クライアント認証システム
【目的】二要素認証のユーザ認証を行う。
【構成】携帯電話2にはログイン・アプリケーション・プログラムがインストールされている。そのアプリケーション・プログラムがアクセスできるスクラッチ・パッド領域にインストールされているアプリケーション・プログラムを識別する固有のアプリケーションIDおよびユーザIDが格納されている。携帯電話2が携帯サービスにアクセスするときには,アプリケーションIDとユーザが知っているパスワードとの二要素によってユーザ認証が行われる。
【構成】携帯電話2にはログイン・アプリケーション・プログラムがインストールされている。そのアプリケーション・プログラムがアクセスできるスクラッチ・パッド領域にインストールされているアプリケーション・プログラムを識別する固有のアプリケーションIDおよびユーザIDが格納されている。携帯電話2が携帯サービスにアクセスするときには,アプリケーションIDとユーザが知っているパスワードとの二要素によってユーザ認証が行われる。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は,クライアント認証システムならびにサーバ装置およびクライアント端末装置ならびにそれらの制御方法およびそれらの制御プログラムに関する。
【背景技術】
【0002】
アクセス権限があるかどうかを確認するためにユーザ認証が行われる。ユーザ認証は,たとえば,ユーザIDとパスワードとが利用される。しかしながら,ユーザIDとパスワードとは,クライアント端末装置とサーバ装置との通信が行われるごとに通信されるから傍受されやすい。クライアント証明書を用いたものもあるが(特許文献1),携帯電話などでは対応していないものもある。
【特許文献1】特開平11-272614号公報
【発明の開示】
【0003】
この発明は,比較的簡単に二要素認証を行うことを目的とする。
【0004】
この発明は,サーバ装置とクライアント端末装置とを含むクライアント認証システムについてのものである。
【0005】
上記サーバ装置は,ログイン用アプリケーション・プログラムおよび上記ログイン用アプリケーション・プログラムを識別するアプリケーションID(クライアント端末装置を識別するクライアントID)を上記クライアント端末装置に送信するログイン用アプリケーション・プログラム/ID送信手段,および上記アプリケーションIDと,上記ログイン用アプリケーション・プログラム/ID送信手段から上記クライアント端末装置にログイン用アプリケーション・プログラムが送信されたことに応じて上記クライアント端末装置から送信される認証用パスワードと,を対応づけて記憶するパスワード/アプリケーションID記憶手段を備えている。
【0006】
上記クライアント端末装置は,上記サーバ装置の上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムを受信したことに応じて,認証用パスワードを入力する第1の認証用パスワード入力手段,上記第1の認証用パスワード入力手段から入力された認証用パスワードを上記第1の認証用パスワードとして上記サーバ装置に送信する認証用パスワード送信手段,上記サーバ装置の上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムをインストールするログイン用アプリケーション・プログラム・インストール手段,上記サーバ装置の上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたアプリケーションIDを,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶するアプリケーションID記憶手段,上記ログイン用アプリケーション・プログラムが起動されたことに応じて,第2の認証用パスワードを入力する第2の認証用パスワード入力手段,上記第2の認証用パスワード入力手段から入力された第2の認証用パスワードおよび上記アプリケーションID記憶手段に記憶されたアプリケーションIDをユーザ認証用に上記サーバ装置に送信するパスワード/アプリケーションID送信手段を備えている。
【0007】
上記サーバ装置は,上記クライアント端末装置の上記パスワード/アプリケーションID送信手段によって送信された第2の認証用パスワードとアプリケーションIDとの組と,上記パスワード/アプリケーションID記憶手段に記憶されている第1の認証用パスワードとアプリケーションIDとの組と,にもとづいて,ユーザ認証を行うユーザ認証手段をさらに備えている。
【0008】
この発明によると,サーバ装置からクライアント端末装置に,ログイン用アプリケーション・プログラムおよびアプリケーションIDが送信される。すると,クライアント端末装置において第1の認証用パスワードが入力され,入力された第1の認証用パスワードがサーバ装置に送信される。サーバ装置において,第1の認証用パスワードとアプリケーションIDとが対応づけられて記憶される。
【0009】
クライアント端末装置において,ログイン用アプリケーション・プログラムがインストールされ,アプリケーションIDが記憶される。クライアント端末装置においてログイン用アプリケーション・プログラムが起動させられると,第2の認証用パスワードが入力される。入力された第2の認証用パスワードとアプリケーション用IDとがクライアント端末装置からサーバ装置に送信される。
【0010】
サーバ装置において,クライアント端末装置から送信された第2の認証用パスワードとアプリケーション用IDとの組と,サーバ装置に記憶されている第1の認証用パスワードとアプリケーション用IDとの組とにもとづいてユーザ認証が行われる。
【0011】
