アカウント管理方法及びシステム
【課題】より安全性・利便性の高い方法でパスワードの自動更新と複数ID・パスワードの統合を実現する。
【解決手段】アカウントサーバはユーザの新しいパスワードPn+1を生成し、新しいパスワードPn+1と現在のパスワードPnと第2の関数Gを用いてΔPn+1を算出し、Pn+1を現在のパスワードとして登録し、ΔPn+1を同期サーバへ送信する。同期サーバはアカウントサーバから受信したΔPn+1と現在の同期データSnと第3の関数Hを用いて新しい同期データSn+1を算出し、Sn+1を現在の同期データとして登録する。クライアント端末は同期サーバから現在の同期データSn+1を取得し、ユーザによって入力されるメインパスワードMと同期データSn+1と第1の関数Fを用いて現在のパスワードPn+1を算出する。
【解決手段】アカウントサーバはユーザの新しいパスワードPn+1を生成し、新しいパスワードPn+1と現在のパスワードPnと第2の関数Gを用いてΔPn+1を算出し、Pn+1を現在のパスワードとして登録し、ΔPn+1を同期サーバへ送信する。同期サーバはアカウントサーバから受信したΔPn+1と現在の同期データSnと第3の関数Hを用いて新しい同期データSn+1を算出し、Sn+1を現在の同期データとして登録する。クライアント端末は同期サーバから現在の同期データSn+1を取得し、ユーザによって入力されるメインパスワードMと同期データSn+1と第1の関数Fを用いて現在のパスワードPn+1を算出する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク上でサービスを提供するサービス提供者に登録されたパスワードを、サービス提供者側主導で自動的に更新可能とし、また、同一ユーザがID・パスワードの組を複数のサービス提供者に登録している状態においても、ユーザは一組のID・パスワードの入力で複数のサービス提供者にログイン可能とするアカウント管理方法及びシステムに関する。
【背景技術】
【0002】
サービス提供者は、ネットワーク上でそのサービスを提供するにあたり、ユーザに対してID・パスワードの組を付与することがある。しかし、同一ユーザが複数のサービス提供者からID・パスワードの組を付与された場合、ID・パスワードの形式がサービス提供者それぞれ独自の形式に依存していることもあり、それら複数のID・パスワードの値が全く同一の値になる可能性は極めて低く、ユーザがその値を変更可能な場合でも、同一のID・パスワードの組を複数の独立したサービス提供者に登録することはセキュリティー上の問題を含むため、結局、ユーザが複数の異なるID・パスワードの組をそれぞれ記憶・保管・更新等しなければならない場合が多かった。
【0003】
この様な従来からのアカウント管理の構造は、ユーザがID・パスワードをメモに書き残したり、パスワードの更新に遅滞を来したりするなどの望ましくない行為を生み易く、セキュリティー上の問題が引き起こされる原因の一つともなっている。
【0004】
上述した様なユーザの抱える煩わしい管理作業や、サービス提供者の抱えるセキュリティー上の問題を解決するための手段として、例えば、特許第3430896号公報に開示されている方法がある。特許第3430896号公報に開示されている方法は、端末に複数のパスワードを記憶し、ユーザが1つの絶対パスワードを用いて複数のWebサーバに接続可能とする方法であり、且つ、パスワードを自動的に更新可能とする方法である。
【特許文献1】特許第3430896号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、特許第3430896号公報に開示されている方法では、重要なパスワードデータを端末に常時記憶する必要があり安全性に問題がある。また、ユーザが複数の異なる端末を使用する状況では、記憶されたパスワードデータを端末間で移動させる必要があり不便である。さらには、端末が長期間、停止状態または未接続の状態にあると、パスワードはその間更新されないという問題点がある。仮に、この方法を常時稼動状態にある代理サーバに移植した場合でも、重要なパスワードデータを常時記憶する必要があることには変わりなく、さらに、この代理サーバの管理を第三者に委託する場合においては、代理サーバの管理者がパスワードを容易に読み取れてしまうという問題点もある。
【0006】
本発明は、上述のような問題点を解決するためになされたものであり、本発明の目的は、より安全性・利便性の高い、パスワードの自動更新とID・パスワードの統合を可能とするアカウント管理方法及びシステムを提供することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明第1のアカウント管理方法は、相互にアクセス可能なネットワーク上に設置された、1又は複数のサービスサイトのアカウントサーバと、同期サーバと、1又は複数のクライアント端末と、からなり、前記アカウントサーバが任意のタイミングで更新するユーザのパスワードを該ユーザと同期する為に前記同期サーバを用いるアカウント管理システムにおいて、nを任意の自然数、前記アカウントサーバが管理する該ユーザのn回目のパスワードをPn、n+1回目のパスワードをPn+1、前記同期サーバが管理する該ユーザの該アカウントサーバにおけるn回目の同期データをSn、n+1回目の同期データをSn+1、該ユーザが前記クライアント端末に入力するメインパスワードをM、とし、Pn=F(M、Sn)、ΔPn+1=G(Pn+1、Pn)、Sn+1=H(ΔPn+1、Sn)、Pn+1=F(M、Sn+1)、を満たす関数F、G、Hを順に第1の関数、第2の関数、第3の関数とすると、前記アカウントサーバが、任意のパスワードPn+1を生成・登録する処理と、該パスワードPn+1と前記パスワードPnと前記第2の関数とを用いて前記ΔPn+1を算出する処理と、前記算出されたΔPn+1を前記同期サーバへ送信する処理と、を実行し、前記同期サーバが、前記アカウントサーバより受信した前記ΔPn+1と前記同期データSnと前記第3の関数とを用いて前記同期データSn+1を算出・登録する処理と、前記クライアント端末の要求により前記同期データSn+1を前記クライアント端末へ送信する処理と、を実行し、前記クライアント端末が、前記同期サーバに前記同期データを要求する処理と、前記同期サーバから受信した前記同期データと前記メインパスワードと前記第1の関数とを用いて前記パスワードを算出する処理と、を実行する、ことを特徴とする。
【0008】
本発明第2のアカウント管理方法は、第1の本発明の方法において、前記同期サーバは更に、前記ユーザの前記サービスサイトに対応する1又は複数のパラメータを管理しており、前記同期サーバが、前記クライアント端末の要求により前記パラメータを前記クライアント端末へ送信する処理を更に実行し、前記クライアント端末が、前記同期サーバに前記同期データと前記パラメータとを要求する処理と、前記同期サーバから受信した前記パラメータと前記メインパスワードと一方向性関数とを用いて変換メインパスワードを作成する処理と、前記変換メインパスワードと前記同期サーバから受信した前記同期データと前記第1の関数とを用いて前記パスワードを算出する処理と、を実行する、ことを特徴とする。
【0009】
本発明第3のアカウント管理方法は、第1または第2の本発明の方法において、前記同期サーバは更に、前記ユーザの認証パスワードを管理しており、前記同期サーバが、前記クライアント端末から受信する前記認証パスワードを用いて前記ユーザを認証する処理を更に実行し、前記クライアント端末が、前記ユーザによって入力される前記認証パスワードを前記同期サーバへ送信する処理を更に実行する、ことを特徴とする。
【0010】
本発明第4のアカウント管理方法は、第1から第3の本発明の方法において、前記同期サーバは更に、前記ユーザの1又は複数のEメールアドレスを管理しており、前記同期サーバが、前記クライアント端末より前記ユーザの情報を要求された場合に、該ユーザのEメールアドレスにEメールを送信する処理を更に実行する、ことを特徴とする。
【0011】
本発明第5のアカウント管理システムは、相互にアクセス可能なネットワーク上に設置された、1又は複数のサービスサイトのアカウントサーバと、同期サーバと、1又は複数のクライアント端末と、からなり、前記アカウントサーバが任意のタイミングで更新するユーザのパスワードを該ユーザと同期する為に前記同期サーバを用いるアカウント管理システムであって、nを任意の自然数、前記アカウントサーバが管理する該ユーザのn回目のパスワードをPn、n+1回目のパスワードをPn+1、前記同期サーバが管理する該ユーザの該アカウントサーバにおけるn回目の同期データをSn、n+1回目の同期データをSn+1、該ユーザが前記クライアント端末に入力するメインパスワードをM、とし、Pn=F(M、Sn)、ΔPn+1=G(Pn+1、Pn)、Sn+1=H(ΔPn+1、Sn)、Pn+1=F(M、Sn+1)、を満たす関数F、G、Hを順に第1の関数、第2の関数、第3の関数とすると、前記アカウントサーバは、任意のパスワードPn+1を生成・登録する手段と、該パスワードPn+1と前記パスワードPnと前記第2の関数とを用いて前記ΔPn+1を算出する手段と、前記算出されたΔPn+1を前記同期サーバへ送信する手段と、を備え、前記同期サーバは、前記アカウントサーバより受信した前記ΔPn+1と前記同期データSnと前記第3の関数とを用いて前記同期データSn+1を算出・登録する手段と、前記クライアント端末の要求により前記同期データSn+1を前記クライアント端末へ送信する手段と、を備え、前記クライアント端末は、前記同期サーバに前記同期データを要求する手段と、前記同期サーバから受信した前記同期データと前記メインパスワードと前記第1の関数とを用いて前記パスワードを算出する手段と、を備える、ことを特徴とする。
【0012】
本発明第6のアカウント管理システムは、第5の本発明のシステムにおいて、前記同期サーバは更に、前記ユーザの前記サービスサイトに対応する1又は複数のパラメータを管理しており、前記同期サーバは、前記クライアント端末の要求により前記パラメータを前記クライアント端末へ送信する手段を更に備え、前記クライアント端末は、前記同期サーバに前記同期データと前記パラメータとを要求する手段と、前記同期サーバから受信した前記パラメータと前記メインパスワードと一方向性関数とを用いて変換メインパスワードを作成する手段と、前記変換メインパスワードと前記同期サーバから受信した前記同期データと前記第1の関数とを用いて前記パスワードを算出する手段と、を備える、ことを特徴とする。
【0013】
本発明第7のアカウント管理システムは、第5または第6の本発明のシステムにおいて、前記同期サーバは更に、前記ユーザの認証パスワードを管理しており、前記同期サーバは、前記クライアント端末から受信する前記認証パスワードを用いて前記ユーザを認証する手段を更に備え、前記クライアント端末は、前記ユーザによって入力される前記認証パスワードを前記同期サーバへ送信する手段を更に備える、ことを特徴とする。
【0014】
本発明第8のアカウント管理システムは、第5から第7の本発明のシステムにおいて、前記同期サーバは更に、前記ユーザの1又は複数のEメールアドレスを管理しており、前記同期サーバは、前記クライアント端末より前記ユーザの情報を要求された場合に、該ユーザのEメールアドレスにEメールを送信する手段を更に備える、ことを特徴とする。
【発明の効果】
【0015】
以上説明したように本発明によれば、より安全性・利便性の高い、パスワードの自動更新とID・パスワードの統合が可能となる。
【発明を実施するための最良の形態】
【0016】
以下、本発明を実施するための最良の形態を、図面を用いて説明する。
【0017】
図1は、本発明におけるアカウント管理システムの一実施例を示すブロック図である。
【0018】
このブロック図は、サービスサイトのアカウントサーバ、同期サーバ、クライアント端末が、相互にアクセス可能なネットワーク上に設置され、ユーザがクライアント端末を操作していることを示すものである。ここで言うサービスサイトとは、ネットワーク上で利用者にサービスを提供するにあたって、そのサービスサイトに予め登録されているユーザID、店舗番号・口座番号、利用者番号等のユーザ識別子(以降、ユーザIDをこの意味で用いる)と、パスワード、パスフレーズ、暗証番号等の秘密データ(以降、パスワードをこの意味で用いる)との組を利用者からネットワークを介して受信することを必要とするサービス提供者であり、さらに同期サーバにサービスサイト用のアカウントを登録しているサービス提供者を意味する。アカウントサーバとは、そのサービスサイトに登録している利用者のうち、一人以上の利用者のパスワードを更新する権限・手段を有しているサーバであり、さらに同期サーバに保存されている利用者のデータを更新する権限・手段を有しているサーバである。ユーザとは、サービスサイトにアカウントを登録している利用者であり、且つ、同期サーバにもユーザ用のアカウントを登録していて、さらにアカウントサーバに対して自身のパスワードを更新する権限と、同期サーバ内のデータを更新する権限とを付与した利用者である。クライアント端末は、基本的に文字入力装置・ディスプレイ表示装置・演算処理機構を備えていてネットワークに繋がるものであればどの様な形態のものでもよいが、ICカード、磁気カード、フロッピー(登録商標)ディスク等の可搬型記憶媒体を読み取る装置を備えていれば更に良い。例えば、パーソナルコンピューター、携帯電話・PDA等の携帯端末、キャッシュディスペンサー等の専用端末などである。ネットワークは専用線、LAN、インターネット、無線ネットワーク等のうち、何れかのみ、または複数の組み合わせで構成されたネットワークであり、通信データが暗号化されていると更に良い。アカウントサーバ、同期サーバ、クライアント端末はこのネットワークを介して相互のデータ通信を行なっている。なお、サービスサイト、アカウントサーバ、クライアント端末、ユーザは、一つの同期サーバに対して複数存在して構わない。
【0019】
図2は、アカウントサーバの記憶データの一例を示す図である。
【0020】
テーブル101に記されているUIDはユーザIDを、Pnはn回目の(現在の)パスワードを、またテーブル102に記されているSIDはサイトIDを、SPはサイトパスワードをそれぞれ意味している(以降、符号を説明した場合、その符号の意味は本説明全体にわたって共通である)。テーブル101にはユーザのユーザIDとパスワードが複数記憶されていて、テーブル102にはこのサービスサイト用のサイトIDとサイトパスワードが一組のみ記憶されている。なお、テーブル101とテーブル102には、それらのデータ以外にも最終更新日時や更新フラグなど管理用のデータを追加してもよい。また、これらのデータの記憶場所はアカウントサーバから読み書き可能であれば別のノード内にあってもよい。
【0021】
図3は、同期サーバの記憶データの一例を示す図である。
【0022】
テーブル201に記されているSIDはサイトIDを、SPはサイトパスワードを、またテーブル202に記されているMIDはメインIDを、SIDはサイトIDを、UIDはユーザIDを、Snはn回目の(現在の)同期データをそれぞれ意味している。テーブル201には、図2のテーブル102に記憶されたサイトIDとサイトパスワードの組がサービスサイトごとに複数記憶されていて、テーブル202には、同期サーバを使用するユーザの識別子であるメインIDと、ユーザが利用するサービスサイトのサイトIDと、そのサービスサイト用のユーザIDと、そのユーザID用の現在のパスワードを入手する為に用いる同期データ、とが複数記憶されている。テーブル202が示すように、一つのメインIDに対してサイトID・ユーザID・同期データの組を複数記憶することが可能で、これによりユーザが所持する複数のユーザID・パスワードの組を一つのメインIDの元にまとめている。サイトIDに関して、テーブル202のサイトIDは、テーブル201と図2のテーブル102のサイトIDと同じデータ(これは後述するアカウントサーバ・同期サーバ間の認証に使われる)を共有しているが、セキュリティー上の理由からテーブル202のサイトIDに別のデータを割り当てて、テーブル201と図2のテーブル102にそのデータ用の列を追加してもよい。また、テーブル201とテーブル202には、それらのデータ以外にも最終更新日時や更新フラグなど管理用のデータを追加してもよい。
【0023】
次に、図4を用いてアカウント管理システムの中心となる処理を説明する。図4は、本発明の中心となる処理を示す概念図である。
【0024】
まず、クライアント端末300は同期サーバ200から現在の同期データSnを取得し(P1)、ユーザによって入力されるメインパスワードMと同期データSnと第1の関数Fとを用いて現在のパスワードPnを算出し(P2)、パスワードPnを用いて認証を行う(P3)。一方、アカウントサーバ100はユーザの新しいパスワードPn+1を生成し、新しいパスワードPn+1と現在のパスワードPnと第2の関数Gとを用いてΔPn+1を算出し、Pn+1を現在のパスワードとして登録し(P4)、ΔPn+1を同期サーバ200へ送信する(P5)。同期サーバ200はアカウントサーバ100から受信したΔPn+1と現在の同期データSnと第3の関数Hとを用いて新しい同期データSn+1を算出し、Sn+1を現在の同期データとして登録する(P6)。クライアント端末300は同期サーバ200から現在の同期データSn+1を取得し(P7)、ユーザによって入力されるメインパスワードMと同期データSn+1と第1の関数Fとを用いて現在のパスワードPn+1を算出し(P8)、パスワードPn+1を用いて認証を行う(P9)。
【0025】
新しいパスワードPn+1の生成には任意の方法を用いて構わないが、乱数を用いて生成するとよい。なお、初回のパスワードP1と同期データS1とメインパスワードMは第1の関数Fを満たすよう予め設定されている。
【0026】
また、第1の関数Fと第2の関数Gと第3の関数Hは上述の性質を持った任意の関数であり、各々の関数の構成が他の関数の構成と同一であるか否かを問わない。例えば、第2の関数Gが第1の関数Fと同一の構成である場合をF−F−H型、第3の関数Hが第1の関数Fと同一の構成である場合をF−G−F型、第2の関数Gおよび第3の関数Hが第1の関数Fと同一の構成である場合をF−F−F型、第3の関数Hが第2の関数Gと同一の構成である場合をF−G−G型、とし、関数の第1の変数をV1、第2の変数をV2、とすると、F−F−H型における関数Fの構成としてV1−V2、関数Hの構成として−V1+V2、F−G−F型における関数Fの構成としてV1+V2、関数Gの構成としてV1−V2、F−F−F型における関数Fの構成としてV1(+)V2、F−G−G型における関数Fの構成としてV1+V2、関数Gの構成として−V1+V2、等の組み合わせが挙げられる。なお、上記の記号(+)は排他的論理和を示している。また、第1の関数Fと第2の関数Gと第3の関数Hが各々異なる構成である場合をF−G−H型とすると、F−G−H型における関数Fの構成としてV1−V2、関数Gの構成として−V1+V2、関数Hの構成としてV1+V2、等の組み合わせが挙げられる。また、n回目の関数Fとn+1回目の関数Fとで定数を変形させる等の方法を用いた場合でも両者の構成は同一であるとし、両者を関数Fとする(図5を参照)。
【0027】
図6は、本発明における第1のアカウント管理方法の一処理例を示す図である。
【0028】
ユーザが任意のサービスサイトに登録されている自身のユーザIDとパスワードを知る為には、まずそのサービスサイトのサイトIDを何らかの方法で知る必要がある。その方法としては、同期サーバが選択メニューをクライアント端末に送信する方法、可搬型記憶媒体に記憶する方法、WEBページを利用する場合などではサービスサイトのWEBページから同期サーバのページへのリンクに埋め込む方法、などが考えられる。サイトIDを取得できるのであれば何れの方法を用いてもよい。ユーザの操作するクライアント端末がサイトIDを取得すると、その取得したサイトIDとユーザによって入力されるメインIDを同期サーバへ送信し同期データを要求する(A1)。同期サーバは、受信したメインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSnを取得し、そのユーザID・同期データをクライアント端末へ送信する(A2)。クライアント端末は、同期サーバからユーザID・同期データを受信すると、ユーザによって入力されるメインパスワードと同期データと第1の関数を用いて現在のパスワードPnを算出し(A3)、アカウントサーバへユーザIDとパスワードを送信する(A4)。アカウントサーバは、クライアント端末からユーザIDとパスワードを受信しユーザの認証を終えると(A5)、乱数を生成して新しいパスワードを作成し(A6)、新しいパスワードと現在のパスワードと第2の関数Gとを用いてΔPn+1を算出する(A7)。その後、算出されたΔPn+1とユーザIDと図2のテーブル102のサイトIDとサイトパスワードとを同期サーバへ送信し(A8)、新しいパスワードを現在のパスワードとして登録する(A9)。同期サーバは、アカウントサーバからサイトIDとサイトパスワードを受信しサイトの認証を終えると(A10)、ユーザIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用の現在の同期データを取得し、ΔPn+1と現在の同期データと第3の関数とを用いて新しい同期データを算出し(A11)、新しい同期データを現在の同期データとして登録する(A12)。その後再び、クライアント端末がサイトIDとメインIDを同期サーバへ送信し同期データを要求すると(A13)、同期サーバは、受信したメインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSn+1を取得し、そのユーザID・同期データをクライアント端末へ送信する(A14)。クライアント端末は、同期サーバからユーザID・同期データを受信すると、ユーザによって入力されるメインパスワードと同期データと第1の関数を用いて現在のパスワードPn+1を算出し(A15)、アカウントサーバへユーザIDとパスワードを送信する(A16)。アカウントサーバは、クライアント端末からユーザIDとパスワードを受信しユーザの認証を行う(A17)。
【0029】
この方法を用いるアカウント管理方法では、パスワードがアカウントサーバ・同期サーバ間通信および同期サーバ・クライアント端末間通信で流れない。また、パスワードをクライアント端末・同期サーバに記憶する必要も無い。ΔPn+1・Sn・Sn+1については、それらのみを用いてパスワード・メインパスワードは算出できない。また、メインパスワードをネットワーク上へ送信する必要は無く、アカウントサーバ・同期サーバ・クライアント端末に記憶する必要も無い。このため、同期サーバを含む第三者がパスワードを不正に知る方法は、通常行なわれているクライアント端末・サービスサイト間通信からパスワードを不正に知る方法と等しくなる。この条件の下で、サービスサイト主導のパスワード更新機能と、複数ID・パスワードの統合機能とが実現されるため、利便性・安全性向上の点で有益である。
【0030】
図7は、本発明における第2のアカウント管理方法の一処理例を示す図である。
【0031】
クライアント端末は、サイトIDとユーザによって入力されるメインIDを同期サーバへ送信し同期データを要求する(B1)。同期サーバは、受信したメインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSnとm個のパラメータPr[s1]〜Pr[sm]とを取得し、そのユーザID・同期データ・パラメータをクライアント端末へ送信する(B2)。クライアント端末は、同期サーバからユーザID・同期データ・パラメータを受信すると、ユーザによって入力されるメインパスワードとパラメータと一方向性関数Oとを用いて変換パスワードTPを算出し(B3)、変換パスワードと同期データと第1の関数とを用いて現在のパスワードPnを算出し(B4)、アカウントサーバへユーザIDとパスワードを送信する(B5)。その後、図6のステップA5からA12と同様の処理を行い、クライアント端末が再びサイトIDとメインIDを同期サーバへ送信し同期データを要求すると(B6)、同期サーバは、受信したメインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSn+1とm個のパラメータPr[s1]〜Pr[sm]とを取得し、そのユーザID・同期データ・パラメータをクライアント端末へ送信する(B7)。クライアント端末は、同期サーバからユーザID・同期データ・パラメータを受信すると、ユーザによって入力されるメインパスワードとパラメータと一方向性関数Oとを用いて変換パスワードTPを算出し(B8)、変換パスワードと同期データと第1の関数とを用いて現在のパスワードPn+1を算出し(B9)、アカウントサーバへユーザIDとパスワードを送信する(B10)。
【0032】
上述したパラメータの値としては乱数を用いるとよい。また、同一ユーザが複数のサービスサイトを登録する場合、少なくともそのサービスサイトの数だけパラメータを割り当てることになるが、それぞれのパラメータには互いに異なる値を持たせるとよい。
【0033】
一方向性関数Oの構成はどの様なものでも構わない。例えば、メインパスワードと第1のパラメータとを連結した値をSHA−1の入力値としてハッシュ値を算出し、そのハッシュ値と第2のパラメータとを排他的論理和し、その排他的論理和された値をSHA−1の入力値として更にハッシュ値を算出する計算を一定回数繰り返す、という様な構成でもよい。この場合、最終的に算出されたハッシュ値が変換メインパスワードになる。また、共通鍵暗号方式を応用して一方向性関数Oを構成しても構わない。例えば、第1のパラメータを暗号文とし、メインパスワードと第2のパラメータとを連結した値を共通鍵として、この共通鍵を用いてDESにより暗号文を復号する、という様な構成でもよい。この場合、復号された平文が変換メインパスワードになる。
【0034】
この方法を用いるアカウント管理方法は、第1の方法の利点に加え、複数のサービスサイトのアカウントを管理する場合に、たとえ悪意のあるサービスサイトが存在しても、変換メインパスワードは目的とするサービスサイトごとに異なる値であり、また変換メインパスワードの算出に一方向性関数を使用するため変換メインパスワードからメインパスワードへの逆算が困難になることから、安全性がさらに高まり有益である。
【0035】
図8は、本発明における第3のアカウント管理方法の一処理例を示す図である。
【0036】
クライアント端末は、サイトIDとユーザによって入力されるメインIDと認証パスワードCPを同期サーバへ送信し同期データを要求する(C1)。同期サーバは、受信したメインIDと認証パスワードを用いてユーザの認証を行う(C2)。認証されると、メインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSnとm個のパラメータPr[s1]〜Pr[sm]とを取得し、そのユーザID・同期データ・パラメータをクライアント端末へ送信する(C3)。その後、図7のステップB3からB5及び図6のステップA5からA12と同様の処理を行い、クライアント端末が再びサイトIDとメインIDと認証パスワードCPを同期サーバへ送信し同期データを要求すると(C4)、同期サーバは、受信したメインIDと認証パスワードを用いてユーザの認証を行う(C5)。認証されると、メインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSn+1とm個のパラメータPr[s1]〜Pr[sm]とを取得し、そのユーザID・同期データ・パラメータをクライアント端末へ送信する(C6)。
【0037】
この方法を用いるアカウント管理方法では、同期データとパラメータが不特定多数のサービスサイトと第三者に対して送信されない為、任意のコンピューター上で総当り計算によりメインパスワードを推定することが非常に困難になる。認証パスワードが同期サーバに記憶されるが、認証パスワード自体はパスワードの算出過程から独立している為、クライアント端末・同期サーバ間通信と同期サーバ自体の信頼性が高い場合、安全性がさらに高まり有益である。
【0038】
第1から第3のアカウント管理方法において、同期サーバがEメールを利用してユーザにアクセス状況を報告する処理を加えると更に良い。この場合、同期サーバは、加えてユーザごとに1つ以上のEメールアドレスを記憶する。図3のテーブル202に記されたMailはEメールアドレスを意味している。
【0039】
図9は、本発明における第4のアカウント管理方法の一処理例を示す図である。
【0040】
クライアント端末は、サイトIDとユーザによって入力されるメインIDと認証パスワードCPを同期サーバへ送信し同期データを要求する(D1)。同期サーバは、受信したメインIDと認証パスワードを用いてユーザの認証を行う(D2)。認証されたか否かに関わらず、メインIDとサイトIDをキーにして図3のテーブル202からEメールアドレスを取得し、図1のメールサーバを介して、そのEメールアドレスにEメールを送信する(D3)。ステップD2においてユーザが認証されると、メインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSnとm個のパラメータPr[s1]〜Pr[sm]とを取得し、そのユーザID・同期データ・パラメータをクライアント端末へ送信する(D4)。その後、図7のステップB3からB5及び図6のステップA5からA12と同様の処理を行い、クライアント端末が再びサイトIDとメインIDと認証パスワードCPを同期サーバへ送信し同期データを要求すると(D5)、同期サーバは、受信したメインIDと認証パスワードを用いてユーザの認証を行う(D6)。認証されたか否かに関わらず、メインIDとサイトIDをキーにして図3のテーブル202からEメールアドレスを取得し、図1のメールサーバを介して、そのEメールアドレスにEメールを送信する(D7)。ステップD6においてユーザが認証されると、メインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSn+1とm個のパラメータPr[s1]〜Pr[sm]とを取得し、そのユーザID・同期データ・パラメータをクライアント端末へ送信する(D8)。
