WO2010024257A1

WO2010024257A1 - 中継装置、その方法及び認証システム

Info

Publication number: WO2010024257A1
Application number: PCT/JP2009/064806
Authority: WO
Inventors: 潤古川
Original assignee: 日本電気株式会社
Priority date: 2008-08-27
Filing date: 2009-08-25
Publication date: 2010-03-04

Abstract

　カードあるいは可搬装置を解析されてもサービスを提供される為に必要なパスワードが発覚することなく、かつ記憶する必要があるパスワードの数が唯一つであり、認証情報を容易に悪用できる立場にあるサービス提供者も存在しない、カードあるいは可搬装置を用いた中継装置、その方法及び認証システムを提供する。　中継装置は、アカウントの利用者が少なくとも一以上のサーバにそれぞれ接続するための情報を暗号化した情報を保存する手段と、ネットワークを介してアカウントの利用者を認証する手段と、アカウントの利用者の所有するカードあるいは可搬装置を認証する手段と、を有する。アカウントの利用者及びアカウントの利用者の所有するカードあるいは可搬装置が認証された場合に、保存されたアカウントの利用者の情報を、アカウントの利用者に送付する。

Description

中継装置、その方法及び認証システム

　本発明は、例えばＩＣ（Integrated Circuit）カードを用いて認証を受け、複数のサービスを受けるための中継装置、その方法及び認証システムに関する。

　近年、ネットワークを介してアプリケーションなどのサービスを提供するサービス提供者がサービス利用者の認証を行い、サービスを提供し、課金を行うための技術が開発されている。例えば、サービス利用者の認証を行うために、中継サーバを用いた技術が開示されている（例えば、特許文献１）。具体的には、サービス利用者がサービス提供者の提供するサービスを利用する場合に、最初に中継サーバにアクセスし、中継サーバが利用者の認証を代行して行い、サービス提供者に接続する技術である。

　また、利用者毎に設けた電子財布に各々の利用者の認証情報を保持し、利用者端末からの指示に応じて利用者の認証情報及び支払い情報を支払いサーバに供給することにより、利用者に支払いを要求する技術も開示されている（例えば、特許文献２）。

　また、サービス利用者を特定する利用者ＩＤを記憶しているＩＣカードを利用して、利用者を認定する技術が開示されている（例えば、特許文献３、非特許文献１）。図１は、上記技術のサービス享受システムの構成を示す図である。以下にサービス享受システムについて、図１に示す図を用いて詳細に説明する。

　ＩＣが内蔵されたＩＣカード１０３には、認証用の秘密鍵１０１とパスワード１０２が格納されている。このＩＣカードの利用者１０４は、ＩＣカード１０３に格納されているパスワード１０５を所持している。利用者１０４がＩＣカード１０３を用いて、あるサービス提供者１０６にネットワークを介して接続し、サービスを受けるとする。この手順を次に示す。利用者１０４はサービス提供者１０６に接続するために、パスワード１０５をＩＣカードに入力する（１０７）。ＩＣカード１０３は入力されたパスワードと、格納しているパスワード１０２が同一であるかを確認する（１０８）。同一でない場合は、カードは処理を停止する。同一である場合、ＩＣカードは格納された秘密鍵１０１を使ってネットワークを介してサービス提供者１０６から認証を受ける。サービス提供者１０６は、ＩＣカード１０３を認証できた場合は、利用者１０４にサービスを提供する。サービス提供者１０６が、ＩＣカード１０３を認証できなかった場合は、利用者１０４にサービスを提供しない。

特開２００２－０３２２１６号公報特開２００２－０６３５２０号公報特開２００８－０９７２０５号公報

基礎講座　知っておきたいＩＣカードの知識　第１回　ＩＣカードとは　大日本印刷　森山明子　http://www.jaisa.or.jp/about/pdfs/IC0203.pdf