第1の認証用パスワードおよび第2の認証用パスワード(これらのパスワードは同じものの筈である)は,クライアント端末装置のユーザのみが知っているものであり,アプリケーション用IDはクライアント端末装置に固有のものである。クライアント端末装置のユーザのみが知っている第1の認証用パスワードおよび第2の認証用パスワードの一要素と,クライアント端末装置に固有のアプリケーション用IDの一要素と,の二要素を用いてユーザ認証を行うことができるようになる。
【0012】
上記サーバ装置が,仮URLを表す仮URLデータを上記クライアント端末装置に送信する仮URLデータ送信手段,上記クライアント端末装置と異なるユーザ端末装置に第1の仮パスワードを送信する仮パスワード送信手段,上記クライアント端末装置から,上記仮URLデータ送信手段から送信された仮URLデータによって表される仮URLをもつウェブ・ページのリクエストがあったかどうかを判定する判定手段,上記判定手段によって,仮URLをもつウェブ・ページのリクエストがあったと判定されたことに応じて,仮パスワード入力用画像データを上記クライアント端末装置に送信する仮パスワード入力用画像データ送信手段,上記仮パスワード入力用画像データ送信手段によって仮パスワード入力用画像データが上記クライアント端末装置に送信されたことに応じて,上記クライアント端末装置から送信される第2の仮パスワードを受信する仮パスワード受信手段,および上記仮パスワード受信手段によって受信した第2の仮パスワードと上記仮パスワード送信手段によって送信された第1の仮パスワードとが一致したことに応じて,上記第1の認証用パスワードを入力するための認証用パスワード入力画像を表す認証用パスワード入力画像データを上記クライアント端末装置に送信する認証用パスワード入力画像データ送信手段をさらに備えてもよい。この場合,上記クライアント端末装置の上記第1の認証用パスワード入力手段は,上記認証用パスワード入力画像データ送信手段から送信された認証用パスワード入力画像データによって表される認証用パスワード入力画像を用いて認証用パスワードを入力するものとなろう。
【0013】
上記サーバ装置が,上記クライアント端末装置に,上記アプリケーションIDに関連付けられたユーザIDを送信するユーザID送信手段をさらに備えてもよい。この場合,上記パスワード/アプリケーションID記憶手段に記憶されるパスワードとアプリケーションIDとはハッシュされているものでもよい。上記クライアント端末装置の上記アプリケーションID記憶手段は,上記サーバ装置の上記ユーザID送信手段から送信されたユーザIDを上記アプリケーションIDとともに,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶するものであり,上記クライアント端末装置の上記パスワード/アプリケーションID通信手段は,上記ユーザIDとハッシュされたパスワードおよびハッシュされたアプリケーションIDとを上記クライアント端末装置に送信するものとなろう。そして,上記サーバ装置は,上記クライアント端末装置の上記パスワード/アプリケーションID送信手段から送信されたユーザIDにもとづいて上記パスワード/アプリケーションID記憶手段に記憶され,ハッシュされたパスワードとハッシュされたアプリケーションIDとを見つける検出手段をさらに備え,上記サーバ装置の上記ユーザ認証手段は,上記検出手段によって見つけられ,ハッシュされたパスワードとハッシュされたアプリケーションIDとの組と上記クライアント端末装置のパスワード/アプリケーションID送信手段から送信され,ハッシュされたパスワードとハッシュされたアプリケーションIDとの組にもとづいてユーザ認証を行うものとなろう。
【0014】
上記サーバ装置が,上記サーバ装置のユーザ認証手段によりユーザ認証されたことに応じて,ウェブ・サーバに格納されているウェブ・ページの格納場所を示す固定URLと異なる一時URLを表すデータを上記クライアント端末装置に送信する一時URLデータ送信手段をさらに備えてもよい。この場合,上記クライアント端末装置は,上記サーバ装置の上記一時URLデータ送信手段から送信された一時URLを表すデータを受信したことに応じて,一時URLをもつウェブ・ページをリクエストする第1のリクエスト手段をさらに備えることとなろう。そして,上記サーバ装置は,上記クライアント端末装置の上記第1のリクエスト手段によるリクエストに応じて,上記固定URLをもつウェブ・ページを表すウェブ・ページ・データを上記ウェブ・サーバにリクエストする第2のリクエスト手段,および上記第2のリクエスト手段によるリクエストに応じて,上記ウェブ・サーバから送信されるウェブ・ページ・データを上記クライアント端末装置に送信するウェブ・ページ・データ送信手段をさらに備えることとなろう。
【0015】
この発明は,上記ユーザ認証システムを構成するサーバ装置も提供している。すなわち,サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するサーバ装置において,ログイン用アプリケーション・プログラムおよび上記ログイン用アプリケーション・プログラムを識別するアプリケーションIDを上記クライアント端末装置に送信するログイン用アプリケーション・プログラム/ID送信手段,上記アプリケーションIDと,上記ログイン用アプリケーション・プログラム/ID送信手段から上記クライアント端末装置にログイン用アプリケーション・プログラムが送信されたことに応じて上記クライアント端末装置から送信される第1の認証用パスワードと,を対応づけて記憶するパスワード/アプリケーションID記憶手段,上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムが上記クライアント端末装置においてインストールされ,かつ起動されたことに応じて上記クライアント端末装置から送信される,クライアント端末装置において入力された第2の認証用パスワードおよび上記アプリケーションIDを受信するパスワード/アプリケーションID受信手段,ならびに上記パスワード/アプリケーションID受信手段によって受信した第2の認証用パスワードとアプリケーションIDとの組と,上記パスワード/アプリケーションID記憶手段に記憶されている第1の認証用パスワードとアプリケーションIDとの組と,にもとづいてユーザ認証を行うユーザ認証手段を備えていることを特徴とする。