【0041】
この方法を用いるアカウント管理方法は、第1から第3の方法における利点に加え、ユーザが自身のアカウントに対する不正利用またはその予兆を素早く察知することが可能となる為、安全性がさらに高まり有益である。
【0042】
メインパスワードの登録・変更等に関して、メインパスワードの登録・変更等を行う場合に、アカウントサーバ内のパスワードを変更する必要があり、且つ、クライアント端末から同期サーバを介してアカウントサーバにその変更データを送信する場合は、図3のテーブル201にサービスサイトごとの公開鍵を記憶し、同期サーバがクライアント端末にサービスサイトの公開鍵を送信して、クライアント端末が変更データをその公開鍵で暗号化した上で同期サーバへ送信するとよい。また、同期サーバからアカウントサーバへのアクセスに認証が必要な場合は、アカウントサーバに同期サーバのID・パスワードを記憶し、同期サーバはテーブル201でサービスサイトごとにID・パスワードを記憶するとよい。
【0043】
クライアント端末または可搬型記憶媒体が、メインID、サイトID、ユーザID、パラメータ、のうち少なくとも1つ以上を記憶するとよい。特にユーザIDを記憶する場合、図6のステップA1においてクライアント端末がユーザIDを加えて送信すると、同一のサービスサイトに登録された複数のユーザID・パスワードを同一のメインIDの下で管理可能となり、利便性が向上する。
【図面の簡単な説明】
【0044】
【図1】本発明におけるアカウント管理システムの一実施例を示すブロック図である。
【図2】アカウントサーバの記憶データの一例を示す図である。
【図3】同期サーバの記憶データの一例を示す図である。
【図4】本発明の中心となる処理を示す概念図である。
【図5】関数の構成例を示す図である。
【図6】本発明における第1のアカウント管理方法の一処理例を示す図である。
【図7】本発明における第2のアカウント管理方法の一処理例を示す図である。
【図8】本発明における第3のアカウント管理方法の一処理例を示す図である。
【図9】本発明における第4のアカウント管理方法の一処理例を示す図である。
【符号の説明】
【0045】
100 アカウントサーバ
200 同期サーバ
300 クライアント端末
101,102,201,202 テーブル
UID ユーザID
Pn n回目の(現在の)パスワード
SID サイトID
SP サイトパスワード
MID メインID
Sn n回目の(現在の)同期データ
M メインパスワード
F 第1の関数
Pn+1 n+1回目の(新しい)パスワード
G 第2の関数
ΔPn+1 第2の関数により算出される値
H 第3の関数
Sn+1 n+1回目の(新しい)同期データ
Pr パラメータ
O 一方向性関数
TM 変換メインパスワード
CP 認証パスワード
Mail Eメールアドレス
【技術分野】
【0001】
本発明は、ネットワーク上でサービスを提供するサービス提供者に登録されたパスワードを、サービス提供者側主導で自動的に更新可能とし、また、同一ユーザがID・パスワードの組を複数のサービス提供者に登録している状態においても、ユーザは一組のID・パスワードの入力で複数のサービス提供者にログイン可能とするアカウント管理方法及びシステムに関する。
【背景技術】
【0002】
サービス提供者は、ネットワーク上でそのサービスを提供するにあたり、ユーザに対してID・パスワードの組を付与することがある。しかし、同一ユーザが複数のサービス提供者からID・パスワードの組を付与された場合、ID・パスワードの形式がサービス提供者それぞれ独自の形式に依存していることもあり、それら複数のID・パスワードの値が全く同一の値になる可能性は極めて低く、ユーザがその値を変更可能な場合でも、同一のID・パスワードの組を複数の独立したサービス提供者に登録することはセキュリティー上の問題を含むため、結局、ユーザが複数の異なるID・パスワードの組をそれぞれ記憶・保管・更新等しなければならない場合が多かった。
【0003】
この様な従来からのアカウント管理の構造は、ユーザがID・パスワードをメモに書き残したり、パスワードの更新に遅滞を来したりするなどの望ましくない行為を生み易く、セキュリティー上の問題が引き起こされる原因の一つともなっている。
【0004】
上述した様なユーザの抱える煩わしい管理作業や、サービス提供者の抱えるセキュリティー上の問題を解決するための手段として、例えば、特許第3430896号公報に開示されている方法がある。特許第3430896号公報に開示されている方法は、端末に複数のパスワードを記憶し、ユーザが1つの絶対パスワードを用いて複数のWebサーバに接続可能とする方法であり、且つ、パスワードを自動的に更新可能とする方法である。
【特許文献1】特許第3430896号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、特許第3430896号公報に開示されている方法では、重要なパスワードデータを端末に常時記憶する必要があり安全性に問題がある。また、ユーザが複数の異なる端末を使用する状況では、記憶されたパスワードデータを端末間で移動させる必要があり不便である。さらには、端末が長期間、停止状態または未接続の状態にあると、パスワードはその間更新されないという問題点がある。仮に、この方法を常時稼動状態にある代理サーバに移植した場合でも、重要なパスワードデータを常時記憶する必要があることには変わりなく、さらに、この代理サーバの管理を第三者に委託する場合においては、代理サーバの管理者がパスワードを容易に読み取れてしまうという問題点もある。
【0006】
本発明は、上述のような問題点を解決するためになされたものであり、本発明の目的は、より安全性・利便性の高い、パスワードの自動更新とID・パスワードの統合を可能とするアカウント管理方法及びシステムを提供することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明第1のアカウント管理方法は、相互にアクセス可能なネットワーク上に設置された、1又は複数のサービスサイトのアカウントサーバと、同期サーバと、1又は複数のクライアント端末と、からなり、前記アカウントサーバが任意のタイミングで更新するユーザのパスワードを該ユーザと同期する為に前記同期サーバを用いるアカウント管理システムにおいて、nを任意の自然数、前記アカウントサーバが管理する該ユーザのn回目のパスワードをPn、n+1回目のパスワードをPn+1、前記同期サーバが管理する該ユーザの該アカウントサーバにおけるn回目の同期データをSn、n+1回目の同期データをSn+1、該ユーザが前記クライアント端末に入力するメインパスワードをM、とし、Pn=F(M、Sn)、ΔPn+1=G(Pn+1、Pn)、Sn+1=H(ΔPn+1、Sn)、Pn+1=F(M、Sn+1)、を満たす関数F、G、Hを順に第1の関数、第2の関数、第3の関数とすると、前記アカウントサーバが、任意のパスワードPn+1を生成・登録する処理と、該パスワードPn+1と前記パスワードPnと前記第2の関数とを用いて前記ΔPn+1を算出する処理と、前記算出されたΔPn+1を前記同期サーバへ送信する処理と、を実行し、前記同期サーバが、前記アカウントサーバより受信した前記ΔPn+1と前記同期データSnと前記第3の関数とを用いて前記同期データSn+1を算出・登録する処理と、前記クライアント端末の要求により前記同期データSn+1を前記クライアント端末へ送信する処理と、を実行し、前記クライアント端末が、前記同期サーバに前記同期データを要求する処理と、前記同期サーバから受信した前記同期データと前記メインパスワードと前記第1の関数とを用いて前記パスワードを算出する処理と、を実行する、ことを特徴とする。
【0008】
本発明第2のアカウント管理方法は、第1の本発明の方法において、前記同期サーバは更に、前記ユーザの前記サービスサイトに対応する1又は複数のパラメータを管理しており、前記同期サーバが、前記クライアント端末の要求により前記パラメータを前記クライアント端末へ送信する処理を更に実行し、前記クライアント端末が、前記同期サーバに前記同期データと前記パラメータとを要求する処理と、前記同期サーバから受信した前記パラメータと前記メインパスワードと一方向性関数とを用いて変換メインパスワードを作成する処理と、前記変換メインパスワードと前記同期サーバから受信した前記同期データと前記第1の関数とを用いて前記パスワードを算出する処理と、を実行する、ことを特徴とする。
【0009】
本発明第3のアカウント管理方法は、第1または第2の本発明の方法において、前記同期サーバは更に、前記ユーザの認証パスワードを管理しており、前記同期サーバが、前記クライアント端末から受信する前記認証パスワードを用いて前記ユーザを認証する処理を更に実行し、前記クライアント端末が、前記ユーザによって入力される前記認証パスワードを前記同期サーバへ送信する処理を更に実行する、ことを特徴とする。
【0010】