　上記技術の特徴として、利用者はＩＣカードを保持しており、かつＩＣカードにアクセスするためのパスワードを保持していなければ、サービスを受けることはできなかった。しかし、この技術ではサービスを受けるための秘密鍵がＩＣカードに格納されている為、カードを不正に入手した者はカードを解析することにより、この秘密鍵を取出すと、パスワードを知らずともこれを用いて不正にサービスを受けることができるおそれがある。

　上記問題を解決する為、ＩＣカードがサービス提供者から認証を受ける他に、サービス提供者に別途パスワードによる認証を受けて初めてサービスを提供される方法を考えることができる。この方法では、ＩＣカードの中にサービス提供者に認証を受ける時に必要なパスワードを保持しない為、上記非特許文献１の問題を解決している。

　しかし上記方法では、受けるサービス毎にパスワードを覚えなければならない手間が発生する。もし、同じパスワードを使う対策を取れば、一つのサービスでパスワードが漏洩すると、他のサービスにも影響が及ぶので新たな問題を抱える事となる。なお、上記非特許文献１の方法では、覚えるパスワードは一つで済むという利点はある。

　そこで、ある取りまとめのサービス提供者に、他のサービス提供者の認証を受ける為の情報を委託し、この取りまとめのサービス提供者にＩＣカードとパスワードを使って認証を受けると、この取りまとめのサービス提供者が利用者に代って他のサービス提供者の認証を受けるという方法も考えることができる。しかし、この場合取りまとめのサービス提供者が十分に信頼できないと、この取りまとめのサービス提供者認証を受けるための情報を容易に悪用されるおそがある。

　また上記非特許文献１では、ＩＣカードにアクセスするパスワードを知らなければ、緊急の場合などにＩＣカードに保存されている秘密鍵にアクセスするのは難しいという問題もある。

　本発明はこのような実情を鑑みてなされたものであり、カードあるいは可搬装置を解析されてもサービスを提供される為に必要なパスワードが発覚することなく、かつ記憶する必要があるパスワードの数が唯一つであり、認証情報を容易に悪用できる立場にあるサービス提供者も存在しない、カードあるいは可搬装置を用いた中継装置、その方法及び認証システムを提供することを目的としている。

　本発明の中継装置は、少なくとも一以上のアカウントを管理する中継装置であって、アカウントの利用者が少なくとも一以上のサーバにそれぞれ接続するための情報を暗号化した情報を保存する暗号文保存手段と、ネットワークを介してアカウントの利用者を認証する認証手段と、ネットワークを介してアカウントの利用者の所有するカードあるいは可搬装置を認証するカードあるいは可搬装置認証手段と、を有し、認証手段によりアカウントの利用者が認証された場合であって、カードあるいは可搬装置認証手段によりアカウントの利用者の所有するカードあるいは可搬装置が認証された場合に、暗号文保存手段により保存されたアカウントの利用者の情報を、アカウントの利用者に送付することを特徴とする。

　本発明の中継サービス方法は、少なくとも一以上のアカウントを管理する中継サービス方法であって、アカウントの利用者が少なくとも一以上のサーバにそれぞれ接続するための情報を暗号化した情報を保存するステップと、ネットワークを介してアカウントの利用者を認証するステップと、ネットワークを介してアカウントの利用者の所有するカードあるいは可搬装置を認証するステップと、を有し、認証するステップによりアカウントの利用者及びアカウントの利用者の所有するカードあるいは可搬装置が認証された場合に、保存するステップにより保存されたアカウントの利用者の情報を、アカウントの利用者に送付することを特徴とする。