【0016】
この発明は,上記サーバ装置に適した制御方法も提供している。すなわち,この方法は,サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するサーバ装置の制御方法において,ログイン用アプリケーション・プログラム/ID送信手段が,ログイン用アプリケーション・プログラムおよび上記ログイン用アプリケーション・プログラムを識別するアプリケーションIDを上記クライアント端末装置に送信し(ログイン用アプリケーション・プログラムとアプリケーションIDとは同時に送信してもよいし,時間的に別々に送信してもよい),パスワード/アプリケーションID記憶手段が,上記アプリケーションIDと,上記ログイン用アプリケーション・プログラム/ID送信手段から上記クライアント端末装置にログイン用アプリケーション・プログラムが送信されたことに応じて上記クライアント端末装置から送信される第1の認証用パスワードと,を対応づけて記憶し,パスワード/アプリケーションID受信手段が,上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムが上記クライアント端末装置においてインストールされ,かつ起動されたことに応じて上記クライアント端末装置から送信される,クライアント端末装置において入力された第2の認証用パスワードおよび上記アプリケーションIDを受信し,ユーザ認証手段が,上記パスワード/アプリケーションID受信手段によって受信した第2の認証用パスワードとアプリケーションIDとの組と,上記パスワード/アプリケーションID記憶手段に記憶されている第1の認証用パスワードとアプリケーションIDとの組と,にもとづいてユーザ認証を行うものである。
【0017】
この発明は,上記サーバ装置を制御するためのプログラムも提供している。このようなプログラムを格納した記録媒体も提供するようにしてもよい。
【0018】
この発明は,ユーザ認証システムを構成するクライアント端末装置も提供している。すなわち,サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するクライアント端末装置において,上記サーバ装置から送信されたログイン用アプリケーション・プログラムを受信したことに応じて,認証用パスワードを入力する第1の認証用パスワード入力手段,上記第1の認証用パスワード入力手段から入力された認証用パスワードを第1の認証用パスワードとして上記サーバ装置に送信する認証用パスワード送信手段,上記サーバ装置から送信されたログイン用アプリケーション・プログラムをインストールするログイン用アプリケーション・プログラム・インストール手段,上記サーバ装置から送信されたアプリケーションIDを,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶するアプリケーションID記憶手段,上記ログイン用アプリケーション・プログラムが起動されたことに応じて,第2の認証用パスワードを入力する第2の認証用パスワード入力手段,および上記第2の認証用パスワード入力手段から入力された第2の認証用パスワードおよび上記アプリケーションID記憶手段に記憶されたアプリケーションIDをユーザ認証用に上記サーバ装置に送信するパスワード/アプリケーションID送信手段を備えている。
【0019】
この発明は,上記クライアント端末装置に適した制御方法も提供している。すなわち,この方法は,サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するクライアント端末装置の制御方法において,第1の認証用パスワード入力手段が,上記サーバ装置から送信されたログイン用アプリケーション・プログラムを受信したことに応じて,認証用パスワードを入力し,認証用パスワード送信手段が,上記第1の認証用パスワード入力手段から入力された認証用パスワードを第1の認証用パスワードとして上記サーバ装置に送信し,ログイン用アプリケーション・プログラム・インストール手段が,上記サーバ装置から送信されたログイン用アプリケーション・プログラムをインストールし,アプリケーションID記憶手段が,上記サーバ装置から送信されたアプリケーションIDを,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶し,第2の認証用パスワード入力手段が,上記ログイン用アプリケーション・プログラムが起動されたことに応じて,第2の認証用パスワードを入力し,パスワード/アプリケーションID送信手段が,上記第2の認証用パスワード入力手段から入力された第2の認証用パスワードおよび上記アプリケーションID記憶手段に記憶されたアプリケーションIDをユーザ認証用に上記サーバ装置に送信するものである。
【0020】
この発明は,上記クライアント端末装置を制御するためのプログラムも提供している。このようなプログラムを格納した記録媒体を提供するようにしてもよい。
【実施例】
【0021】
図1は,この発明の実施例を示すもので,ユーザ認証システムの概要を示している。
【0022】
ユーザ認証システムには,インターネットを介して互いに通信可能なユーザPC(パーソナル・コンピュータ:ユーザ端末装置)1,:携帯電話(クライアント端末装置)2,代理サーバ(サーバ装置4),管理者PC8およびウェブ・サーバ9が含まれている。
【0023】