本発明第4のアカウント管理方法は、第1から第3の本発明の方法において、前記同期サーバは更に、前記ユーザの1又は複数のEメールアドレスを管理しており、前記同期サーバが、前記クライアント端末より前記ユーザの情報を要求された場合に、該ユーザのEメールアドレスにEメールを送信する処理を更に実行する、ことを特徴とする。
【0011】
本発明第5のアカウント管理システムは、相互にアクセス可能なネットワーク上に設置された、1又は複数のサービスサイトのアカウントサーバと、同期サーバと、1又は複数のクライアント端末と、からなり、前記アカウントサーバが任意のタイミングで更新するユーザのパスワードを該ユーザと同期する為に前記同期サーバを用いるアカウント管理システムであって、nを任意の自然数、前記アカウントサーバが管理する該ユーザのn回目のパスワードをPn、n+1回目のパスワードをPn+1、前記同期サーバが管理する該ユーザの該アカウントサーバにおけるn回目の同期データをSn、n+1回目の同期データをSn+1、該ユーザが前記クライアント端末に入力するメインパスワードをM、とし、Pn=F(M、Sn)、ΔPn+1=G(Pn+1、Pn)、Sn+1=H(ΔPn+1、Sn)、Pn+1=F(M、Sn+1)、を満たす関数F、G、Hを順に第1の関数、第2の関数、第3の関数とすると、前記アカウントサーバは、任意のパスワードPn+1を生成・登録する手段と、該パスワードPn+1と前記パスワードPnと前記第2の関数とを用いて前記ΔPn+1を算出する手段と、前記算出されたΔPn+1を前記同期サーバへ送信する手段と、を備え、前記同期サーバは、前記アカウントサーバより受信した前記ΔPn+1と前記同期データSnと前記第3の関数とを用いて前記同期データSn+1を算出・登録する手段と、前記クライアント端末の要求により前記同期データSn+1を前記クライアント端末へ送信する手段と、を備え、前記クライアント端末は、前記同期サーバに前記同期データを要求する手段と、前記同期サーバから受信した前記同期データと前記メインパスワードと前記第1の関数とを用いて前記パスワードを算出する手段と、を備える、ことを特徴とする。
【0012】
本発明第6のアカウント管理システムは、第5の本発明のシステムにおいて、前記同期サーバは更に、前記ユーザの前記サービスサイトに対応する1又は複数のパラメータを管理しており、前記同期サーバは、前記クライアント端末の要求により前記パラメータを前記クライアント端末へ送信する手段を更に備え、前記クライアント端末は、前記同期サーバに前記同期データと前記パラメータとを要求する手段と、前記同期サーバから受信した前記パラメータと前記メインパスワードと一方向性関数とを用いて変換メインパスワードを作成する手段と、前記変換メインパスワードと前記同期サーバから受信した前記同期データと前記第1の関数とを用いて前記パスワードを算出する手段と、を備える、ことを特徴とする。
【0013】
本発明第7のアカウント管理システムは、第5または第6の本発明のシステムにおいて、前記同期サーバは更に、前記ユーザの認証パスワードを管理しており、前記同期サーバは、前記クライアント端末から受信する前記認証パスワードを用いて前記ユーザを認証する手段を更に備え、前記クライアント端末は、前記ユーザによって入力される前記認証パスワードを前記同期サーバへ送信する手段を更に備える、ことを特徴とする。
【0014】
本発明第8のアカウント管理システムは、第5から第7の本発明のシステムにおいて、前記同期サーバは更に、前記ユーザの1又は複数のEメールアドレスを管理しており、前記同期サーバは、前記クライアント端末より前記ユーザの情報を要求された場合に、該ユーザのEメールアドレスにEメールを送信する手段を更に備える、ことを特徴とする。
【発明の効果】
【0015】
以上説明したように本発明によれば、より安全性・利便性の高い、パスワードの自動更新とID・パスワードの統合が可能となる。
【発明を実施するための最良の形態】
【0016】
以下、本発明を実施するための最良の形態を、図面を用いて説明する。
【0017】
図1は、本発明におけるアカウント管理システムの一実施例を示すブロック図である。
【0018】
このブロック図は、サービスサイトのアカウントサーバ、同期サーバ、クライアント端末が、相互にアクセス可能なネットワーク上に設置され、ユーザがクライアント端末を操作していることを示すものである。ここで言うサービスサイトとは、ネットワーク上で利用者にサービスを提供するにあたって、そのサービスサイトに予め登録されているユーザID、店舗番号・口座番号、利用者番号等のユーザ識別子(以降、ユーザIDをこの意味で用いる)と、パスワード、パスフレーズ、暗証番号等の秘密データ(以降、パスワードをこの意味で用いる)との組を利用者からネットワークを介して受信することを必要とするサービス提供者であり、さらに同期サーバにサービスサイト用のアカウントを登録しているサービス提供者を意味する。アカウントサーバとは、そのサービスサイトに登録している利用者のうち、一人以上の利用者のパスワードを更新する権限・手段を有しているサーバであり、さらに同期サーバに保存されている利用者のデータを更新する権限・手段を有しているサーバである。ユーザとは、サービスサイトにアカウントを登録している利用者であり、且つ、同期サーバにもユーザ用のアカウントを登録していて、さらにアカウントサーバに対して自身のパスワードを更新する権限と、同期サーバ内のデータを更新する権限とを付与した利用者である。クライアント端末は、基本的に文字入力装置・ディスプレイ表示装置・演算処理機構を備えていてネットワークに繋がるものであればどの様な形態のものでもよいが、ICカード、磁気カード、フロッピー(登録商標)ディスク等の可搬型記憶媒体を読み取る装置を備えていれば更に良い。例えば、パーソナルコンピューター、携帯電話・PDA等の携帯端末、キャッシュディスペンサー等の専用端末などである。ネットワークは専用線、LAN、インターネット、無線ネットワーク等のうち、何れかのみ、または複数の組み合わせで構成されたネットワークであり、通信データが暗号化されていると更に良い。アカウントサーバ、同期サーバ、クライアント端末はこのネットワークを介して相互のデータ通信を行なっている。なお、サービスサイト、アカウントサーバ、クライアント端末、ユーザは、一つの同期サーバに対して複数存在して構わない。
【0019】
図2は、アカウントサーバの記憶データの一例を示す図である。
【0020】
テーブル101に記されているUIDはユーザIDを、Pnはn回目の(現在の)パスワードを、またテーブル102に記されているSIDはサイトIDを、SPはサイトパスワードをそれぞれ意味している(以降、符号を説明した場合、その符号の意味は本説明全体にわたって共通である)。テーブル101にはユーザのユーザIDとパスワードが複数記憶されていて、テーブル102にはこのサービスサイト用のサイトIDとサイトパスワードが一組のみ記憶されている。なお、テーブル101とテーブル102には、それらのデータ以外にも最終更新日時や更新フラグなど管理用のデータを追加してもよい。また、これらのデータの記憶場所はアカウントサーバから読み書き可能であれば別のノード内にあってもよい。
【0021】
図3は、同期サーバの記憶データの一例を示す図である。
【0022】
テーブル201に記されているSIDはサイトIDを、SPはサイトパスワードを、またテーブル202に記されているMIDはメインIDを、SIDはサイトIDを、UIDはユーザIDを、Snはn回目の(現在の)同期データをそれぞれ意味している。テーブル201には、図2のテーブル102に記憶されたサイトIDとサイトパスワードの組がサービスサイトごとに複数記憶されていて、テーブル202には、同期サーバを使用するユーザの識別子であるメインIDと、ユーザが利用するサービスサイトのサイトIDと、そのサービスサイト用のユーザIDと、そのユーザID用の現在のパスワードを入手する為に用いる同期データ、とが複数記憶されている。テーブル202が示すように、一つのメインIDに対してサイトID・ユーザID・同期データの組を複数記憶することが可能で、これによりユーザが所持する複数のユーザID・パスワードの組を一つのメインIDの元にまとめている。サイトIDに関して、テーブル202のサイトIDは、テーブル201と図2のテーブル102のサイトIDと同じデータ(これは後述するアカウントサーバ・同期サーバ間の認証に使われる)を共有しているが、セキュリティー上の理由からテーブル202のサイトIDに別のデータを割り当てて、テーブル201と図2のテーブル102にそのデータ用の列を追加してもよい。また、テーブル201とテーブル202には、それらのデータ以外にも最終更新日時や更新フラグなど管理用のデータを追加してもよい。
【0023】
次に、図4を用いてアカウント管理システムの中心となる処理を説明する。図4は、本発明の中心となる処理を示す概念図である。
【0024】
まず、クライアント端末300は同期サーバ200から現在の同期データSnを取得し(P1)、ユーザによって入力されるメインパスワードMと同期データSnと第1の関数Fとを用いて現在のパスワードPnを算出し(P2)、パスワードPnを用いて認証を行う(P3)。一方、アカウントサーバ100はユーザの新しいパスワードPn+1を生成し、新しいパスワードPn+1と現在のパスワードPnと第2の関数Gとを用いてΔPn+1を算出し、Pn+1を現在のパスワードとして登録し(P4)、ΔPn+1を同期サーバ200へ送信する(P5)。同期サーバ200はアカウントサーバ100から受信したΔPn+1と現在の同期データSnと第3の関数Hとを用いて新しい同期データSn+1を算出し、Sn+1を現在の同期データとして登録する(P6)。クライアント端末300は同期サーバ200から現在の同期データSn+1を取得し(P7)、ユーザによって入力されるメインパスワードMと同期データSn+1と第1の関数Fとを用いて現在のパスワードPn+1を算出し(P8)、パスワードPn+1を用いて認証を行う(P9)。
【0025】
新しいパスワードPn+1の生成には任意の方法を用いて構わないが、乱数を用いて生成するとよい。なお、初回のパスワードP1と同期データS1とメインパスワードMは第1の関数Fを満たすよう予め設定されている。
【0026】
また、第1の関数Fと第2の関数Gと第3の関数Hは上述の性質を持った任意の関数であり、各々の関数の構成が他の関数の構成と同一であるか否かを問わない。例えば、第2の関数Gが第1の関数Fと同一の構成である場合をF−F−H型、第3の関数Hが第1の関数Fと同一の構成である場合をF−G−F型、第2の関数Gおよび第3の関数Hが第1の関数Fと同一の構成である場合をF−F−F型、第3の関数Hが第2の関数Gと同一の構成である場合をF−G−G型、とし、関数の第1の変数をV1、第2の変数をV2、とすると、F−F−H型における関数Fの構成としてV1−V2、関数Hの構成として−V1+V2、F−G−F型における関数Fの構成としてV1+V2、関数Gの構成としてV1−V2、F−F−F型における関数Fの構成としてV1(+)V2、F−G−G型における関数Fの構成としてV1+V2、関数Gの構成として−V1+V2、等の組み合わせが挙げられる。なお、上記の記号(+)は排他的論理和を示している。また、第1の関数Fと第2の関数Gと第3の関数Hが各々異なる構成である場合をF−G−H型とすると、F−G−H型における関数Fの構成としてV1−V2、関数Gの構成として−V1+V2、関数Hの構成としてV1+V2、等の組み合わせが挙げられる。また、n回目の関数Fとn+1回目の関数Fとで定数を変形させる等の方法を用いた場合でも両者の構成は同一であるとし、両者を関数Fとする(図5を参照)。
【0027】
図6は、本発明における第1のアカウント管理方法の一処理例を示す図である。
【0028】
ユーザが任意のサービスサイトに登録されている自身のユーザIDとパスワードを知る為には、まずそのサービスサイトのサイトIDを何らかの方法で知る必要がある。その方法としては、同期サーバが選択メニューをクライアント端末に送信する方法、可搬型記憶媒体に記憶する方法、WEBページを利用する場合などではサービスサイトのWEBページから同期サーバのページへのリンクに埋め込む方法、などが考えられる。サイトIDを取得できるのであれば何れの方法を用いてもよい。ユーザの操作するクライアント端末がサイトIDを取得すると、その取得したサイトIDとユーザによって入力されるメインIDを同期サーバへ送信し同期データを要求する(A1)。同期サーバは、受信したメインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSnを取得し、そのユーザID・同期データをクライアント端末へ送信する(A2)。クライアント端末は、同期サーバからユーザID・同期データを受信すると、ユーザによって入力されるメインパスワードと同期データと第1の関数を用いて現在のパスワードPnを算出し(A3)、アカウントサーバへユーザIDとパスワードを送信する(A4)。アカウントサーバは、クライアント端末からユーザIDとパスワードを受信しユーザの認証を終えると(A5)、乱数を生成して新しいパスワードを作成し(A6)、新しいパスワードと現在のパスワードと第2の関数Gとを用いてΔPn+1を算出する(A7)。その後、算出されたΔPn+1とユーザIDと図2のテーブル102のサイトIDとサイトパスワードとを同期サーバへ送信し(A8)、新しいパスワードを現在のパスワードとして登録する(A9)。同期サーバは、アカウントサーバからサイトIDとサイトパスワードを受信しサイトの認証を終えると(A10)、ユーザIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用の現在の同期データを取得し、ΔPn+1と現在の同期データと第3の関数とを用いて新しい同期データを算出し(A11)、新しい同期データを現在の同期データとして登録する(A12)。その後再び、クライアント端末がサイトIDとメインIDを同期サーバへ送信し同期データを要求すると(A13)、同期サーバは、受信したメインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSn+1を取得し、そのユーザID・同期データをクライアント端末へ送信する(A14)。クライアント端末は、同期サーバからユーザID・同期データを受信すると、ユーザによって入力されるメインパスワードと同期データと第1の関数を用いて現在のパスワードPn+1を算出し(A15)、アカウントサーバへユーザIDとパスワードを送信する(A16)。アカウントサーバは、クライアント端末からユーザIDとパスワードを受信しユーザの認証を行う(A17)。
【0029】
この方法を用いるアカウント管理方法では、パスワードがアカウントサーバ・同期サーバ間通信および同期サーバ・クライアント端末間通信で流れない。また、パスワードをクライアント端末・同期サーバに記憶する必要も無い。ΔPn+1・Sn・Sn+1については、それらのみを用いてパスワード・メインパスワードは算出できない。また、メインパスワードをネットワーク上へ送信する必要は無く、アカウントサーバ・同期サーバ・クライアント端末に記憶する必要も無い。このため、同期サーバを含む第三者がパスワードを不正に知る方法は、通常行なわれているクライアント端末・サービスサイト間通信からパスワードを不正に知る方法と等しくなる。この条件の下で、サービスサイト主導のパスワード更新機能と、複数ID・パスワードの統合機能とが実現されるため、利便性・安全性向上の点で有益である。
【0030】
図7は、本発明における第2のアカウント管理方法の一処理例を示す図である。
【0031】
クライアント端末は、サイトIDとユーザによって入力されるメインIDを同期サーバへ送信し同期データを要求する(B1)。同期サーバは、受信したメインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSnとm個のパラメータPr[s1]〜Pr[sm]とを取得し、そのユーザID・同期データ・パラメータをクライアント端末へ送信する(B2)。クライアント端末は、同期サーバからユーザID・同期データ・パラメータを受信すると、ユーザによって入力されるメインパスワードとパラメータと一方向性関数Oとを用いて変換パスワードTPを算出し(B3)、変換パスワードと同期データと第1の関数とを用いて現在のパスワードPnを算出し(B4)、アカウントサーバへユーザIDとパスワードを送信する(B5)。その後、図6のステップA5からA12と同様の処理を行い、クライアント端末が再びサイトIDとメインIDを同期サーバへ送信し同期データを要求すると(B6)、同期サーバは、受信したメインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSn+1とm個のパラメータPr[s1]〜Pr[sm]とを取得し、そのユーザID・同期データ・パラメータをクライアント端末へ送信する(B7)。クライアント端末は、同期サーバからユーザID・同期データ・パラメータを受信すると、ユーザによって入力されるメインパスワードとパラメータと一方向性関数Oとを用いて変換パスワードTPを算出し(B8)、変換パスワードと同期データと第1の関数とを用いて現在のパスワードPn+1を算出し(B9)、アカウントサーバへユーザIDとパスワードを送信する(B10)。
【0032】
上述したパラメータの値としては乱数を用いるとよい。また、同一ユーザが複数のサービスサイトを登録する場合、少なくともそのサービスサイトの数だけパラメータを割り当てることになるが、それぞれのパラメータには互いに異なる値を持たせるとよい。
【0033】
一方向性関数Oの構成はどの様なものでも構わない。例えば、メインパスワードと第1のパラメータとを連結した値をSHA−1の入力値としてハッシュ値を算出し、そのハッシュ値と第2のパラメータとを排他的論理和し、その排他的論理和された値をSHA−1の入力値として更にハッシュ値を算出する計算を一定回数繰り返す、という様な構成でもよい。この場合、最終的に算出されたハッシュ値が変換メインパスワードになる。また、共通鍵暗号方式を応用して一方向性関数Oを構成しても構わない。例えば、第1のパラメータを暗号文とし、メインパスワードと第2のパラメータとを連結した値を共通鍵として、この共通鍵を用いてDESにより暗号文を復号する、という様な構成でもよい。この場合、復号された平文が変換メインパスワードになる。
【0034】
この方法を用いるアカウント管理方法は、第1の方法の利点に加え、複数のサービスサイトのアカウントを管理する場合に、たとえ悪意のあるサービスサイトが存在しても、変換メインパスワードは目的とするサービスサイトごとに異なる値であり、また変換メインパスワードの算出に一方向性関数を使用するため変換メインパスワードからメインパスワードへの逆算が困難になることから、安全性がさらに高まり有益である。
【0035】
図8は、本発明における第3のアカウント管理方法の一処理例を示す図である。
【0036】
クライアント端末は、サイトIDとユーザによって入力されるメインIDと認証パスワードCPを同期サーバへ送信し同期データを要求する(C1)。同期サーバは、受信したメインIDと認証パスワードを用いてユーザの認証を行う(C2)。認証されると、メインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSnとm個のパラメータPr[s1]〜Pr[sm]とを取得し、そのユーザID・同期データ・パラメータをクライアント端末へ送信する(C3)。その後、図7のステップB3からB5及び図6のステップA5からA12と同様の処理を行い、クライアント端末が再びサイトIDとメインIDと認証パスワードCPを同期サーバへ送信し同期データを要求すると(C4)、同期サーバは、受信したメインIDと認証パスワードを用いてユーザの認証を行う(C5)。認証されると、メインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSn+1とm個のパラメータPr[s1]〜Pr[sm]とを取得し、そのユーザID・同期データ・パラメータをクライアント端末へ送信する(C6)。
【0037】
この方法を用いるアカウント管理方法では、同期データとパラメータが不特定多数のサービスサイトと第三者に対して送信されない為、任意のコンピューター上で総当り計算によりメインパスワードを推定することが非常に困難になる。認証パスワードが同期サーバに記憶されるが、認証パスワード自体はパスワードの算出過程から独立している為、クライアント端末・同期サーバ間通信と同期サーバ自体の信頼性が高い場合、安全性がさらに高まり有益である。
【0038】
第1から第3のアカウント管理方法において、同期サーバがEメールを利用してユーザにアクセス状況を報告する処理を加えると更に良い。この場合、同期サーバは、加えてユーザごとに1つ以上のEメールアドレスを記憶する。図3のテーブル202に記されたMailはEメールアドレスを意味している。
【0039】
図9は、本発明における第4のアカウント管理方法の一処理例を示す図である。
【0040】
クライアント端末は、サイトIDとユーザによって入力されるメインIDと認証パスワードCPを同期サーバへ送信し同期データを要求する(D1)。同期サーバは、受信したメインIDと認証パスワードを用いてユーザの認証を行う(D2)。認証されたか否かに関わらず、メインIDとサイトIDをキーにして図3のテーブル202からEメールアドレスを取得し、図1のメールサーバを介して、そのEメールアドレスにEメールを送信する(D3)。ステップD2においてユーザが認証されると、メインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSnとm個のパラメータPr[s1]〜Pr[sm]とを取得し、そのユーザID・同期データ・パラメータをクライアント端末へ送信する(D4)。その後、図7のステップB3からB5及び図6のステップA5からA12と同様の処理を行い、クライアント端末が再びサイトIDとメインIDと認証パスワードCPを同期サーバへ送信し同期データを要求すると(D5)、同期サーバは、受信したメインIDと認証パスワードを用いてユーザの認証を行う(D6)。認証されたか否かに関わらず、メインIDとサイトIDをキーにして図3のテーブル202からEメールアドレスを取得し、図1のメールサーバを介して、そのEメールアドレスにEメールを送信する(D7)。ステップD6においてユーザが認証されると、メインIDとサイトIDをキーにして図3のテーブル202からサイトIDで確定されるサイトs用のユーザIDと現在の同期データSn+1とm個のパラメータPr[s1]〜Pr[sm]とを取得し、そのユーザID・同期データ・パラメータをクライアント端末へ送信する(D8)。
【0041】
この方法を用いるアカウント管理方法は、第1から第3の方法における利点に加え、ユーザが自身のアカウントに対する不正利用またはその予兆を素早く察知することが可能となる為、安全性がさらに高まり有益である。
【0042】
メインパスワードの登録・変更等に関して、メインパスワードの登録・変更等を行う場合に、アカウントサーバ内のパスワードを変更する必要があり、且つ、クライアント端末から同期サーバを介してアカウントサーバにその変更データを送信する場合は、図3のテーブル201にサービスサイトごとの公開鍵を記憶し、同期サーバがクライアント端末にサービスサイトの公開鍵を送信して、クライアント端末が変更データをその公開鍵で暗号化した上で同期サーバへ送信するとよい。また、同期サーバからアカウントサーバへのアクセスに認証が必要な場合は、アカウントサーバに同期サーバのID・パスワードを記憶し、同期サーバはテーブル201でサービスサイトごとにID・パスワードを記憶するとよい。
【0043】
クライアント端末または可搬型記憶媒体が、メインID、サイトID、ユーザID、パラメータ、のうち少なくとも1つ以上を記憶するとよい。特にユーザIDを記憶する場合、図6のステップA1においてクライアント端末がユーザIDを加えて送信すると、同一のサービスサイトに登録された複数のユーザID・パスワードを同一のメインIDの下で管理可能となり、利便性が向上する。
【図面の簡単な説明】
【0044】
【図1】本発明におけるアカウント管理システムの一実施例を示すブロック図である。
【図2】アカウントサーバの記憶データの一例を示す図である。
【図3】同期サーバの記憶データの一例を示す図である。
【図4】本発明の中心となる処理を示す概念図である。
【図5】関数の構成例を示す図である。
【図6】本発明における第1のアカウント管理方法の一処理例を示す図である。
【図7】本発明における第2のアカウント管理方法の一処理例を示す図である。
【図8】本発明における第3のアカウント管理方法の一処理例を示す図である。
【図9】本発明における第4のアカウント管理方法の一処理例を示す図である。
【符号の説明】
【0045】
100 アカウントサーバ
200 同期サーバ
300 クライアント端末
101,102,201,202 テーブル
UID ユーザID
Pn n回目の(現在の)パスワード
SID サイトID
SP サイトパスワード
MID メインID
Sn n回目の(現在の)同期データ
M メインパスワード
F 第1の関数
Pn+1 n+1回目の(新しい)パスワード
G 第2の関数
ΔPn+1 第2の関数により算出される値
H 第3の関数
Sn+1 n+1回目の(新しい)同期データ
Pr パラメータ
O 一方向性関数
TM 変換メインパスワード
CP 認証パスワード
Mail Eメールアドレス
【特許請求の範囲】
【請求項1】
相互にアクセス可能なネットワーク上に設置された、1又は複数のサービスサイトのアカウントサーバと、同期サーバと、1又は複数のクライアント端末と、からなり、前記アカウントサーバが任意のタイミングで更新するユーザのパスワードを該ユーザと同期する為に前記同期サーバを用いるアカウント管理システムにおいて、
nを任意の自然数、前記アカウントサーバが管理する該ユーザのn回目のパスワードをPn、n+1回目のパスワードをPn+1、前記同期サーバが管理する該ユーザの該アカウントサーバにおけるn回目の同期データをSn、n+1回目の同期データをSn+1、該ユーザが前記クライアント端末に入力するメインパスワードをM、とし、
Pn=F(M、Sn)、
ΔPn+1=G(Pn+1、Pn)、
Sn+1=H(ΔPn+1、Sn)、
Pn+1=F(M、Sn+1)、
を満たす関数F、G、Hを順に第1の関数、第2の関数、第3の関数とすると、
前記アカウントサーバが、任意のパスワードPn+1を生成・登録する処理と、該パスワードPn+1と前記パスワードPnと前記第2の関数とを用いて前記ΔPn+1を算出する処理と、前記算出されたΔPn+1を前記同期サーバへ送信する処理と、を実行し、
前記同期サーバが、前記アカウントサーバより受信した前記ΔPn+1と前記同期データSnと前記第3の関数とを用いて前記同期データSn+1を算出・登録する処理と、前記クライアント端末の要求により前記同期データSn+1を前記クライアント端末へ送信する処理と、を実行し、
前記クライアント端末が、前記同期サーバに前記同期データを要求する処理と、前記同期サーバから受信した前記同期データと前記メインパスワードと前記第1の関数とを用いて前記パスワードを算出する処理と、を実行する、ことを特徴とするアカウント管理方法。
【請求項2】
前記同期サーバは更に、前記ユーザの前記サービスサイトに対応する1又は複数のパラメータを管理しており、
前記同期サーバが、前記クライアント端末の要求により前記パラメータを前記クライアント端末へ送信する処理を更に実行し、
前記クライアント端末が、前記同期サーバに前記同期データと前記パラメータとを要求する処理と、前記同期サーバから受信した前記パラメータと前記メインパスワードと一方向性関数とを用いて変換メインパスワードを作成する処理と、前記変換メインパスワードと前記同期サーバから受信した前記同期データと前記第1の関数とを用いて前記パスワードを算出する処理と、を実行する、ことを特徴とする請求項1に記載のアカウント管理方法。
【請求項3】
前記同期サーバは更に、前記ユーザの認証パスワードを管理しており、
前記同期サーバが、前記クライアント端末から受信する前記認証パスワードを用いて前記ユーザを認証する処理を更に実行し、
前記クライアント端末が、前記ユーザによって入力される前記認証パスワードを前記同期サーバへ送信する処理を更に実行する、ことを特徴とする請求項1または2に記載のアカウント管理方法。
【請求項4】
前記同期サーバは更に、前記ユーザの1又は複数のEメールアドレスを管理しており、
前記同期サーバが、前記クライアント端末より前記ユーザの情報を要求された場合に、該ユーザのEメールアドレスにEメールを送信する処理を更に実行する、ことを特徴とする請求項1から3の何れかに記載のアカウント管理方法。
【請求項5】
相互にアクセス可能なネットワーク上に設置された、1又は複数のサービスサイトのアカウントサーバと、同期サーバと、1又は複数のクライアント端末と、からなり、前記アカウントサーバが任意のタイミングで更新するユーザのパスワードを該ユーザと同期する為に前記同期サーバを用いるアカウント管理システムであって、
nを任意の自然数、前記アカウントサーバが管理する該ユーザのn回目のパスワードをPn、n+1回目のパスワードをPn+1、前記同期サーバが管理する該ユーザの該アカウントサーバにおけるn回目の同期データをSn、n+1回目の同期データをSn+1、該ユーザが前記クライアント端末に入力するメインパスワードをM、とし、
Pn=F(M、Sn)、
ΔPn+1=G(Pn+1、Pn)、
Sn+1=H(ΔPn+1、Sn)、
Pn+1=F(M、Sn+1)、
を満たす関数F、G、Hを順に第1の関数、第2の関数、第3の関数とすると、
前記アカウントサーバは、任意のパスワードPn+1を生成・登録する手段と、該パスワードPn+1と前記パスワードPnと前記第2の関数とを用いて前記ΔPn+1を算出する手段と、前記算出されたΔPn+1を前記同期サーバへ送信する手段と、を備え、
前記同期サーバは、前記アカウントサーバより受信した前記ΔPn+1と前記同期データSnと前記第3の関数とを用いて前記同期データSn+1を算出・登録する手段と、前記クライアント端末の要求により前記同期データSn+1を前記クライアント端末へ送信する手段と、を備え、
前記クライアント端末は、前記同期サーバに前記同期データを要求する手段と、前記同期サーバから受信した前記同期データと前記メインパスワードと前記第1の関数とを用いて前記パスワードを算出する手段と、を備える、ことを特徴とするアカウント管理システム。
【請求項6】
前記同期サーバは更に、前記ユーザの前記サービスサイトに対応する1又は複数のパラメータを管理しており、
前記同期サーバは、前記クライアント端末の要求により前記パラメータを前記クライアント端末へ送信する手段を更に備え、
前記クライアント端末は、前記同期サーバに前記同期データと前記パラメータとを要求する手段と、前記同期サーバから受信した前記パラメータと前記メインパスワードと一方向性関数とを用いて変換メインパスワードを作成する手段と、前記変換メインパスワードと前記同期サーバから受信した前記同期データと前記第1の関数とを用いて前記パスワードを算出する手段と、を備える、ことを特徴とする請求項5に記載のアカウント管理システム。
【請求項7】
前記同期サーバは更に、前記ユーザの認証パスワードを管理しており、
前記同期サーバは、前記クライアント端末から受信する前記認証パスワードを用いて前記ユーザを認証する手段を更に備え、
前記クライアント端末は、前記ユーザによって入力される前記認証パスワードを前記同期サーバへ送信する手段を更に備える、ことを特徴とする請求項5または6に記載のアカウント管理システム。
【請求項8】
前記同期サーバは更に、前記ユーザの1又は複数のEメールアドレスを管理しており、
前記同期サーバは、前記クライアント端末より前記ユーザの情報を要求された場合に、該ユーザのEメールアドレスにEメールを送信する手段を更に備える、ことを特徴とする請求項5から7の何れかに記載のアカウント管理システム。
【請求項1】
相互にアクセス可能なネットワーク上に設置された、1又は複数のサービスサイトのアカウントサーバと、同期サーバと、1又は複数のクライアント端末と、からなり、前記アカウントサーバが任意のタイミングで更新するユーザのパスワードを該ユーザと同期する為に前記同期サーバを用いるアカウント管理システムにおいて、
nを任意の自然数、前記アカウントサーバが管理する該ユーザのn回目のパスワードをPn、n+1回目のパスワードをPn+1、前記同期サーバが管理する該ユーザの該アカウントサーバにおけるn回目の同期データをSn、n+1回目の同期データをSn+1、該ユーザが前記クライアント端末に入力するメインパスワードをM、とし、
Pn=F(M、Sn)、
ΔPn+1=G(Pn+1、Pn)、
Sn+1=H(ΔPn+1、Sn)、
Pn+1=F(M、Sn+1)、
を満たす関数F、G、Hを順に第1の関数、第2の関数、第3の関数とすると、
前記アカウントサーバが、任意のパスワードPn+1を生成・登録する処理と、該パスワードPn+1と前記パスワードPnと前記第2の関数とを用いて前記ΔPn+1を算出する処理と、前記算出されたΔPn+1を前記同期サーバへ送信する処理と、を実行し、
前記同期サーバが、前記アカウントサーバより受信した前記ΔPn+1と前記同期データSnと前記第3の関数とを用いて前記同期データSn+1を算出・登録する処理と、前記クライアント端末の要求により前記同期データSn+1を前記クライアント端末へ送信する処理と、を実行し、
前記クライアント端末が、前記同期サーバに前記同期データを要求する処理と、前記同期サーバから受信した前記同期データと前記メインパスワードと前記第1の関数とを用いて前記パスワードを算出する処理と、を実行する、ことを特徴とするアカウント管理方法。
【請求項2】
前記同期サーバは更に、前記ユーザの前記サービスサイトに対応する1又は複数のパラメータを管理しており、
前記同期サーバが、前記クライアント端末の要求により前記パラメータを前記クライアント端末へ送信する処理を更に実行し、
前記クライアント端末が、前記同期サーバに前記同期データと前記パラメータとを要求する処理と、前記同期サーバから受信した前記パラメータと前記メインパスワードと一方向性関数とを用いて変換メインパスワードを作成する処理と、前記変換メインパスワードと前記同期サーバから受信した前記同期データと前記第1の関数とを用いて前記パスワードを算出する処理と、を実行する、ことを特徴とする請求項1に記載のアカウント管理方法。
【請求項3】
前記同期サーバは更に、前記ユーザの認証パスワードを管理しており、
前記同期サーバが、前記クライアント端末から受信する前記認証パスワードを用いて前記ユーザを認証する処理を更に実行し、
前記クライアント端末が、前記ユーザによって入力される前記認証パスワードを前記同期サーバへ送信する処理を更に実行する、ことを特徴とする請求項1または2に記載のアカウント管理方法。
【請求項4】
前記同期サーバは更に、前記ユーザの1又は複数のEメールアドレスを管理しており、
前記同期サーバが、前記クライアント端末より前記ユーザの情報を要求された場合に、該ユーザのEメールアドレスにEメールを送信する処理を更に実行する、ことを特徴とする請求項1から3の何れかに記載のアカウント管理方法。
【請求項5】
相互にアクセス可能なネットワーク上に設置された、1又は複数のサービスサイトのアカウントサーバと、同期サーバと、1又は複数のクライアント端末と、からなり、前記アカウントサーバが任意のタイミングで更新するユーザのパスワードを該ユーザと同期する為に前記同期サーバを用いるアカウント管理システムであって、
nを任意の自然数、前記アカウントサーバが管理する該ユーザのn回目のパスワードをPn、n+1回目のパスワードをPn+1、前記同期サーバが管理する該ユーザの該アカウントサーバにおけるn回目の同期データをSn、n+1回目の同期データをSn+1、該ユーザが前記クライアント端末に入力するメインパスワードをM、とし、
Pn=F(M、Sn)、
ΔPn+1=G(Pn+1、Pn)、
Sn+1=H(ΔPn+1、Sn)、
Pn+1=F(M、Sn+1)、
を満たす関数F、G、Hを順に第1の関数、第2の関数、第3の関数とすると、
前記アカウントサーバは、任意のパスワードPn+1を生成・登録する手段と、該パスワードPn+1と前記パスワードPnと前記第2の関数とを用いて前記ΔPn+1を算出する手段と、前記算出されたΔPn+1を前記同期サーバへ送信する手段と、を備え、
前記同期サーバは、前記アカウントサーバより受信した前記ΔPn+1と前記同期データSnと前記第3の関数とを用いて前記同期データSn+1を算出・登録する手段と、前記クライアント端末の要求により前記同期データSn+1を前記クライアント端末へ送信する手段と、を備え、
前記クライアント端末は、前記同期サーバに前記同期データを要求する手段と、前記同期サーバから受信した前記同期データと前記メインパスワードと前記第1の関数とを用いて前記パスワードを算出する手段と、を備える、ことを特徴とするアカウント管理システム。
【請求項6】
前記同期サーバは更に、前記ユーザの前記サービスサイトに対応する1又は複数のパラメータを管理しており、
前記同期サーバは、前記クライアント端末の要求により前記パラメータを前記クライアント端末へ送信する手段を更に備え、
前記クライアント端末は、前記同期サーバに前記同期データと前記パラメータとを要求する手段と、前記同期サーバから受信した前記パラメータと前記メインパスワードと一方向性関数とを用いて変換メインパスワードを作成する手段と、前記変換メインパスワードと前記同期サーバから受信した前記同期データと前記第1の関数とを用いて前記パスワードを算出する手段と、を備える、ことを特徴とする請求項5に記載のアカウント管理システム。
【請求項7】
前記同期サーバは更に、前記ユーザの認証パスワードを管理しており、
前記同期サーバは、前記クライアント端末から受信する前記認証パスワードを用いて前記ユーザを認証する手段を更に備え、
前記クライアント端末は、前記ユーザによって入力される前記認証パスワードを前記同期サーバへ送信する手段を更に備える、ことを特徴とする請求項5または6に記載のアカウント管理システム。
【請求項8】
前記同期サーバは更に、前記ユーザの1又は複数のEメールアドレスを管理しており、
前記同期サーバは、前記クライアント端末より前記ユーザの情報を要求された場合に、該ユーザのEメールアドレスにEメールを送信する手段を更に備える、ことを特徴とする請求項5から7の何れかに記載のアカウント管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2006−190242(P2006−190242A)
【公開日】平成18年7月20日(2006.7.20)
【国際特許分類】
【出願番号】特願2005−189143(P2005−189143)
【出願日】平成17年6月29日(2005.6.29)
【特許番号】特許第3739008号(P3739008)
【特許公報発行日】平成18年1月25日(2006.1.25)
【出願人】(504284216)
【Fターム(参考)】
【公開日】平成18年7月20日(2006.7.20)
【国際特許分類】
【出願日】平成17年6月29日(2005.6.29)
【特許番号】特許第3739008号(P3739008)
【特許公報発行日】平成18年1月25日(2006.1.25)
【出願人】(504284216)
【Fターム(参考)】
[ Back to top ]