　本発明の認証システムは、ネットワークを介して接続された中継装置と、端末と、カードあるいは可搬装置と、サービスを提供するサーバと、を有する認証システムであって、中継装置は、上記した中継装置であり、カードあるいは可搬装置は、ＩＣを含有しており、端末を介して中継装置の認証を受ける認証受手段と、データを復号する復号手段と、データを認証するデータ認証手段と、を有し、サーバは、アカウントの利用者を認証するための情報を保存する保存手段を有し、中継装置は、認証手段により端末を利用するアカウントの利用者がネットワークを介して認証された場合であって、カードあるいは可搬装置認証手段によりアカウントの利用者の所有するカードあるいは可搬装置がネットワーク及び端末を介して認証された場合に、暗号文保存手段により保存されたアカウントの利用者の情報を、端末に送付し、カードあるいは可搬装置は、端末に送付されたアカウントの利用者の情報を復号手段により復号し、サーバは、復号手段により復号された情報と保存手段により保存された情報とによりアカウントの利用者を認証し、アカウントの利用者にサービスを提供することを特徴とする。

　本発明によれば、カードあるいは可搬装置を解析されてもサービスを提供される為に必要なパスワードが漏洩することなく、かつ記憶する必要があるパスワードの数が唯一つであり、認証情報を容易に悪用できる立場にあるサービス提供者も存在しないため、利用者は容易かつセキュアにサービスを受けることが可能となる。

非特許文献１に記載のサービス享受システムの構成を示す図である。本実施形態に係る認証システムの概略構成例を示す図である。本実施形態に係る認証システムにおいて、権限者がサービス提供者からサービスを受ける場合の概略構成例を示す図である。本実施形態に係る認証システムの概略構成例を示す図である。本実施形態に係る認証システムの動作例を示すフローチャートである。

　以下に本発明の実施形態の例について、図面を用いて詳細に説明する。

　図２は、本実施形態に係る認証システムの概略構成例を示す。図２に示すように、本実施形態に係る認証システムは、ＩＣを内蔵したカード２０１(以下カード)、カードの利用者２０２(以下利用者Ｕ)が利用できかつネットワークに接続された端末２０３、ネットワークに接続されている中継装置Ｂ２０４、ネットワークに接続されていて各種サービスを提供する複数のサービス提供者Ｓ２０５（サーバ）を有している。

　カード２０１は、被認証部２１７、認証部２２２及び復号部２２３を有している。端末２０３は、被認証部２２０、２２４を有している。中継装置Ｂ２０４は、パスワード認証部２２１、認証部２１８を有している。サービス提供者Ｓ２０５は、認証部２２６及びサービスを提供するサービス提供部２２５を有している。

　カード２０１は、中継装置Ｂ２０４の認証を受ける為の情報である認証情報(pkey、skey)２０６とメッセージを認証するための鍵（akey）２０８と復号用の鍵（ekey）２０９とのデータを格納している。

　ここでpkeyは、中継装置Ｂ２０４に利用者Ｕ２０２毎の認証情報２０７として渡されているとする。(pkey、skey)２０６は、公開鍵と秘密鍵の組み、同じパスワード、同じ秘密鍵等でも良い。akey２０８には、署名用の公開鍵と秘密鍵の組み、メッセージ認証コードの鍵等を適用することが可能である。ekey２０９には、公開鍵暗号の為の公開鍵と秘密鍵の組みや、共通鍵暗号の為の秘密鍵等を適用することが可能である。

　利用者Ｕ２０２は、中継装置Ｂ２０４から認証を受ける為のパスワードpw[Ｕ]２１０を記憶している。

　各サービス提供者Ｓ２０５は、利用者Ｕ２０２に関して、利用者Ｕ２０２を認証する為の情報pkey[Ｕ、Ｓ]２１１を格納している。なお、このpkey[Ｕ、Ｓ]２１１を対応して認証を受けるのに必要な情報２１２をskey[Ｕ、Ｓ]とする。(pkey[Ｕ、Ｓ]、skey[Ｕ、Ｓ])２０６には、公開鍵と秘密鍵の組み、同じパスワード、同じ秘密鍵等を適用することが可能である。

　中継装置Ｂ２０４には、各利用者Ｕ２０２に対してパスワードpw[Ｕ]２１０及び上記情報pkey２０７が格納されている。また、各利用者Ｕ２０２とサービス提供者Ｓ２０５の組み(Ｕ、Ｓ)に対して、存在する場合は、データ(pkey[Ｕ、Ｓ]、skey[Ｕ、Ｓ])２１１、２１２のekey２０８により復号できる暗号文２１３cinfo[Ｕ、Ｓ]、cinfo[Ｕ、Ｓ]が変造されていない事を確認するための認証子mac[Ｕ、Ｓ]２１４が格納されている。

（実施形態１）
　次に、本実施形態に係る認証システムにおいて、利用者Ｕ２０２が端末２０３を介してサービス提供者Ｓ２０５に接続してサービスを受ける処理の例ついて、図２に示す図を用いて説明する。

　利用者Ｕ２０２は、サービス提供者Ｓ２０５に接続するために、端末２０３を通じて、カード２０１に格納されている認証情報(pkey、skey)２０６を用いて、カード２０１に対して中継装置Ｂ２０４の認証を受けることを要求する（２１５、２１６）。次に、カード２０１と中継装置Ｂ２０４は通信を行い、カード２０１は認証情報(pkey、skey)２０６を用いて、pkey２０７を用いる中継装置Ｂ２０４の認証を受ける（２１７、２１８）。

　利用者Ｕ２０２は端末２０３を利用して中継装置Ｂ２０４と通信を行い、利用者Ｕ２０２はパスワードpw[Ｕ]２１０を用いて、パスワードpw[Ｕ]２１９を用いる中継装置Ｂの認証を受ける（２２０、２２１）。中継装置Ｂ２０４は、カード２０１と利用者Ｕ２０２両方の認証に成功した場合に限り、cinfo[Ｕ、Ｓ]２１３とmac[Ｕ、Ｓ]２１４を送る。

　利用者Ｕ２０２はカード２０１を用いてmac[Ｕ、Ｓ]２１４を認証する（２２２）。ここでカード２０１はakey２０８を用いる。利用者Ｕ２０２はカード２０１を用いてcinfo[Ｕ、Ｓ]２１３を復号し（２２３）、サービス提供者Ｓ２０５の認証を受けるのに必要な情報(pkey[Ｕ、Ｓ]、skey[Ｕ、Ｓ])２１２を得る。ここでカード２０１は、ekey２０９を用いて復号する（２２３）。

　利用者Ｕ２０２は、pkey[Ｕ、Ｓ]、skey[Ｕ、Ｓ]２１２を用いて、利用者Ｕ２０２を認証する為に必要な情報pkey[Ｕ、Ｓ]２１１を用いるサービス提供者Ｓ２０５の認証を受ける（２２４、２２６）。認証に成功した場合は、サービス提供者Ｓ２０５は利用者Ｕ２０２にサービスを提供する（２２５）。

　本実施形態により、利用者はカードを所持する事と、パスワードを記憶している事がサービスを使う為に必要となる。そして、カードが不正者の手に渡っても、カードにはパスワードが格納されていないこと及びサービス提供者の認証を受ける手段である(pkey[Ｕ、Ｓ]、skey[Ｕ、Ｓ])も格納されていないことから、不正にサービスを受けることを防止することが可能となる。また、各サービス提供者に認証を受けるのに必要な情報は全て中継装置Ｂに保存されており、該情報をいつも決まったパスワードとカードによる認証で引き出せば良いため、利用するサービス毎にパスワードを覚える必要もない。さらに、このサービス機関の認証を受けるに必要な情報は暗号化されているため、これを預かる中継装置Ｂは不正にこのデータを用いてサービスを受けることが不可能であるため、セキュリティを向上させることが可能である。

　また、本実施形態によれば、ＩＣ内蔵のカードを一枚所持し、パスワードを一つ覚えていれば、複数のサービス提供者に接続する事が可能となるシステムを実現することができる。サービス提供者への接続の為の権限がカードとパスワードに分散されているので、片方だけでは不正者に取得されても、不正にサービスに接続されること防ぐことが可能となる。

（実施形態２）
　図３は、本実施形態に係る認証システムにおいて、権限者３０１がサービス提供者Ｓ２０５に接続してサービスを受ける場合の概略構成例を示す。本実施形態では、権限者３０１が端末２０３を介してサービス提供者Ｓ２０５に接続してサービスを受ける場合の処理の例について説明する。

　図３に示すように、上記実施形態１と異なるところは、利用者Ｕ２０２が権限者３０１に変更されているところである。上記実施形態１において、利用者Ｕ２０２は、パスワードpw[Ｕ]２１０を用いて中継装置Ｂ２０４の認証を受ける必要があった。これを特別な権限者３０１が権限者の被認証情報３０２を用いて、権限者の認証情報３０４を利用した中継装置Ｂ２０４の認証を受ける（３０５、３０３）。他の処理は上記実施形態１と同様である。

　本実施形態により、利用者がパスワードを用いて中継装置の認証を受ける代りに、特別な権限者である事を示してその代替とする事が可能となるので、利用者が特別な権限者にその権限を委託する事も可能となる。

（実施形態３）
　図４は、本実施形態に係る認証システムの概略構成例を示す。図示するように、本実施形態の認証システムと、上記実施形態１の認証システムの異なるところは、パスワードpw[Ｕ]２１０を用いた認証プロトコルの通信を、認証情報(pkey、skey)２０６を用いてさらに認証するところである。以下に、本実施形態と上記実施形態１の相違点について、具体的に説明する。

　上記実施形態１の認証システムでは、カード２０１と中継装置Ｂ２０４は通信を行い、カード２０１は認証情報(pkey、skey)２０６を用いてpkey２０７を用いる中継装置Ｂ２０４の認証を受ける（２１７、２１８）。これと並行して、利用者Ｕ２０２と中継装置Ｂ２０４は端末２０３を介して通信を行い、利用者Ｕ２０２はパスワードpw[Ｕ]２１０を用いて、パスワードpw[Ｕ]２１９を用いる中継装置Ｂ２０４の認証を受ける（２２０、２２１）。

　これに対し、本実施形態の認証システムでは、まず利用者Ｕ２０２と中継装置Ｂ２０４は端末２０３を介して通信を行い、利用者Ｕ２０２はパスワードpw[Ｕ]２１０を用いて、パスワードpw[Ｕ]２１９を用いる中継装置Ｂ２０４の認証を受ける（２２０、２２１）。この認証の為の通信において、端末２０３を介して利用者Ｕ２０２から中継装置Ｂ２０４に送られるメッセージに対して、カード２０１は認証情報(pkey、skey)２０６を用いて認証部２２２において認証子をつけることで、pkey２０７を用いる中継装置Ｂ２０４の認証を受ける（２１７、２１８）。

　図５は、本実施形態に係る認証システムの動作例を示す。本実施系形態に係る認証システムの動作例について、図５に示すフローチャートを用いて説明する。

　利用者Ｕ２０２は、端末２０３にカード２０１を挿入して、パスワードpw[Ｕ]２１０を入力する（ステップＳ５０１）。このパスワードpw[Ｕ]２１０を中継装置Ｂ２０４に送付する際に、カード２０１において認証子である署名を付す。そして、署名を用いて端末２０３と中継装置Ｂ２０４でパスワードによる認証を行う（ステップＳ５０２）。

　上記ステップＳ５０２の処理により、認証が成功したか否かを判断する（ステップＳ５０３）。認証に失敗した場合（ステップＳ５０３／ＮＯ）は、動作を終了する。一方、認証が成功した場合（ステップＳ５０３／ＹＥＳ）には、端末２０３を介して利用者Ｕ２０２は、中継装置Ｂ２０４の認証を受けるための情報の暗号文と、該暗号文の認証情報を受け取る（ステップＳ５０４）。