携帯電話2には,後述する動作を行うためのクライアント・プログラム3がインストールされている。また,代理サーバ4には後述する動作を行うための第1のサーバ・プログラム5が,ウェブ・サーバ9には後述する動作を行うための第2のサーバ・プログラム10がそれぞれインストールされている。これらのサーバ・プログラムは,インターネットを介して送信されたものをインストールするようにしてもよいし,メモリ・カード,CD-ROM(コンパクト・ディスク−リード・オンリ・メモリ)などに格納されているプログラムを読み取ってインストールするようにしてもよい。
【0024】
代理サーバ4には,詳しくは後述するように仮登録用のデータが格納される仮登録用データベース6およびユーザ情報が格納されるユーザ情報データベース7が接続されている。
【0025】
ユーザPC1,代理サーバ4,管理者PC8およびウェブ・サーバ9には,CPU,メモリ,通信装置,ハードディスク,ハードディスク・ドライブなどが含まれている。
【0026】
この実施例においては,クライアント端末装置は,携帯電話2であるが,携帯電話に限らず,他の携帯型端末装置,パーソナル・コンピュータなどでもよい。
【0027】
図2は,携帯電話2の電気的構成を示すブロック図である。
【0028】
携帯電話2の全体の動作は,制御装置20によって統括される。
【0029】
制御装置20には,通信装置26が接続されており,アンテナ25を介してインターネット等と通信できる。また,制御装置20には,制御プログラム,所定のデータ等が格納されている第1のメモリ27,音声制御装置22およびLCD(液晶表示装置)ドライバ23も接続されている。音声制御装置22には,マイクロフォンおよびスピーカ21が接続されており,音声の入出力が可能である。LCDドライバ23には,液晶表示装置24が接続されており,画像等が表示される。
【0030】
また,携帯電話2には,アプリケーションCPU29も含まれている。アプリケーションCPU29には,所定のデータ等を格納する第2のメモリ28,電源回路30および撮像素子31が接続されている。
【0031】
図3は,ユーザ情報テーブルの一例である。
【0032】
詳しくは後述するように,この実施例ではユーザ認証が行われる。ユーザ認証されるユーザのIDがユーザIDである。そのユーザ認証においてログイン・アプリケーション・プログラム(通常のアプリケーション・プログラムにログイン認証機能を備えたものでもよい)が利用され,ログイン・アプリケーション・プログラムを識別するものがアプリケーションID(アクティベーションID)である。ユーザ情報テーブルには,ユーザID,アプリケーションID,パスワードなどが格納されている。アプリケーションIDおよびパスワードはハッシュされている。ユーザ情報テーブルには他のユーザ情報も格納されているが図3においては省略されている。
【0033】
ユーザ情報テーブルは,代理サーバ4に接続されているユーザ情報データベース7に格納される。
【0034】
図4は,URLテーブルの一例である。
【0035】
この実施例では,ユーザ認証が行われると,ウェブ・サーバ9から代理サーバ4を介して携帯電話2にウェブ・ページ・データが送信される。そのウェブ・ページ・データの格納場所を表すURL(Uniform Resource Locator)(固有URLということにする)が変換されたURL(一時URLということにする)を表すデータが代理サーバ4から携帯電話2に送信される。携帯電話2からその一時URLのウェブ・ページのリクエストがあると,代理サーバ4を介してウェブ・サーバ9から携帯電話2にウェブ・ページ・データが送信される。このような処理のために,URLテーブルには,ユーザID,固定URLおよび一時URLが格納されている。
【0036】
URLテーブルも代理サーバ4に接続されているユーザ情報データベース7に格納されている。
【0037】
図5から図7は,ユーザ登録シーケンスの処理手順を示すフローチャートである。図7は管理者PC8に表示されるウインドウの一例を,図8はユーザPC1に表示されるウインドウの一例を,図9から図12は携帯電話2に表示される画像の一例をそれぞれ示している。
【0038】
図8を参照して,携帯電話2によるサービスを管理する管理者PC8に,そのサービスの新規ユーザとなるユーザ情報が格納されている。管理者PC8に格納されている新規ユーザ情報が読み出され,管理者PC8の表示画面に新規ユーザ登録ウインドウ90が表示される。新規ユーザ登録ウインドウ90には,ユーザのアカウント名,名前,パーソナル・コンピュータを用いた電子メールのアドレス(PCメール・アドレス)および携帯電話2の電子メール・アドレス(携帯メール・アドレス)などのユーザ情報が表示されている。これらのユーザ情報が管理者PC8から代理サーバ4に送信される(図5ステップ42)。
【0039】
管理者PC8から送信されたユーザ情報が代理サーバ4において受信されると(図5ステップ51),これらのユーザ情報がユーザ情報データベース7に格納される(図5ステップ52)。また,代理サーバ4において,仮ユーザIDが含まれている仮パスワード,ログインのための仮URLが生成される(図5ステップ52)。仮パスワードは,たとえば,10文字程度の文字列(数字列)であり,その文字列中の複数の文字列が仮ユーザIDとされる(仮ユーザID付仮パスワード)。生成された仮パスワードおよび仮URLは,仮登録用データベース6に格納される。生成された仮パスワードは,代理サーバ4からPCメール・アドレス宛に電子メールでユーザPC1に送信される(図5ステップ53)。
【0040】
代理サーバ4から送信された仮パスワードがユーザPC1において受信される(図5ステップ41)。
【0041】
図9は,ユーザPC1の表示画面に表示されるメール表示ウインドウ100の一例である。メール表示ウインドウ100には,ユーザ登録用の仮パスワードを知らせる旨の文字列103と仮パスワード102が表示されている。携帯電話2のユーザは,ユーザPC1の表示画面に表示される仮パスワードを見ることにより,仮パスワードを知ることができる。
【0042】
また,代理サーバ4から携帯電話2に仮URLを表すデータも携帯電話2の電子メール・アドレス宛に電子メールで送信される(図6ステップ54)。
【0043】
図10は,携帯電話2の表示画面の一例である。代理サーバ4から送信された電子メールが携帯電話10において受信され(図6ステップ71),その電子メールが開かれると,その電子メールの内容が携帯電話2の表示画面100に表示される。携帯電話2の表示画面100には,ユーザ登録の電子メールの本文110が表示される。電子メール本文110の下に仮URLの文字列111がクリッカブルに表示される。携帯電話2のユーザによって,仮URLの文字列111がクリックされると,その仮URLの文字列111を表すデータおよびリクエスト・データが携帯電話2から代理サーバ4に送信されることにより,その仮URLをもつウェブ・ページが代理サーバ4にリクエストされる(図6ステップ72)。
【0044】
携帯電話2から送信されたデータによって表される仮URLの文字列111が有効なものかどうか(代理サーバ4から携帯電話2に送信されたものかどうか)が確認される(図6ステップ55)。仮URLの文字列111が有効なものであれば(代理サーバ4から携帯電話2に送信されたものであれば)(図6ステップ55でYES),ユーザ登録用のウェブ・ページ・データが代理サーバ4から携帯電話2に送信される(図6ステップ56)。仮URL111の文字列が有効なものでなければ(図6ステップ55でNO),エラー処理となる。
【0045】
代理サーバ4から送信されたユーザ登録用ウェブ・ページ・データが携帯電話2において受信されると,携帯電話2の表示画面には,図11に示すウェブ・ページ上でのユーザ登録画像121が表示される。ユーザ登録画像121には,ログイン・アプリケーション・プログラムをインストールする旨の文字列123の下にインストール開始の文字列122がクリッカブルに表示されている。インストール開始の文字列122がクリックされると,ログイン・アプリケーション・プログラムをリクエストするリクエスト・データが携帯電話2から代理サーバ4に送信される(図6ステップ73)。
【0046】
携帯電話2から送信されたリクエスト・データが代理サーバ4において受信されると,ログイン・アプリケーション・プログラムが代理サーバ4から携帯電話2に送信される(図6ステップ57)。
【0047】
代理サーバ4から送信されたログイン・アプリケーション・プログラムが携帯電話2において受信されると,ログイン・アプリケーション・プログラムのインストールが開始される(図6ステップ74)。ログイン・アプリケーション・プログラムのインストールが終了すると,携帯電話2の表示画面100には,図12に示す仮パスワード入力画像131が表示される(図6ステップ75)。仮パスワード入力画像131には,仮パスワードの入力を促す文字列133が表示されている。この文字列133の下に仮パスワード入力領域132および送信ボタン133が形成されている。携帯電話2のユーザによって,ユーザPC1に電子メールで届いている仮ユーザID付き仮パスワードが入力される(図6ステップ76)。仮パスワードが入力されるごとに仮パスワード入力領域132にアスタリスクが表示される。携帯電話2のユーザによって,送信ボタン133が押されると(クリックされると),入力された仮パスワードが携帯電話2から代理サーバ4に送信される(図6ステップ77)。
【0048】
携帯電話2から送信された仮パスワードが代理サーバ4において受信されると,受信された仮パスワードが正しいものかが確認される(図6ステップ54)。仮パスワードが正しいことが確認されると(図6ステップ58でYES),仮URLのウェブ・ページを経由して代理サーバ4にアクセスしたかどうかが確認される(図6ステップ59)。仮URLのウェブ・ページを経由して代理サーバ4にアクセスしている場合には(図6ステップ59でYES),代理サーバ4によって仮登録が許可されたユーザであると考えられるので,代理サーバ4から携帯電話2に承認コマンドが送信される(図7ステップ60)。
【0049】
仮パスワードが有効なものでない場合(図6ステップ58でNO),仮URLのウェブ・ページを経由していない場合(図6ステップ59でNO)には,エラー処理が行われる。仮URLのウェブ・ページを経由して代理サーバ4にアクセスしたかどうかが確認されるので,ログイン・アプリケーション・プログラムのみを不正に取得したユーザによる不正ユーザ認証を未然に防止できる。仮パスワード,仮URLなどは仮登録用データベース6に格納されているのはいうまでもない。
【0050】
代理サーバ4から送信された承認コマンドが携帯電話2において受信されると,ログイン・アプリケーション・プログラムによって,図13に示すパスワード設定画像141が表示される(図7ステップ78)。パスワード設定画像141には,パスワードを設定する旨の文字列144が表示されている。仮パスワードは代理サーバ4から送信されたものであるが,設定されるパスワードはユーザによって決定されるものである。文字列144の下にはパスワード入力領域142および送信ボタン143が形成されている。ユーザによって入力された新たなパスワード(第1の認証用パスワード)がパスワード入力領域142に表示される(図7ステップ79)。送信ボタン143が押されると(送信ボタン143がクリックされると),入力された新たなパスワードおよび仮パスワードに含まれている仮ユーザIDが携帯電話2から代理サーバ4に送信される(図7ステップ80)。
【0051】
携帯電話2から送信されたパスワードと仮ユーザIDが代理サーバ4において受信されると,受信したパスワードが代理サーバ4に登録される(図7ステップ61)。また,新たなユーザIDおよびアプリケーションIDが生成される(図7ステップ62)。アプリケーションIDは,携帯電話2にインストールされたログイン・アプリケーション・プログラムを識別するものであり,携帯電話2にインストールされたログイン・アプリケーション・プログラムに固有(携帯電話2に固有)のものである。パスワードおよびアプリケーションIDはチャレンジ・キーでハッシュされて,図3に示すようにユーザIDに対応してユーザ情報テーブルに格納される(図7ステップ62)。ユーザ情報テーブルには,生成されたユーザIDに対応してその他のユーザ情報も格納されているのはいうまでもない。代理サーバ4から携帯電話2には,OKコマンド,ユーザIDおよびアプリケーションIDが送信される(図7ステップ63)。
【0052】
代理サーバ4から送信されたOKコマンド,ユーザIDおよびアプリケーションIDが携帯電話2において受信されると,ユーザIDおよびアプリケーションIDが,メモリの記憶領域のうち,ログイン・アプリケーション・プログラムのみによってアクセス可能なスクラッチ・パッド領域に格納される(図7ステップ81)。スクラッチ・パッド領域は,携帯電話2の第1のメモリ27または第2のメモリ28のいずれに形成されてもよい。携帯電話2の表示画面100には,ログイン・アプリケーション・プログラムによって,図14に示す設定完了画像151が表示される(図7ステップ82)。設定完了画像151には,設定完了の文字列153が表示されている。この設定完了の文字列153の下には,サービス・トップへの文字列が表示されているサービス・トップ・ボタン152がクリッカブルに表示されているサービス・トップ・ボタン152が押されると,所定のサービスのウェブ・ページがリクエストされる。
【0053】
以上のようなユーザ登録シーケンスによって,代理サーバ4にユーザID等が登録される。
【0054】
図15および図16はユーザ・ログイン・シーケンスの処理手順を示すフローチャート,図17から図19は携帯電話2に表示される画像の一例である。
【0055】
携帯電話2の電源がオンされ,携帯電話2の表示画面100に,図17に示すように,保存アプリケーション一覧表示画像が表示される(図15ステップ161)。図17を参照して,保存アプリケーション一覧表示画像190には,携帯電話2にインストールされているアプリケーション・プログラムが一覧で表示される。「GPS地図」,「パズル・ゲーム」,「携帯サービス」の文字列がクリッカブルに表示されており,これらの文字列によって特定されるアプリケーション・プログラムが携帯電話2にインストールされている。「携帯サービス」が上述したログイン・アプリケーション・プログラムによってログインされるアプリケーション・プログラムとする。
【0056】
携帯電話2のユーザによって「携帯サービス」がクリックされると(図15ステップ162),携帯サービスのログイン・アプリケーション・プログラムが起動させられる(図15ステップ163)。すると,携帯電話2の表示画面100には,図18に示すパスワード入力画像200が表示される(図15ステップ164)。パスワード入力画像200には,パスワード入力を促す文字列203が表示されている。この文字列203の下にパスワード入力領域201および送信ボタン202が形成されている。携帯電話203のテン・キーパッドを用いてユーザによって設定されたパスワード(第2の認証用パスワード)が入力される(図16ステップ165)。入力されたパスワードがパスワード入力領域201に表示される。送信ボタン202が押されると(図15ステップ166でYES),携帯電話2から代理サーバ4に,上記第1の認証用パスワードとアプリケーションIDとをハッシュするのに用いられたチャレンジ・キーと同じチャレンジ・キーがリクエストされる(図16ステップ167)。
【0057】
携帯電話2からのリクエストに応じて,代理サーバ4から携帯電話2にチャレンジ・キーが送信される(図16ステップ181)。
【0058】
携帯電話2においては,スクラッチ・パッド領域に記憶されているユーザIDおよびアプリケーションIDが読み取られる(図16ステップ168)。読み取られたユーザIDおよびアプリケーションIDが,代理サーバ4から送信されたチャレンジ・キーによってハッシュされる(図16ステップ109)。すると,ユーザIDならびにハッシュされたパスワードおよびハッシュされたアプリケーションIDが携帯電話2から代理サーバ4に送信される(図16ステップ170)。
【0059】
携帯電話2から送信されたユーザIDならびにハッシュされたパスワードおよびハッシュされたアプリケーションIDが代理サーバ4において受信されると,ユーザ情報データベース7に格納されているユーザ情報テーブルから,受信したユーザIDに対応して記憶されているハッシュ済みパスワードおよびハッシュ済みアプリケーションIDが読み取られる(図16ステップ182)。ユーザ情報テーブルから読み取られたハッシュ済みパスワードとハッシュ済みアプリケーションIDとの組と,携帯電話2から送信されたハッシュ済みパスワードとハッシュ済みアプリケーションIDとの組とが一致するかどうかが確認される(図16ステップ183)。
【0060】
これらの組が一致すれば,携帯電話2のユーザは,登録済みのユーザであるとしてユーザ認証される。すると,携帯サービスのウェブ・ページのトップ・ページのURLが変更されられたURL(一時URL)を表すデータが代理サーバ4から携帯電話2に送信される(図16ステップ184)。これらの組が不一致であれば,エラー処理が行われる。
【0061】
代理サーバ4から送信された一時URLを表すデータが携帯電話2において受信されると,一時URLのウェブ・ページが代理サーバ4にリクエストされる(図16ステップ171)。
【0062】
携帯電話2から代理サーバ4に一時URLのウェブ・ページのリクエストがあると,そのURLテーブルを参照して,一時URLが固定URLに戻される(図16ステップ185)。すると,固定URLのウェブ・ページが代理サーバ4からウェブ・サーバ9にリクエストされる(図16ステップ186)。リクエストに応じて,ウェブ・サーバ9から代理サーバ4に固定URLのウェブ・ページを表すデータが送信されると,そのウェブ・ページ・データが代理サーバ4において受信される(図16ステップ187)。受信されたウェブ・ページ・データが代理サーバ4から携帯電話2に送信される(図16ステップ187)。
【0063】
代理サーバ4から送信されたウェブ・ページ・データが携帯電話172において受信されると,携帯電話2の表示画面100には図19に示すサービス・トップ・ページ210が表示される(図16ステップ172)。携帯電話2のユーザは,サービス・トップ・ページ210から携帯サービスを利用できるようになる。
【0064】
上述の実施例においては,アプリケーションIDおよびパスワードがハッシュされて携帯電話2から代理サーバ4に送信されているが,かならずしもハッシュされなくともよい。その場合には,アプリケーションIDおよびパスワードは代理サーバ4が認識できるので,送信されたハッシュされていないアプリケーションIDおよびパスワードを用いて携帯電話2のユーザ認証ができるので,携帯電話2から代理サーバ4にユーザIDが送信されなくともよい。
【0065】
上述の実施例では,ログイン・アプリケーション・プログラムが格納されている携帯電話2からの代理サーバ4へのアクセスと入力パスワードとからユーザ認証が行われているので,二要素認証を実現できる。しかも,アプリケーションIDは携帯電話2に固有のものなので,ログイン・アプリケーション・プログラムを不正にインストールし,他人のパスワードを利用してもユーザ認証されない。また,ログイン・アプリケーション・プログラムがインストールされている携帯電話2が紛失され,かつパスワードが盗まれた場合であっても代理サーバ4に格納されているアプリケーションIDを削除すればユーザ認証できなくなる。さらに,ユーザ認証後に携帯電話2には一時URLを表すデータが送信され,その一時URLを持つウェブ・ページのリクエストがあったことにより,サービスのトップ・ページを表すデータが携帯電話2に送信されるから,サービスのトップ・ページに直接アクセスしてもエラー処理とすることができる。
【図面の簡単な説明】
【0066】
【図1】ユーザ認証システムの概要を示している。
【図2】携帯電話の電気的構成を示すブロック図である。
【図3】ユーザ情報テーブルの一例である。
【図4】URLテーブルの一例である。
【図5】ユーザ登録処理手順を示すフローチャートである。
【図6】ユーザ登録処理手順を示すフローチャートである。
【図7】ユーザ登録処理手順を示すフローチャートである。
【図8】管理者PCに表示されるウインドウの一例である。
【図9】ユーザPCに表示されるウインドウの一例である。
【図10】携帯電話に表示される画像の一例である。
【図11】携帯電話に表示される画像の一例である。
【図12】携帯電話に表示される画像の一例である。
【図13】携帯電話に表示される画像の一例である。
【図14】携帯電話に表示される画像の一例である。
【図15】ユーザ・ログイン処理手順を示すフローチャートである。
【図16】ユーザ・ログイン処理手順を示すフローチャートである。
【図17】携帯電話に表示される画像の一例である。
【図18】携帯電話に表示される画像の一例である。
【図19】携帯電話に表示される画像の一例である。
【符号の説明】
【0067】
2 携帯電話
4 代理サーバ
6 仮登録用データベース
7 ユーザ情報データベース
9 ウェブ・サーバ
【技術分野】
【0001】
この発明は,クライアント認証システムならびにサーバ装置およびクライアント端末装置ならびにそれらの制御方法およびそれらの制御プログラムに関する。
【背景技術】
【0002】
アクセス権限があるかどうかを確認するためにユーザ認証が行われる。ユーザ認証は,たとえば,ユーザIDとパスワードとが利用される。しかしながら,ユーザIDとパスワードとは,クライアント端末装置とサーバ装置との通信が行われるごとに通信されるから傍受されやすい。クライアント証明書を用いたものもあるが(特許文献1),携帯電話などでは対応していないものもある。
【特許文献1】特開平11-272614号公報
【発明の開示】
【0003】
この発明は,比較的簡単に二要素認証を行うことを目的とする。
【0004】
この発明は,サーバ装置とクライアント端末装置とを含むクライアント認証システムについてのものである。
【0005】
上記サーバ装置は,ログイン用アプリケーション・プログラムおよび上記ログイン用アプリケーション・プログラムを識別するアプリケーションID(クライアント端末装置を識別するクライアントID)を上記クライアント端末装置に送信するログイン用アプリケーション・プログラム/ID送信手段,および上記アプリケーションIDと,上記ログイン用アプリケーション・プログラム/ID送信手段から上記クライアント端末装置にログイン用アプリケーション・プログラムが送信されたことに応じて上記クライアント端末装置から送信される認証用パスワードと,を対応づけて記憶するパスワード/アプリケーションID記憶手段を備えている。
【0006】
