021-09-02 |
| JP7186346B2 true JP7186346B2 (ja) | 2022-12-09 |
Family
ID=70055680
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020550989A Active JP7186346B2 (ja) | 2018-10-02 | 2018-10-02 | 認証システム、認証装置及び認証方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20210234858A1 (ja) |
| JP (1) | JP7186346B2 (ja) |
| CN (1) | CN112912875A (ja) |
| WO (1) | WO2020070807A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021030040A1 (en) * | 2019-08-09 | 2021-02-18 | Critical Ideas, Inc. Dba Chipper | Authentication via ussd |
| JP2022069776A (ja) * | 2020-10-26 | 2022-05-12 | Mintomo株式会社 | 同一人物判別システム及び方法 |
| US20220311776A1 (en) * | 2021-03-25 | 2022-09-29 | International Business Machines Corporation | Injecting risk assessment in user authentication |
| US11528144B1 (en) * | 2022-06-09 | 2022-12-13 | Uab 360 It | Optimized access in a service environment |
| CN116010925B (zh) * | 2023-03-30 | 2023-07-18 | 中孚安全技术有限公司 | 一种基于指静脉识别的安全认证方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015064818A (ja) | 2013-09-26 | 2015-04-09 | 国立大学法人東京工業大学 | 機密生体サーバー認証 |
| US20170337366A1 (en) | 2015-02-13 | 2017-11-23 | Feitian Technologies Co., Ltd. | Working method of voice authentication system and device |
| JP2018120309A (ja) | 2017-01-23 | 2018-08-02 | 株式会社リコー | 認証システム、認証装置、認証方法及びプログラム |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9098687B2 (en) * | 2013-05-03 | 2015-08-04 | Citrix Systems, Inc. | User and device authentication in enterprise systems |
| US10339366B2 (en) * | 2013-10-23 | 2019-07-02 | Mobilesphere Holdings II LLC | System and method for facial recognition |
| US10050787B1 (en) * | 2014-03-25 | 2018-08-14 | Amazon Technologies, Inc. | Authentication objects with attestation |
| CN105323251A (zh) * | 2015-11-13 | 2016-02-10 | 飞天诚信科技股份有限公司 | 一种实现语音播报认证的方法及其云认证服务器 |
| US10182179B2 (en) * | 2017-01-31 | 2019-01-15 | Kyocera Document Solutions Inc. | Image forming method for private output using mobile terminal |
-
2018
- 2018-10-02 CN CN201880098095.1A patent/CN112912875A/zh active Pending
- 2018-10-02 JP JP2020550989A patent/JP7186346B2/ja active Active
- 2018-10-02 WO PCT/JP2018/036928 patent/WO2020070807A1/ja active Application Filing
-
2021
- 2021-03-25 US US17/213,204 patent/US20210234858A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015064818A (ja) | 2013-09-26 | 2015-04-09 | 国立大学法人東京工業大学 | 機密生体サーバー認証 |
| US20170337366A1 (en) | 2015-02-13 | 2017-11-23 | Feitian Technologies Co., Ltd. | Working method of voice authentication system and device |
| JP2018120309A (ja) | 2017-01-23 | 2018-08-02 | 株式会社リコー | 認証システム、認証装置、認証方法及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112912875A (zh) | 2021-06-04 |
| JPWO2020070807A1 (ja) | 2021-09-02 |
| WO2020070807A1 (ja) | 2020-04-09 |
| US20210234858A1 (en) | 2021-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7186346B2 (ja) | 認証システム、認証装置及び認証方法 | |
| JP7202688B2 (ja) | 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム | |
| EP3420677B1 (en) | System and method for service assisted mobile pairing of password-less computer login | |
| Lang et al. | Security keys: Practical cryptographic second factors for the modern web | |
| US11082225B2 (en) | Information processing system and control method therefor | |
| TWI522836B (zh) | Network authentication method and system for secure electronic transaction | |
| US11764966B2 (en) | Systems and methods for single-step out-of-band authentication | |
| US8739260B1 (en) | Systems and methods for authentication via mobile communication device | |
| US10637650B2 (en) | Active authentication session transfer | |
| US10848304B2 (en) | Public-private key pair protected password manager | |
| US20200280550A1 (en) | System and method for endorsing a new authenticator | |
| US20090031125A1 (en) | Method and Apparatus for Using a Third Party Authentication Server | |
| GB2547472A (en) | Method and system for authentication | |
| KR20170056566A (ko) | 네트워크 아키텍처 내에 인증 서비스를 통합하기 위한 시스템 및 방법 | |
| KR20150093781A (ko) | 리소스 요청에 대한 바코드 인증 | |
| WO2015188424A1 (zh) | 一种密钥存储设备及其使用方法 | |
| US20120311331A1 (en) | Logon verification apparatus, system and method for performing logon verification | |
| US20160330195A1 (en) | System and method for securing offline usage of a certificate by otp system | |
| US20240039729A1 (en) | Efficient transfer of authentication credentials between client devices | |
| JP6240102B2 (ja) | 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム | |
| KR102101719B1 (ko) | 브라우저의 웹스토리지를 이용한 간편인증 방법 및 시스템 | |
| JP7079528B2 (ja) | サービス提供システム及びサービス提供方法 | |
| WO2017029708A1 (ja) | 個人認証システム | |
| EP2916509A1 (en) | Network authentication method for secure user identity verification | |
| JP5793593B2 (ja) | ユーザ識別情報を安全に検証するためのネットワーク認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210917 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210917 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221004 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221031 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7186346 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |