WO2011083867A1

WO2011083867A1 - 認証装置、認証方法、及び、プログラム

Info

Publication number: WO2011083867A1
Application number: PCT/JP2011/050221
Authority: WO
Inventors: 昇菱沼
Original assignee: Hishinuma Noboru
Priority date: 2010-01-08
Filing date: 2011-01-07
Publication date: 2011-07-14
Also published as: JPWO2011083867A1; JP5764501B2

Abstract

　認証装置（１０）は、携帯電話（２０）から移動体通信網（５０）を介して、社内システム（４０）へのアクセス要求を示すショートメッセージ（ＳＭＳ）を受信すると、そのショートメッセージの送信元アドレスとして用いられる電話番号が認証ＤＢに記録されているか否かを判別する。認証ＤＢに電話番号が記録されている場合、認証装置（１０）は、ワンタイムパスワードを発行し、そのワンタイムパスワードを、認証ＤＢに記憶するとともにアクセス要求を行う端末宛（携帯電話（２０）やＰＣ（３０））に送信する。その後、認証装置（１０）は、端末（携帯電話（２０）又はＰＣ（３０）からのアクセス要求に従って、ワンタイムパスワードを用いた認証を行い、認証した端末を社内システム（４０）にアクセスさせる。

Description

認証装置、認証方法、及び、プログラム

　本発明は、所定のシステムに接続を要求する端末を認証する認証装置、認証方法、及び、プログラムに関する。

　所定のサービスを提供するシステムに接続を要求する携帯電話やＰＣ（Personal Computer）等の端末のログイン認証を行う認証装置が、例えば、特許文献１に開示されている。

特開２００７－２４１９１７号公報

　特許文献１に開示された認証装置は、所定のサービスを提供するシステムに接続を要求する端末から利用者のＩＤとパスワード（ＰＩＮ番号）とを受け取り、受け取った利用者のＩＤとパスワードとを用いて、端末のログイン認証を行う。認証装置は、このログイン認証が成功した端末にのみ、所定のサービスシステムへの接続を許可している。
　しかしながら、このようなログイン認証では、利用者のＩＤとパスワードとを不正に入手した第三者のなりすましを防止できないという問題があった。

　上記のログイン認証において、利用者の指紋や声紋などの生体情報を用いることで、第三者のなりすましをある程度防止できる。しかしながら、生体情報を用いたログイン認証は、その生体情報の認証を行うための専用の装置が必要となるので、認証装置のコストが高くなるという問題があった。

　本発明は、このような問題に鑑みてなされたものであり、簡易な構成により、第三者のなりすましを防止できる認証装置、認証方法、及び、プログラムを提供することを目的とする。

　上記目的を達成するため、本発明の第１の観点に係る認証装置は、
　電話番号が記録された認証データベースと、
　所定のシステムへの第１の接続要求を示す第１の接続要求情報を移動体通信網を介して受信し、受信した前記第１の接続要求情報に含まれる送信元アドレスとして用いられる電話番号が前記認証データベースに記録されているか否かを判別する第１認証手段と、
　前記第１認証手段により前記電話番号が前記認証データベースに記録されていると判別された場合にワンタイムパスワードを発行し、発行した前記ワンタイムパスワードを、前記電話番号と対応付けて前記認証データベースに記録するとともに前記電話番号または前記認証データベースにおいて前記電話番号に対応付けられて記録されたワンタイムパスワードの送信先アドレスに送信するワンタイムパスワード送信手段と、
　所定のシステムへの第２の接続要求を示す第２の接続要求情報を所定の通信ネットワークを介して受信し、受信した前記第２の接続要求情報に含まれる前記ワンタイムパスワードが前記認証データベースに記録されているか否かを判別することにより前記第２の接続要求情報を送信した端末装置の認証処理を行い、認証した前記端末装置の前記所定のシステムへの接続を許可する第２認証手段と、
　を備えることを特徴とする。

　前記認証データベースには、前記電話番号とユーザ認証用の情報とが対応付けられて記録され、
　前記第２の接続要求情報は、前記ユーザ認証用の情報を含み、
　前記第２認証手段は、前記受信した前記第２の接続要求情報に含まれる前記ユーザ認証用の情報と前記ワンタイムパスワードとが前記認証データベースに対応付けられて記録されているか否かを判別することにより前記第２の接続要求情報を送信した端末装置の認証処理を行うようにしても良い。

　前記所定の通信ネットワークはインターネットであり、
　前記第２の接続要求情報は、前記インターネットを介して自身の装置に接続するためのアクセス情報であり、
　前記ワンタイムパスワード送信手段は、前記発行したワンタイムパスワードを含んだ前記アクセス情報を作成し、作成した前記アクセス情報を前記電話番号または前記認証データベースにおいて前記電話番号に対応付けられて記録されたワンタイムパスワードの送信先アドレスに送信し、
　前記第２認証手段は、前記アクセス情報をインターネットを介して受信し、受信した前記アクセス情報に含まれる前記ワンタイムパスワードが前記認証データベースに記録されているか否かを判別することにより前記アクセス情報を送信した端末装置の認証処理を行うようにしても良い。
　また、前記ワンタイムパスワード送信手段は、前記発行したワンタイムパスワードと前記電話番号とを含んだ前記アクセス情報を作成し、作成した前記アクセス情報を前記電話番号または前記認証データベースにおいて前記電話番号に対応付けられて記録されたワンタイムパスワードの送信先アドレスに送信し、
　前記第２認証手段は、前記アクセス情報をインターネットを介して受信し、受信した前記アクセス情報に含まれる前記電話番号と前記ワンタイムパスワードとが対応付けられて前記認証データベースに記録されているか否かを判別することにより前記アクセス情報を送信した端末装置の認証処理を行うようにしても良い。

　前記所定のネットワークはイントラネットであり、
　前記第２認証手段は、前記第２の接続要求情報をイントラネットを介して受信し、受信した前記第２の接続要求情報に含まれる前記ワンタイムパスワードが前記認証データベースに記録されているか否かを判別することにより前記第２の接続要求情報を送信した端末装置の認証処理を行うようにしても良い。

　前記認証データベースには、前記端末装置の認証状態を示すステータス情報が前記電話番号と対応付けられて記録され、
　前記ワンタイムパスワード送信手段は、前記第１認証手段により前記電話番号が前記認証データベースに記録されていると判別された場合に、前記電話番号に対応付けられて記録された前記ステータス情報を更新し、更新した前記ステータス情報を前記電話番号及び前記ワンタイムパスワードと対応付けて前記認証データベースに記録し、
　前記第２認証手段は、受信した前記第２の接続要求情報に含まれる前記ワンタイムパスワードが前記認証データベースに記録されているか否かを判別する際、前記ワンタイムパスワードに対応付けられた前記ステータス情報が更新されたものであるか否かを判別し、前記ステータス情報が更新されたものでないと判別した場合に、前記端末装置の前記所定のシステムへの接続を許可しないようにしても良い。

　前記第２認証手段は、前記ワンタイムパスワード送信手段が前記発行したワンタイムパスワードを送信してから所定時間内に、該ワンタイムパスワードを含む前記第２の接続要求情報を受信しない場合に、前記端末装置の前記所定のシステムへの接続を許可しないようにしても良い。

　上記目的を達成するため、本発明の第２の観点に係る認証方法は、
　所定のシステムへの第１の接続要求を示す第１の接続要求情報を移動体通信網を介して受信し、受信した前記第１の接続要求情報に含まれる送信元アドレスとして用いられる電話番号が認証データベースに記録されているか否かを判別する第１認証ステップと、
　前記第１認証ステップにより前記電話番号が前記認証データベースに記録されていると判別された場合にワンタイムパスワードを発行し、発行した前記ワンタイムパスワードを、前記電話番号と対応付けて前記認証データベースに記録するとともに前記電話番号または前記認証データベースにおいて前記電話番号に対応付けられて記録されたワンタイムパスワードの送信先アドレスに送信するワンタイムパスワード送信ステップと、
　所定のシステムへの第２の接続要求を示す第２の接続要求情報を所定の通信ネットワークを介して受信し、受信した前記第２の接続要求情報に含まれる前記ワンタイムパスワードが前記認証データベースに記録されているか否かを判別することにより前記第２の接続要求情報を送信した端末装置の認証処理を行い、認証した前記端末装置の前記所定のシステムへの接続を許可する第２認証ステップと、
　を備えることを特徴とする。

　上記目的を達成するため、本発明の第３の観点に係るプログラムは、
　コンピュータを、
　所定のシステムへの第１の接続要求を示す第１の接続要求情報を移動体通信網を介して受信し、受信した前記第１の接続要求情報に含まれる送信元アドレスとして用いられる電話番号が認証データベースに記録されているか否かを判別する第１認証手段、
　前記第１認証手段により前記電話番号が前記認証データベースに記録されていると判別された場合にワンタイムパスワードを発行し、発行した前記ワンタイムパスワードを、前記電話番号と対応付けて前記認証データベースに記録するとともに前記電話番号または前記認証データベースにおいて前記電話番号に対応付けられて記録されたワンタイムパスワードの送信先アドレスに送信するワンタイムパスワード送信手段、
　所定のシステムへの第２の接続要求を示す第２の接続要求情報を所定の通信ネットワークを介して受信し、受信した前記第２の接続要求情報に含まれる前記ワンタイムパスワードが前記認証データベースに記録されているか否かを判別することにより前記第２の接続要求情報を送信した端末装置の認証処理を行い、認証した前記端末装置の前記所定のシステムへの接続を許可する第２認証手段、
　として機能させる。

　本発明によれば、簡易な構成により第三者のなりすましを防止することができる。

本発明の実施形態に係る認証装置を備えたシステムの構成を示す図である。認証装置の構成を示すブロック図である。認証ＤＢの構成例を示す図である。携帯電話から社内システムにアクセスする際の処理の概略を説明するための図である。携帯電話から社内システムにアクセスする際の処理について説明するためのフローチャートである。携帯電話から社内システムにアクセスする際の処理について説明するためのフローチャートである。ＰＣから社内システムにアクセスする際の処理の概略を説明するための図である。イントラネットを介して社内システムにアクセスする際の処理の概略を説明するための図である。イントラネットを介して社内システムにアクセスする際の処理について説明するためのフローチャートである。イントラネットを介して社内システムにアクセスする際の処理について説明するためのフローチャートである。ログイン画面の例を示した図である。

　以下、本発明の各実施形態について、図面を参照しながら詳細に説明する。なお、本発明は下記の実施形態及び図面によって限定されるものではない。本発明の要旨を変更しない範囲で下記の実施形態及び図面に変更を加えることが出来るのはもちろんである。また、図中同一または相当部分には同一符号を付す。

　本実施形態に係る認証装置は、所定の企業内に配置される。認証装置は、企業内システムに接続を要求する端末の認証を行う装置である。

　はじめに、図１を参照して、認証装置１０を備えたシステムの構成を説明する。認証システムにおいて、認証装置１０は、移動体通信網５０、又は、インターネット６０を介して、複数の携帯電話２０と互いに通信可能に接続される。また、認証装置１０は、インターネット６０、又は、イントラネット（社内ネットワーク）７０を介して、複数のＰＣ（Personal Computer）３０と互いに通信可能に接続される。また、認証装置１０は、専用回線などにより、社内システム（企業内サーバ）４０と互いに通信可能に接続される。また、認証装置１０と社内システム４０とは、所定の企業内に配置されている。

　各携帯電話２０は、企業に所属する各社員が所有する電話機である。各携帯電話２０は、通信部、記憶部、操作部、表示部、音声出力部（スピーカ）、音声入力部（マイク）、制御部等を備える。携帯電話２０は、これらの各部が協働することにより、ショートメッセージサービス（ＳＭＳ:Short Message Service）機能とは機能）やインターネット接続機能（Ｗｅｂアクセス機能）を実現する。携帯電話２０は、移動体通信網５０又はインターネット６０を介して、他の携帯電話２０との間で、ショートメッセージやデータを送受信する。

　なお、各携帯電話２０がショートメッセージ（ＳＭＳ）を送受信する際には、電話番号が送信元および送信先のアドレスとして用いられる。本実施形態では、認証装置１０もＳＭＳ機能を有している。ショートメッセージは、携帯電話２０と認証装置１０との間で送受信が可能である。例えば、携帯電話２０は、社内システム４０に接続するための接続要求を示すショートメッセージを認証装置１０に送信する。

　各ＰＣ３０は、通信部、記憶部、操作部、表示部、制御部等を備える一般的なコンピュータである。ＰＣ３０は、これらの各部が協働することにより、インターネット６０に接続する機能（Ｗｅｂアクセス機能）を実現する。
　各ＰＣ３０は、インターネット６０を介して、データを送受信する。また、企業内にＰＣ３０がある場合、ＰＣ３０は、ユーザにより指定された利用者ＩＤとパスワードを、イントラネット７０を介して、認証装置１０に送信する。

　認証装置１０は、企業内に配置されるサーバ等のコンピュータである。認証装置１０は、図２に示すように、通信部１１と、記憶部１２と、制御部１３と、上記各部を相互に接続するシステムバス１４とを備える。

　通信部１１は、ネットワークカード等を備える。通信部１１は、図１に示した移動体通信網５０、インターネット６０、および、イントラネット７０を介して、各携帯電話２０や各ＰＣ３０とデータの送受信を行う。また、通信部１１の備えるネットワークカードには固有の電話番号が設定されている。通信部１１は、設定された固有の電話番号を用いて、移動体通信網５０を介して、携帯電話２０との間でショートメッセージを送受信する。

　記憶部１２は、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、補助記憶装置等の記憶装置によって構成される。記憶部１２は、各種固定データ及び、各種プログラムを記憶する。また、記憶部１２は、制御部１３の作業領域も有する。また、記憶部１２は、認証ＤＢ１２１を備える。

　認証ＤＢ１２１は、接続を要求した携帯電話２０を認証するための各種の情報が記録されたデータベースである。認証ＤＢ１２１には、図３に示すように、認証対象の携帯電話２０毎に、電話番号と、利用者ＩＤと、暗証番号と、ＰＣメールアドレスと、ワンタイムパスワードと、ステータスと、ワンタイムパスワード発行時刻とが対応付けられて記録されている。

　電話番号は、携帯電話２０の電話番号である。電話番号は、一般的に改変できない。また、電話番号は、携帯電話２０毎に一意な番号が設定されている。

　利用者ＩＤは、イントラネット７０を介して認証装置１０に接続する際に用いられるログイン用のＩＤである。利用者ＩＤは、企業のシステム管理者等により、事前にユーザ（社員）毎に登録されている。

　暗証番号は、インターネット６０を介して認証装置１０に接続する際に用いられるログイン用の暗証番号である。
　暗証番号は、各ユーザ（社員）やシステム管理者等によって事前に登録される。なお、暗証番号は、数値に限定されず、記号やアルファベットなどであってもよい。

　ワンタイムパスワードは、認証装置１０が携帯電話２０から社内システム４０への接続要求を受けた際に、認証装置１０によって発行される認証用のパスワードである。
　なお、ワンタイムパスワードは、インターネット６０の利用時、利用する端末宛（携帯電話２０やＰＣ３０）にＵＲＬ（Uniform Resource Locator）に付与されて送信され、端末認証用に使用される。また、ワンタイムパスワードは、イントラネット７０の利用時、携帯電話２０に送信され、その後、イントラネット７０にアクセス可能なＰＣ３０から入力されて、本人認証用に使用される。
　なお、発行されたワンタイムパスワードは、２回目以降のその携帯電話２０やＰＣ３０の認証には利用することができないワンタイム値である。

　ＰＣメールアドレスは、ＰＣ３０がインターネット６０を介して利用するメールアドレスである。

　ステータスは、接続状態を示す情報である。ステータス「０」は、接続していない状態であることを示す。認証ＤＢ１２１内のステータスのデフォルトは「０」である。
　ステータス「１」は、インターネット６０接続又はイントラネット７０接続を待っている状態であることを示す。
　ステータス「２」は、認証済の状態であることを示す。
　また、ステータス「９」は、エラー状態であることを示す。暗証番号の不一致によるリトライ回数が規定回数に達した場合などに、状態「９」となる。なお、本実施形態では、携帯電話２０の状態は、通常、「０」?「１」?「２」の順で変化する。

　ワンタイムパスワード発行時刻は、ワンタイムパスワードを発行した時刻である。

　図２に戻り、制御部１３は、マイクロプロセッサユニット等から構成される。制御部１３は、記憶部１２に記録されているプログラムを実行することで、認証装置１０全体の動作（各部の動作）を制御する。

　制御部１３は、インターネット６０を介して社内システム４０に接続する接続要求を示すショートメッセージを携帯電話２０から受信すると、ワンタイムパスワードを発行して認証ＤＢ１２１に記憶する。制御部１３は、当該ワンタイムパスワードをＵＲＬに付与して対応する端末（当該携帯電話２０やＰＣ３０）に返信する。制御部１３は、そのＵＲＬを用いて、端末（携帯電話２０やＰＣ３０）を認証し、認証に成功した場合に、その端末の社内システム４０への接続を許可する。
　また、制御部１３は、イントラネット７０を介して社内システム４０に接続する接続要求を示すショートメッセージを携帯電話２０から受信すると、ワンタイムパスワードを発行して認証ＤＢ１２１に記憶する。制御部１３は、当該ワンタイムパスワードを当該携帯電話２０に返信する。制御部１３は、そのワンタイムパスワードを指定してイントラネット７０を介してアクセスしたＰＣ３０を認証し、認証に成功した場合に、そのＰＣ３０の社内システム４０への接続を許可する。
　なお、制御部１３の行う処理の詳細については後述する。

　図１に戻り、社内システム４０は、当該企業に関する各種の機密情報が記憶管理されているサーバや各種の記憶装置から構成されるシステムである。また、社内システム４０は、社員の携帯電話２０やＰＣ３０とは直接接続されていない。社内システム４０にアクセスしたい携帯電話２０やＰＣ３０は、認証装置１０による認証を受けた後、認証装置１０を介してアクセスする必要がある。

（携帯電話２０から社内システム４０にアクセス）
　次に、上記構成を備える認証装置１０の動作を説明する。
　始めに、図４を参照して、認証装置１０が、携帯電話２０の認証を行い、当該携帯電話２０に社内システム４０へのアクセスを許可するまでの処理を概略的に説明する。

　ユーザの操作に従って、携帯電話２０は、携帯電話２０からインターネット６０を介して社内システム４０に接続を要求するショートメッセージを、携帯電話網（移動体通信網）５０を介して、認証装置１０に送信する（ステップＳ１１）。
　認証装置１０は、携帯電話２０からショートメッセージを受信すると、ショートメッセージの送信元アドレスに設定されている電話番号に対応する電話番号が認証ＤＢ１２１にあるか否かを判別して、当該携帯電話２０を認証する（ステップＳ１２）。
　認証装置１０は、携帯電話２０の電話番号を用いた認証が成功すると、ワンタイムパスワードをパラメータに含んだ認証装置１０へアクセスするためのＵＲＬを作成する。認証装置１０は、作成したＵＲＬを、携帯電話網５０を介して、携帯電話２０に通知する（ステップＳ１３）。

　携帯電話２０は、ユーザの操作に従って、認証装置１０から通知されたＵＲＬ先（即ち、認証装置１０）に、インターネット６０を介してアクセスする（ステップＳ１４）。認証装置１０は、携帯電話２０からのアクセスがあると、ＵＲＬに含まれるワンタイムパスワードを用いて、携帯電話２０を認証（ＵＲＬ認証）する（ステップＳ１５）。

　認証装置１０によりＵＲＬ認証が完了すると、携帯電話２０は、ユーザの操作に従って、ユーザが入力した暗証番号を、インターネット６０を介して認証装置１０に送信する（ステップＳ１６）。認証装置１０は、携帯電話２０から受信した暗証番号を用いて、当該携帯電話２０のユーザを認証する（ステップＳ１７）。
　認証装置１０は、この認証が完了すると、携帯電話２０から社内システム４０へのアクセスを許可する（ステップＳ１８）。

　続いて、図５及び図６を参照して、上述の認証処理を詳細に説明する。

　携帯電話２０は、ユーザによるキーボタン等の操作に従って、当該携帯電話２０からインターネット６０を介して社内システム４０への接続を要求するショートメッセージ（接続要求ＳＭ）を作成する。接続要求ＳＭは、所定のフォーマット形式で作成される。例えば、携帯電話２０は、メッセージの先頭部分に接続要求ＳＭであることを示す符号を付したショートメッセージを接続要求ＳＭとして作成する。ユーザは、キーボタンを操作する等して、携帯電話２０が作成した接続要求ＳＭを認証装置１０に送信することを指示する。携帯電話２０は、この指示に応答して、作成した接続要求ＳＭを、移動体通信網５０を介して、認証装置１０に送信する（ステップＳ１０１）。なお、この接続要求ＳＭの送信元には、この携帯電話２０の電話番号が設定されている。また、送信先には、認証装置１０の電話番号が設定されている。

　認証装置１０の制御部１３は、移動体通信網５０を介して、携帯電話２０から接続要求ＳＭを受信すると（ステップＳ１０２）、接続要求ＳＭの送信元アドレスに設定されている電話番号を用いて、携帯電話２０の認証を行う。即ち、まず、制御部１３は、接続要求ＳＭの送信元アドレスに設定されている電話番号が、認証ＤＢ１２１に登録されているか否かを判別する（ステップＳ１０３）。

　電話番号が認証ＤＢ１２１に登録されていない場合（ステップＳ１０３；Ｎｏ）、その電話番号を有する携帯電話２０は社員の携帯電話２０ではないものと判断される。この場合、制御部１３は、エラーとして処理を終了する。

　電話番号が認証ＤＢ１２１に登録されている場合（ステップＳ１０３；Ｙｅｓ）、その電話番号を有する携帯電話２０は社員の携帯電話２０であると判断される。続いて、制御部１３は、その電話番号を有する認証ＤＢ１２１のレコードのステータスが非接続状態を示す「０」であるか否かを判別する（ステップＳ１０４）。ステータスが「０」以外である場合（ステップＳ１０４；Ｎｏ）、制御部１３は、エラーとして処理を終了する。

　ステータスが「０」である場合（ステップＳ１０４；Ｙｅｓ）、制御部１３は、ステータスを接続待ち状態であることを示す「１」に更新する（ステップＳ１０５）。

　続いて、制御部１３は、乱数などを発生させるなどしてワンタイムパスワードを作成する。制御部１３は、作成したワンタイムパスワードを、さきほどステータスを更新した認証ＤＢ１２１のレコードに記憶する（ステップＳ１０６）。また、制御部１３は、そのときの時刻を、認証ＤＢ１２１の当該レコードの応答時刻に記録する（ステップＳ１０７）。

　続いて、制御部１３は、インターネット６０を介して認証装置１０にアクセスするためのアドレス情報（例えば、ＵＲＬ（Uniform Resource Locator））を作成する（ステップＳ１０８）。なお、このＵＲＬには、認証装置１０へのアクセス用のＵＲＬ以外に、接続要求ＳＭの送信元アドレスに設定されている電話番号と、ステップＳ１０６で作成したワンタイムパスワードとがパラメータとして付与される。例えば、ステップＳ１０８の処理により、「http://www.aaa.com?x1=0904567865&x2=93445693」のようなＵＲＬが作成される。この例では、「http://www.aaa.com」は、認証装置１０へのアクセス用ＵＲＬ、パラメータｘ１に設定されている「0904567865」は電話番号、パラメータｘ２に設定されている「93445693」は発行されたワンタイムパスワードを示す。

　続いて、制御部１３は、作成したＵＲＬをメッセージ内容としたショートメッセージ（以下、ＵＲＬ通知ＳＭとする）を、移動体通信網５０を介して、接続要求ＳＭの送信元である携帯電話２０に送信（返信）する（ステップＳ１０９）。

　このように、認証装置１０は、携帯電話２０から社内システム４０に接続を要求するショートメッセージを受信すると、その送信元アドレスの携帯電話２０を一意に識別する電話番号を用いて、その携帯電話２０を認証する。携帯電話２０の認証に成功した場合、認証装置１０は、その電話番号を有する認証ＤＢ１２１のレコードのステータスを「１」に更新し、発行したワンタイムパスワードをＵＲＬに含めて携帯電話２０に送信する。

　携帯電話２０は、認証装置１０からＵＲＬ通知ＳＭを受信する（ステップＳ１１０）。携帯電話２０は、受信したＵＲＬ通知ＳＭのメッセージ内容（ＵＲＬ）をディスプレイ画面に表示する。その後、ユーザの操作に従って、携帯電話２０は、ブラウザを起動して、受信したＵＲＬ通知ＳＭに含まれるＵＲＬ先（即ち、認証装置１０）にインターネット６０を介してアクセスする（ステップＳ１１１）。
　なお、携帯電話２０は、ＵＲＬ通知ＳＭを受信した段階で処理を終了しても良い。携帯電話２０は、処理終了後、ユーザによる操作等に従って、ＵＲＬ通知ＳＭに含まれるＵＲＬ先にインターネット６０を介してアクセスしてもよい。

　認証装置１０の制御部１３は、インターネット６０を介して、携帯電話２０からのアクセスがあると、当該アクセスの際のＵＲＬを用いて、認証を行う。即ち、まず、制御部１３は、このＵＲＬから、ワンタイムパスワードと電話番号とを取得する（ステップＳ１１２）。なお、ＵＲＬから電話番号とワンタイムパスワードとを取得できない場合にはエラーとして処理を終了する。

　続いて、制御部１３は、ステップＳ１１２で取得した情報を用いて、接続要求ＳＭを送信して認証を与えた携帯電話２０からのアクセスであるか否かを判別する（ステップＳ１１３）。
　具体的には、制御部１３は、ステップＳ１１２で取得したワンタイムパスワードと電話番号とが対応付けられて記憶されているレコードが認証ＤＢ１２１に有り、且つ、そのレコードのステータスが接続待ち状態を示す「１」である場合に、認証を与えた携帯電話２０からのアクセスであると判別する。

　認証を与えた携帯電話２０以外からのアクセスであると判別した場合（ステップＳ１１３；Ｎｏ）、制御部１３は、エラーとして処理を終了させる。

　認証を与えた携帯電話２０からのアクセスであると判別した場合（ステップＳ１１３；Ｙｅｓ）、制御部１３は、この判別処理で利用したワンタイムパスワードを認証ＤＢ１２１から消去、又は無効化する（ステップＳ１１４）。この処理により、当該ワンタイムパスワードをパラメータに含むＵＲＬでの次回のアクセスは許可されず（即ち、ステップＳ１１３でＮｏと判別され）、エラーとなる。

　続いて、制御部１３は、ステップＳ１１３で記録したワンタイムパスワード発行時刻から現在までの経過時間が、所定時間以内（例えば３分以内）であるか否かを判別する（ステップＳ１１５）。
　制御部１３は、所定時間以内でないと判別した場合（ステップＳ１１５；Ｎｏ）、エラーとして処理を終了する。

　制御部１３は、所定時間以内であると判別した場合（ステップＳ１１５；Ｙｅｓ）、暗証番号入力用の所定の画面を表す画面データを、インターネット６０を介してアクセス元の携帯電話２０に送信（返信）する（ステップＳ１１６）。
　このように、認証装置１０は、携帯電話２０からインターネット６０を介したアクセスがあると、そのＵＲＬに含まれる情報を用いて認証を行う。

　携帯電話２０は、認証装置１０からインターネット６０を介して受信した画面データに従って、暗証番号入力用の画面を表示する（図６、ステップＳ１１７）。ユーザは、携帯電話２０のボタンを押下する等して、予め設定した暗証番号を携帯電話２０に入力して認証装置１０に送信させるための操作を行う。携帯電話２０は、入力された暗証番号を、インターネット６０を介して、認証装置１０に送信する（ステップＳ１１８）。

　認証装置１０の制御部１３は、インターネット６０を介して、携帯電話２０から暗証番号を受信すると（ステップＳ１１９）、暗証番号を用いたユーザ認証を行う。即ち、制御部１３は、認証ＤＢ１２１を参照して、携帯電話２０から受信した暗証番号が、認証を与えた携帯電話２０の暗証番号（即ち、ステップＳ１１２でＵＲＬから取得した電話番号が記憶されている認証ＤＢ１２１のレコードの暗証番号）と一致する否かを判別する（ステップＳ１２０）。

　暗証番号が一致しない場合（ステップＳ１２０；Ｎｏ）、本来の所用者ではないユーザからアクセスされている可能性が高い。この場合、制御部１３は、当該レコードのステータスを「９」に更新して、当該レコードに対応する携帯電話２０からのアクセスを禁止にして処理を終了する。
　なお、制御部１３は、暗証番号が一致しない場合、暗証番号の再入力（リトライ）を携帯電話２０のユーザに促しても良い。制御部１３は、再入力の回数が所定の設定値（例えば、３回）を超えた場合に、当該レコードのステータスを「９」に更新して、当該レコードに対応する携帯電話２０からのアクセスを禁止にして処理を終了してもよい。

　制御部１３は、暗証番号が一致する場合（ステップＳ１２０；Ｙｅｓ）、当該暗証番号を確認した認証ＤＢ１２１のレコードのステータスを、接続状態を示す「２」に更新する（ステップＳ１２１）。

　そして、制御部１３は、一連の認証処理を行ってきた携帯電話２０（即ち、ステップＳ１１１でＵＲＬを指定して接続してきた携帯電話２０）の社内システム４０へのアクセスを許可する（ステップＳ１２２）。以後は、この携帯電話２０は、認証装置１０を介して、社内システム４０に管理されている各種の情報やサービスの提供を受けることが可能となる。

　このように、本実施形態に係る認証装置１０は、（１）携帯電話２０から移動体通信網５０を介して送信されるショートメッセージを利用した端末認証、（２）端末認証後の携帯電話２０からインターネット６０を介して送信されるＵＲＬ情報（電話番号、ワンタイムパスワード）等を用いたＵＲＬ認証、及び、（３）ＵＲＬ認証後の携帯電話２０からインターネット６０を介して送信される暗証番号を用いたユーザ認証からなる三重の認証を実施して、社内システム４０へのアクセスを許可する。従って、従来よりも強固なセキュリティを保つことができ、なりすましを防ぐことができる。
　特に、上記（１）の機器認証では、パスワード等とは異なり人が改変できない情報である電話番号を用いて携帯電話２０を認証する。従って、本実施形態に係る認証装置１０は、認証ＤＢ１２１に未登録の携帯電話２０からの接続を完全に防止することができる。
　また、上記（２）のＵＲＬ認証では、接続時のＵＲＬに含まれる電話番号とワンタイムパスワード（都度のワンタイム情報）とが対応付けられている認証ＤＢ１２１のレコードがあることが確認される。第三者が認証装置１０にＵＲＬを指定してアクセスする際に、上記電話番号を不正に入手している可能性は考えられるが、それに対応するワンタイムパスワードはユーザの携帯電話２０に対してのみ認証装置１０から与えられるため、第三者が入手することはまずない。従って、第三者は、認証をパスする電話番号とワンタイムパスワードとの組を含んだＵＲＬで認証装置１０にアクセスすることはほとんど不可能である。また、上記（２）のＵＲＬ認証では、その後、確認したレコードの状態が「１」であることを確認する。ここで、認証ＤＢ１２１のステータスは、上記（１）の端末認証が完了した携帯電話２０に対してのみ「１」に更新される。従って、接続要求（接続要求ＳＭの送信）を受けた携帯電話２０以外の第三者の携帯電話２０等から、偶然正しいワンタイムパスワードを指定して、インターネット６０に接続をしても、そのステータスが「１」である可能性は低く、認証をパスすることは困難である。また、ワンタイムパスワードを発行してから所定時間を経過した場合は、正しいＵＲＬを用いたアクセスであっても、エラーとして処理されるため、より高いセキュリティを実現できる。
　このように、本実施形態に係る認証装置１０は、第三者のなりすましによる社内システム４０へのアクセスを防止することができる。

（ＰＣ３０から社内システム４０にアクセス）
　次に、図７を参照して、認証装置１０が、携帯電話２０の認証を行い、当該携帯電話２０以外の端末であるＰＣ３０に、インターネット６０を介して、社内システム４０へのアクセスを許可するまでの処理を概略的に説明する。