　次に、上記ステップＳ５０４で受け取った暗号文と該暗号文の認証情報を用いて暗号文の認証を行うか否かを決定する（ステップＳ５０５）。暗号文の認証を行わない場合（ステップＳ５０５／ＮＯ）は、動作を終了する。一方、暗号文の認証を行う場合（ステップＳ５０５／ＹＥＳ）には、中継装置Ｂ２０４の認証を受けるための情報の暗号文と該暗号文の認証情報を復号化する（ステップＳ５０６）。そして、復号化した情報を用いることで、サービスを受ける（ステップＳ５０７）。

　上記実施形態１では認証情報(pkey、skey)を用いた認証と、パスワードpw[Ｕ]を用いた認証の二つの認証プロトコルが必要となる。これに対して、本実施形態により、パスワードpw[Ｕ]を用いた認証プロトコルの通信を、認証情報(pkey、skey)を用いてさらに認証することで、一つのプロトコルにまとめることが可能となる。これにより、より簡易な構成で、利用者に容易かつセキュアにサービスを提供することが可能となる。

　尚、各図に示す処理を、ＣＰＵが実行するためのプログラムは本発明によるプログラムを構成する。このプログラムを記録するコンピュータ読み取り可能な記録媒体としては、半導体記憶部や光学的及び／又は磁気的な記憶部等を用いることができる。このようなプログラム及び記録媒体を、前述した各実施形態とは異なる構成のシステム等で用い、そこのＣＰＵで上記プログラムを実行させることにより、本発明と実質的に同じ効果を得ることができる。

　以上好適な実施の形態に基づき具体的に説明したが、本発明は上述した中継装置、その方法及び認証システムに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であるということは言うまでもない。

　この出願は、２００８年８月２７日に出願された日本出願特願２００８－２１８０９４、２００８年１２月９日に出願された日本出願特願２００８－３１３１１８、を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１０１　　認証用秘密鍵
　１０２　　パスワード
　１０３　　ＩＣカード
　１０４　　利用者
　１０５　　パスワード
　１０６　　サービス提供者
　１０９　　被認証部
　１１０　　認証部
　１１１　　サービス提供部
　２０１　　カード
　２０２　　利用者
　２０３　　端末
　２０４　　中継装置
　２０５　　サービス提供者
　２０６　　認証情報
　２０７　　利用者毎認証情報
　２０８　　メッセージ認証用鍵
　２０９　　復号用鍵
　２１１　　利用者毎認証情報
　２１２　　利用者とサービス提供者毎の認証情報
　２１３　　利用者とサービス提供者毎の認証情報の暗号文
　２１４　　利用者とサービス提供者毎の認証情報の暗号文の認証子
　２１７　　被認証部
　２１８　　認証部
　２１９　　利用者毎パスワード
　２２０　　被認証部
　２２１　　パスワード認証部
　２２２　　認証部
　２２３　　復号部
　２２４　　被認証部
　２２５　　サービス提供部
　２２６　　認証部
　３０１　　権限者
　３０２　　被認証情報
　３０３　　権限者認証部
　３０４　　権限者認証情報
　３０５　　被認証部

Claims

　少なくとも一以上のアカウントを管理する中継装置であって、
　前記アカウントの利用者が少なくとも一以上のサーバにそれぞれ接続するための情報を暗号化した情報を保存する暗号文保存手段と、
　ネットワークを介して前記アカウントの利用者を認証する認証手段と、
　ネットワークを介して前記アカウントの利用者の所有するカードあるいは可搬装置を認証するカードあるいは可搬装置認証手段と、を有し、
　前記認証手段により前記アカウントの利用者が認証された場合であって、前記カードあるいは可搬装置認証手段により前記アカウントの利用者の所有するカードあるいは可搬装置が認証された場合に、前記暗号文保存手段により保存された前記アカウントの利用者の情報を、前記アカウントの利用者に送付することを特徴とする中継装置。
　前記カードあるいは可搬装置は、ＩＣを含有することを特徴とする請求項１記載の中継装置。
　前記認証手段は、パスワードを用いて前記アカウントの利用者を認証することを特徴とする請求項１又は２に記載の中継装置。
　前記カードあるいは可般装置が前記認証手段による認証のために伝送される通信文に付した認証子を検証する認証子検証手段をさらに有し、
　前記認証手段及びカードあるいは可搬装置認証手段は、パスワード及び前記認証子を用いて前記アカウントの利用者及びカードあるいは可般装置を認証することを特徴とする請求項１又は２に記載の中継装置。
　権限者を認証する権限者認証手段をさらに有し、
　前記カードあるいは可搬装置認証手段により前記アカウントの利用者の所有するカードあるいは可搬装置が認証された場合であって、前記権限者認証手段により権限者が認証された場合に、前記暗号文保存手段により保存された前記アカウントの利用者の情報を、前記アカウントの利用者に送付することを特徴とする請求項１から４の何れか１項に記載の中継装置。
　少なくとも一以上のアカウントを管理する中継サービス方法であって、
　前記アカウントの利用者が少なくとも一以上のサーバにそれぞれ接続するための情報を暗号化した情報を保存するステップと、
　ネットワークを介して前記アカウントの利用者を認証するステップと、
　ネットワークを介して前記アカウントの利用者の所有するカードあるいは可搬装置を認証するステップと、を有し、
　前記認証するステップにより前記アカウントの利用者及び前記アカウントの利用者の所有するカードあるいは可搬装置が認証された場合に、前記保存するステップにより保存された前記アカウントの利用者の情報を、前記アカウントの利用者に送付することを特徴とする中継サービス方法。
　前記カードあるいは可般装置が前記認証するステップによる認証のために伝送される通信文に付した認証子を検証するステップをさらに有し、
　前記認証するステップ及びカードあるいは可搬装置を認証するステップは、パスワード及び前記認証子を用いて前記アカウントの利用者及びカードあるいは可般装置を認証することを特徴とする請求項６記載の中継サービス方法。
　権限者を認証するステップをさらに有し、
　前記認証するステップにより前記アカウントの利用者の所有するカードあるいは可搬装置及び前記権限者が認証された場合に、前記保存するステップにより保存された前記アカウントの利用者の情報を、前記アカウントの利用者に送付することを特徴とする請求項６又は７に記載の中継サービス方法。
　ネットワークを介して接続された中継装置と、端末と、カードあるいは可搬装置と、サービスを提供するサーバと、を有する認証システムであって、
　前記中継装置は、請求項１から４の何れか１項に記載の中継装置であり、
　前記カードあるいは可搬装置は、ＩＣを含有しており、
　前記端末を介して前記中継装置の認証を受ける認証受手段と、
　データを復号する復号手段と、
　前記データを認証するデータ認証手段と、を有し、
　前記サーバは、アカウントの利用者を認証するための情報を保存する保存手段を有し、
　前記中継装置は、前記認証手段により前記端末を利用する前記アカウントの利用者がネットワークを介して認証された場合であって、前記カードあるいは可搬装置認証手段により前記アカウントの利用者の所有するカードあるいは可搬装置がネットワーク及び前記端末を介して認証された場合に、前記暗号文保存手段により保存された前記アカウントの利用者の情報を、前記端末に送付し、
　前記カードあるいは可搬装置は、前記端末に送付された前記アカウントの利用者の情報を前記復号手段により復号し、
　前記サーバは、前記復号手段により復号された情報と前記保存手段により保存された情報とにより前記アカウントの利用者を認証し、前記アカウントの利用者にサービスを提供することを特徴とする認証システム。
　前記カードあるいは可搬装置は、前記認証手段による認証のために伝送される通信文に認証子を付す認証子添付手段を有し、
　前記中継装置は、伝送された前記通信文に付された認証子を検証する認証子検証手段を有し、
　前記中継装置の認証手段及びカードあるいは可搬装置認証手段は、パスワード及び前記認証子を用いて前記アカウントの利用者及びカードあるいは可般装置を認証することを特徴とする請求項９記載の認証システム。