　ユーザの操作に従って、携帯電話２０は、ＰＣ３０からインターネット６０を介して社内システム４０への接続を要求するショートメッセージを、携帯電話網（移動体通信網）５０を介して、認証装置１０に送信する（ステップＳ２１）。認証装置１０は、携帯電話２０からショートメッセージを受信すると、ショートメッセージの送信元アドレスに設定されている電話番号を用いて、当該携帯電話２０を認証する（ステップＳ２２）。認証装置１０は、携帯電話２０の電話番号を用いた認証が成功すると、ワンタイムパスワードをパラメータに含んだ認証装置１０へアクセスするためのＵＲＬを作成する。また、認証装置１０は、認証ＤＢ１２１において、携帯電話２０から受信したショートメッセージの送信元アドレスの電話番号に対応付けられたＰＣメールアドレスを取得する。認証装置１０は、取得したＰＣメールアドレスを送信先に指定して作成したＵＲＬを、インターネット６０を介して、ＰＣ３０に通知する（ステップＳ２３）。

　以下は、携帯電話２０から社内システム４０にアクセスする場合と同様の処理を、ＰＣ３０から行えばよい。
　即ち、ＰＣ３０は、ユーザの操作に従って、認証装置１０から通知されたＵＲＬ先（即ち、認証装置１０）に、インターネット６０を介してアクセスする（ステップＳ２４）。認証装置１０は、ＰＣ３０からのアクセスがあると、ＵＲＬに含まれるワンタイムパスワードを用いて、ＰＣ３０を認証（ＵＲＬ認証）する（ステップＳ２５）。

　認証装置１０によりＵＲＬ認証が完了すると、ＰＣ３０は、ユーザの操作に従って、ユーザが入力した暗証番号を、インターネット６０を介して認証装置１０に送信する（ステップＳ２６）。認証装置１０は、ＰＣ３０から受信した暗証番号を用いて、当該ＰＣ３０のユーザを認証する（ステップＳ２７）。認証装置３０は、この認証が完了すると、ＰＣ３０から社内システム４０へのアクセスを許可する（ステップＳ２８）。

　このように、本実施形態に係る認証装置１０は、ショートメッセージを送信して認証を行った携帯電話２０とは異なる他の機器（ＰＣ３０）から、社内システム４０へのアクセスを許可することが可能となる。

（イントラネット７０を介して社内システム４０にアクセス）
　次に、図８を参照して、認証装置１０が、携帯電話２０の認証を行い、当該携帯電話２０以外の端末であるＰＣ３０が、イントラネット７０を介して、社内システム４０へのアクセスを許可するまでの処理を概略的に説明する。

　ユーザの操作に従って、携帯電話２０は、ＰＣ３０からイントラネット７０を介して社内システム４０への接続を要求するショートメッセージを、携帯電話網（移動体通信網）５０を介して、認証装置１０に送信する（ステップＳ３１）。認証装置１０は、携帯電話２０からショートメッセージを受信すると、ショートメッセージの送信元アドレスに設定されている電話番号に対応する電話番号が認証ＤＢ１２１にあるか否かを判別して、当該携帯電話２０を認証する（ステップＳ３２）。認証装置１０は、携帯電話２０の電話番号を用いた認証が成功すると、ワンタイムパスワードを作成する。認証装置１０は、作成したワンタイムパスワードを、携帯電話網（移動体通信網）５０を介して、携帯電話２０に通知する（ステップＳ３３）。

　企業内に配置されイントラネット７０に接続可能なＰＣ３０は、ユーザの操作に従って、認証装置１０が提供するサイトにログインする（ステップＳ３４）。ログインの際、ＰＣ３０は、ユーザの操作に従って、ユーザＩＤと、認証装置１０から携帯電話２０に通知されたワンタイムパスワードとを入力する。ＰＣ３０は、入力したユーザＩＤとワンタイムパスワードとを、イントラネット７０を介して、認証装置１０に送信する。

　認証装置１０は、ＰＣ３０からのイントラネット７０を介したアクセス（ログイン）があると、ログインの際に入力されたユーザＩＤとワンタイムパスワードとを用いて、ユーザ認証を行う（ステップＳ３５）。認証装置１０は、ユーザ認証が完了すると、ＰＣ３０から社内システム４０へのアクセスを許可する（ステップＳ３６）。

　続いて、図９及び図１０を参照して、上述の認証処理を詳細に説明する。なお、上述の図５及び図６に示した処理と同様の処理については、その説明を適宜に省略する。

　携帯電話２０は、ＰＣ３０からイントラネット７０を介して社内システム４０に接続を要求するショートメッセージ（接続要求ＳＭ）を作成し、作成した接続要求ＳＭを、移動体通信網５０を介して、認証装置１０に送信する（ステップＳ２０１）。

　認証装置１０の制御部１３は、携帯電話２０から接続要求ＳＭを受信し（ステップＳ２０２）、接続要求ＳＭの送信元アドレスに設定されている電話番号が、認証ＤＢ１２１に登録されているか否か（ステップＳ２０３）、電話番号に対応付けられたレコードのステータスが非接続状態を示す「０」であるか否か（ステップＳ２０４）を判別し、これらの判別結果にしたがって、ステータスを接続待ち状態であることを示す「１」に更新し（ステップＳ２０５）、ワンタイムパスワードの作成及び応答時刻の記録を行う（ステップＳ２０６、Ｓ２０７）。

　その後、制御部１３は、作成したワンタイムパスワードをメッセージ内容としたショートメッセージを、移動体通信網５０を介して、接続要求ＳＭの送信元である携帯電話２０に送信（返信）する（ステップＳ２０８）。

　携帯電話２０は、メッセージ内容がワンタイムパスワードのショートメッセージを、移動体通信網５０を介して、認証装置１０から受信する（ステップＳ２０９）。携帯電話２０は、受信したショートメッセージのメッセージ内容（ワンタイムパスワード）をディスプレイ画面に表示する（ステップＳ２１０）。以上で、携帯電話２０の処理は終了する。以上の一連の処理により、携帯電話２０のユーザは、ＰＣ３０からイントラネット７０を介して社内システム４０にアクセスするために必要なワンタイムパスワードを取得できる。

　その後、ユーザは、社内システム４０にアクセスするために、企業内に配置されているＰＣ３０を操作する。ユーザの操作に従って、ＰＣ３０は、イントラネット７０を介して、認証装置１０にアクセス（ログイン）する（図１０のステップＳ３０１）。
　具体的には、ＰＣ３０は、ユーザによるキーボードやマウス等の操作に従って、所定のイントラネット接続用のアプリケーションを起動する。ＰＣ３０は、当該アプリケーションの起動に従って、図１１に示すようなログイン画面を表示する。ユーザは、ＰＣ３０に表示されたログイン画面を確認して、キーボードやマウス等を用いて、自身の利用者ＩＤと、携帯電話２０が受信したショートメッセージに示されたワンタイムパスワードとをＰＣ３０に入力する。その後、ユーザの操作に従って、ＰＣ３０に表示されたログイン画面のログインボタンがクリック操作されると、ＰＣ３０は、そのクリック操作に応答して、入力された情報（利用者ＩＤ、ワンタイムパスワード）を、イントラネット７０を介して、認証装置１０に送信する。

　認証装置１０の制御部１３は、ＰＣ３０から利用者ＩＤとワンタイムパスワードとを受信する（ステップＳ３０２）。制御部１３は、認証ＤＢ１２１を参照して、ＰＣ３０から受信したこれらの情報に対応するレコードを特定する。そして、制御部１３は、上述の図６に示した処理と同様、レコードのステータスが接続待ち状態を示す「１」であるか否か（ステップＳ３０３）、ワンタイムパスワードの消去、又は無効化（ステップＳ３０４）、ワンタイムパスワード発行時刻から現在までの経過時間が、所定時間以内（例えば３分以内）であるか否か（ステップＳ３０５）を判別する。

　これらの判別結果に従って、制御部１３は、そのレコードのステータスを、接続状態を示す「２」に更新する（ステップＳ３０６）。そして、制御部１３は、当該ＰＣ３０の社内システム４０へのアクセスを許可する（ステップＳ３０７）。以後は、この企業内に配置されているＰＣ３０は、イントラネット７０と認証装置１０とを介して、社内システム４０に管理されている各種の情報やサービスの提供を受けることが可能となる。

　このように、本実施形態に係る認証装置１０は、（１）携帯電話２０から移動体通信網５０を介して送信されるショートメッセージを利用した端末認証と、（２）端末認証後のＰＣ３０からイントラネット７０を介して送信されるユーザＩＤとワンタイムパスワードとを用いたユーザ認証と、を行って、社内システム４０へのアクセスを許可する。ワンタイムパスワードはユーザの携帯電話２０にのみ送信される。そのため、第三者によってユーザＩＤが不正に入手されていたとしても、そのユーザＩＤに対応するワンタイムパスワードまで入手される可能性は低い。
　さらに、上記（２）のユーザ認証では、認証ＤＢ１２１のレコードのステータスが「１」でないとエラーとなる。従って、仮に、第三者がユーザＩＤとワンタイムパスワードとを正しく入力できたとしても、これに対応する認証ＤＢ１２１のレコードのステータスが「１」である可能性は低い。
　このように、本実施形態に係る認証装置１０は、ＰＣ３０からイントラネット７０を介した社内システム４０への第三者による不正アクセスを防止することができる。

　なお、上述した実施形態は、種々の変更および応用が可能である。
　例えば、携帯電話２０は、固定電話や、電話機能を有するコンピュータ、ショートメール送受信機能を備える通信カード付きのＰＣやＰＤＡ（Personal Digital Assistant）等であっても、本発明は適用可能である。
　また、図１において、認証装置１０は、企業内に配置されているが、これに限定されず、企業外に配置して共同で利用できるようにしてもよい。

　また、携帯電話２０からの接続要求をショートメッセージにより行っているが、ショートメッセージは、純粋なＳＭＳに限定されず、ＳＭＳを拡張したＥＭＳ（Enhanced Messaging Service）やＭＭＳ（Multimedia Messaging Service）等であってもよい。要するに、携帯電話２０固有の電話番号をアドレスとして送受信できるメッセージが、本発明のショートメッセージとなる。

　なお、本発明の認証装置１０は、専用のハードウェアに限られるものではなく、通常のコンピュータシステムによっても実現することができる。
　具体的には、上記実施形態では、認証装置１０のプログラムが、記憶部１２等に予め記録されたものとして説明した。しかし、上述の処理動作を実行させるためのプログラムを、フレキシブルディスク、ＣＤ－ＲＯＭ（Compact Disk Read-Only Memory）、ＤＶＤ（Digital Versatile Disk）、ＭＯ（Magneto-Optical disk）等のコンピュータが読み取り可能な記録媒体に格納して配布しても良い。記録媒体に記録されたプログラムをコンピュータにインストールすることにより、上述の処理を実行する認証装置１０として構成してもよい。

　また、上記実施形態では、企業内に設置された社内システム４０へのアクセスの認証を行う認証装置１０を例に説明したが、認証装置１０は、これに限定されない。認証装置１０は、例えば、所定のサービスを提供する会員向けシステムにおいて、各会員の当該システムへのアクセスの認証などにも、適用可能である。

　また、上記実施形態では、インターネット６０やイントラネット７０等のネットワークを用いているが、ネットワークは、ＬＡＮ（Local Area Network）やＷＡＮ（Wide Area Network）等でもよい。

　また、プログラムは、インターネット等の通信ネットワーク上のサーバ装置が有するディスク装置等に格納されても良い。また、プログラムは、例えば、搬送波に重畳させて、認証装置１０にダウンロード及びインストール等されてもよい。さらに、通信ネットワークを介して転送されるプログラムを認証装置１０が実行することによっても、上述の認証装置１０の処理を達成することができる。
　また、上述の機能を、ＯＳ（Operating System）が分担又はＯＳとアプリケーションの協働により実現する場合等には、ＯＳ以外の部分のみを媒体に格納して配布してもよく、また、コンピュータにダウンロード等してもよい。

　本願は、２０１０年１月８日に出願された日本国特許出願２０１０－００３１６９を基礎とする優先権を主張し、当該基礎出願の内容をすべて本願にとりこむものとする。

１０　　　認証装置
２０　　　携帯電話
３０　　　ＰＣ
４０　　　社内システム
５０　　　移動体通信網
６０　　　インターネット
７０　　　イントラネット

Claims

　電話番号が記録された認証データベースと、
　所定のシステムへの第１の接続要求を示す第１の接続要求情報を移動体通信網を介して受信し、受信した前記第１の接続要求情報に含まれる送信元アドレスとして用いられる電話番号が前記認証データベースに記録されているか否かを判別する第１認証手段と、
　前記第１認証手段により前記電話番号が前記認証データベースに記録されていると判別された場合にワンタイムパスワードを発行し、発行した前記ワンタイムパスワードを、前記電話番号と対応付けて前記認証データベースに記録するとともに前記電話番号または前記認証データベースにおいて前記電話番号に対応付けられて記録されたワンタイムパスワードの送信先アドレスに送信するワンタイムパスワード送信手段と、
　所定のシステムへの第２の接続要求を示す第２の接続要求情報を所定の通信ネットワークを介して受信し、受信した前記第２の接続要求情報に含まれる前記ワンタイムパスワードが前記認証データベースに記録されているか否かを判別することにより前記第２の接続要求情報を送信した端末装置の認証処理を行い、認証した前記端末装置の前記所定のシステムへの接続を許可する第２認証手段と、
　を備えることを特徴とする認証装置。
　前記認証データベースには、前記電話番号とユーザ認証用の情報とが対応付けられて記録され、
　前記第２の接続要求情報は、前記ユーザ認証用の情報を含み、
　前記第２認証手段は、前記受信した前記第２の接続要求情報に含まれる前記ユーザ認証用の情報と前記ワンタイムパスワードとが前記認証データベースに対応付けられて記録されているか否かを判別することにより前記第２の接続要求情報を送信した端末装置の認証処理を行う、
　ことを特徴とする請求項１に記載の認証装置。
　前記所定の通信ネットワークはインターネットであり、
　前記第２の接続要求情報は、前記インターネットを介して自身の装置に接続するためのアクセス情報であり、
　前記ワンタイムパスワード送信手段は、前記発行したワンタイムパスワードを含んだ前記アクセス情報を作成し、作成した前記アクセス情報を前記電話番号または前記認証データベースにおいて前記電話番号に対応付けられて記録されたワンタイムパスワードの送信先アドレスに送信し、
　前記第２認証手段は、前記アクセス情報をインターネットを介して受信し、受信した前記アクセス情報に含まれる前記ワンタイムパスワードが前記認証データベースに記録されているか否かを判別することにより前記アクセス情報を送信した端末装置の認証処理を行う、
　ことを特徴とする請求項１または２に記載の認証装置。
　前記ワンタイムパスワード送信手段は、前記発行したワンタイムパスワードと前記電話番号とを含んだ前記アクセス情報を作成し、作成した前記アクセス情報を前記電話番号または前記認証データベースにおいて前記電話番号に対応付けられて記録されたワンタイムパスワードの送信先アドレスに送信し、
　前記第２認証手段は、前記アクセス情報をインターネットを介して受信し、受信した前記アクセス情報に含まれる前記電話番号と前記ワンタイムパスワードとが対応付けられて前記認証データベースに記録されているか否かを判別することにより前記アクセス情報を送信した端末装置の認証処理を行う、
　ことを特徴とする請求項３に記載の認証装置。
　前記所定のネットワークはイントラネットであり、
　前記第２認証手段は、前記第２の接続要求情報をイントラネットを介して受信し、受信した前記第２の接続要求情報に含まれる前記ワンタイムパスワードが前記認証データベースに記録されているか否かを判別することにより前記第２の接続要求情報を送信した端末装置の認証処理を行う、
　ことを特徴とする請求項１または２に記載の認証装置。
　前記認証データベースには、前記端末装置の認証状態を示すステータス情報が前記電話番号と対応付けられて記録され、
　前記ワンタイムパスワード送信手段は、前記第１認証手段により前記電話番号が前記認証データベースに記録されていると判別された場合に、前記電話番号に対応付けられて記録された前記ステータス情報を更新し、更新した前記ステータス情報を前記電話番号及び前記ワンタイムパスワードと対応付けて前記認証データベースに記録し、
　前記第２認証手段は、受信した前記第２の接続要求情報に含まれる前記ワンタイムパスワードが前記認証データベースに記録されているか否かを判別する際、前記ワンタイムパスワードに対応付けられた前記ステータス情報が更新されたものであるか否かを判別し、前記ステータス情報が更新されたものでないと判別した場合に、前記端末装置の前記所定のシステムへの接続を許可しない、
　ことを特徴とする、請求項１乃至５の何れか１項に記載の認証装置。
　前記第２認証手段は、前記ワンタイムパスワード送信手段が前記発行したワンタイムパスワードを送信してから所定時間内に、該ワンタイムパスワードを含む前記第２の接続要求情報を受信しない場合に、前記端末装置の前記所定のシステムへの接続を許可しない、
　ことを特徴とする請求項１乃至６の何れか１項に記載の認証装置。
　所定のシステムへの第１の接続要求を示す第１の接続要求情報を移動体通信網を介して受信し、受信した前記第１の接続要求情報に含まれる送信元アドレスとして用いられる電話番号が認証データベースに記録されているか否かを判別する第１認証ステップと、
　前記第１認証ステップにより前記電話番号が前記認証データベースに記録されていると判別された場合にワンタイムパスワードを発行し、発行した前記ワンタイムパスワードを、前記電話番号と対応付けて前記認証データベースに記録するとともに前記電話番号または前記認証データベースにおいて前記電話番号に対応付けられて記録されたワンタイムパスワードの送信先アドレスに送信するワンタイムパスワード送信ステップと、
　所定のシステムへの第２の接続要求を示す第２の接続要求情報を所定の通信ネットワークを介して受信し、受信した前記第２の接続要求情報に含まれる前記ワンタイムパスワードが前記認証データベースに記録されているか否かを判別することにより前記第２の接続要求情報を送信した端末装置の認証処理を行い、認証した前記端末装置の前記所定のシステムへの接続を許可する第２認証ステップと、
　を備えることを特徴とする認証方法。
　コンピュータを、
　所定のシステムへの第１の接続要求を示す第１の接続要求情報を移動体通信網を介して受信し、受信した前記第１の接続要求情報に含まれる送信元アドレスとして用いられる電話番号が認証データベースに記録されているか否かを判別する第１認証手段、
　前記第１認証手段により前記電話番号が前記認証データベースに記録されていると判別された場合にワンタイムパスワードを発行し、発行した前記ワンタイムパスワードを、前記電話番号と対応付けて前記認証データベースに記録するとともに前記電話番号または前記認証データベースにおいて前記電話番号に対応付けられて記録されたワンタイムパスワードの送信先アドレスに送信するワンタイムパスワード送信手段、
　所定のシステムへの第２の接続要求を示す第２の接続要求情報を所定の通信ネットワークを介して受信し、受信した前記第２の接続要求情報に含まれる前記ワンタイムパスワードが前記認証データベースに記録されているか否かを判別することにより前記第２の接続要求情報を送信した端末装置の認証処理を行い、認証した前記端末装置の前記所定のシステムへの接続を許可する第２認証手段、
　として機能させるためのプログラム。