上記クライアント端末装置は,上記サーバ装置の上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムを受信したことに応じて,認証用パスワードを入力する第1の認証用パスワード入力手段,上記第1の認証用パスワード入力手段から入力された認証用パスワードを上記第1の認証用パスワードとして上記サーバ装置に送信する認証用パスワード送信手段,上記サーバ装置の上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムをインストールするログイン用アプリケーション・プログラム・インストール手段,上記サーバ装置の上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたアプリケーションIDを,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶するアプリケーションID記憶手段,上記ログイン用アプリケーション・プログラムが起動されたことに応じて,第2の認証用パスワードを入力する第2の認証用パスワード入力手段,上記第2の認証用パスワード入力手段から入力された第2の認証用パスワードおよび上記アプリケーションID記憶手段に記憶されたアプリケーションIDをユーザ認証用に上記サーバ装置に送信するパスワード/アプリケーションID送信手段を備えている。
【0007】
上記サーバ装置は,上記クライアント端末装置の上記パスワード/アプリケーションID送信手段によって送信された第2の認証用パスワードとアプリケーションIDとの組と,上記パスワード/アプリケーションID記憶手段に記憶されている第1の認証用パスワードとアプリケーションIDとの組と,にもとづいて,ユーザ認証を行うユーザ認証手段をさらに備えている。
【0008】
この発明によると,サーバ装置からクライアント端末装置に,ログイン用アプリケーション・プログラムおよびアプリケーションIDが送信される。すると,クライアント端末装置において第1の認証用パスワードが入力され,入力された第1の認証用パスワードがサーバ装置に送信される。サーバ装置において,第1の認証用パスワードとアプリケーションIDとが対応づけられて記憶される。
【0009】
クライアント端末装置において,ログイン用アプリケーション・プログラムがインストールされ,アプリケーションIDが記憶される。クライアント端末装置においてログイン用アプリケーション・プログラムが起動させられると,第2の認証用パスワードが入力される。入力された第2の認証用パスワードとアプリケーション用IDとがクライアント端末装置からサーバ装置に送信される。
【0010】
サーバ装置において,クライアント端末装置から送信された第2の認証用パスワードとアプリケーション用IDとの組と,サーバ装置に記憶されている第1の認証用パスワードとアプリケーション用IDとの組とにもとづいてユーザ認証が行われる。
【0011】
第1の認証用パスワードおよび第2の認証用パスワード(これらのパスワードは同じものの筈である)は,クライアント端末装置のユーザのみが知っているものであり,アプリケーション用IDはクライアント端末装置に固有のものである。クライアント端末装置のユーザのみが知っている第1の認証用パスワードおよび第2の認証用パスワードの一要素と,クライアント端末装置に固有のアプリケーション用IDの一要素と,の二要素を用いてユーザ認証を行うことができるようになる。
【0012】
上記サーバ装置が,仮URLを表す仮URLデータを上記クライアント端末装置に送信する仮URLデータ送信手段,上記クライアント端末装置と異なるユーザ端末装置に第1の仮パスワードを送信する仮パスワード送信手段,上記クライアント端末装置から,上記仮URLデータ送信手段から送信された仮URLデータによって表される仮URLをもつウェブ・ページのリクエストがあったかどうかを判定する判定手段,上記判定手段によって,仮URLをもつウェブ・ページのリクエストがあったと判定されたことに応じて,仮パスワード入力用画像データを上記クライアント端末装置に送信する仮パスワード入力用画像データ送信手段,上記仮パスワード入力用画像データ送信手段によって仮パスワード入力用画像データが上記クライアント端末装置に送信されたことに応じて,上記クライアント端末装置から送信される第2の仮パスワードを受信する仮パスワード受信手段,および上記仮パスワード受信手段によって受信した第2の仮パスワードと上記仮パスワード送信手段によって送信された第1の仮パスワードとが一致したことに応じて,上記第1の認証用パスワードを入力するための認証用パスワード入力画像を表す認証用パスワード入力画像データを上記クライアント端末装置に送信する認証用パスワード入力画像データ送信手段をさらに備えてもよい。この場合,上記クライアント端末装置の上記第1の認証用パスワード入力手段は,上記認証用パスワード入力画像データ送信手段から送信された認証用パスワード入力画像データによって表される認証用パスワード入力画像を用いて認証用パスワードを入力するものとなろう。
【0013】
上記サーバ装置が,上記クライアント端末装置に,上記アプリケーションIDに関連付けられたユーザIDを送信するユーザID送信手段をさらに備えてもよい。この場合,上記パスワード/アプリケーションID記憶手段に記憶されるパスワードとアプリケーションIDとはハッシュされているものでもよい。上記クライアント端末装置の上記アプリケーションID記憶手段は,上記サーバ装置の上記ユーザID送信手段から送信されたユーザIDを上記アプリケーションIDとともに,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶するものであり,上記クライアント端末装置の上記パスワード/アプリケーションID通信手段は,上記ユーザIDとハッシュされたパスワードおよびハッシュされたアプリケーションIDとを上記クライアント端末装置に送信するものとなろう。そして,上記サーバ装置は,上記クライアント端末装置の上記パスワード/アプリケーションID送信手段から送信されたユーザIDにもとづいて上記パスワード/アプリケーションID記憶手段に記憶され,ハッシュされたパスワードとハッシュされたアプリケーションIDとを見つける検出手段をさらに備え,上記サーバ装置の上記ユーザ認証手段は,上記検出手段によって見つけられ,ハッシュされたパスワードとハッシュされたアプリケーションIDとの組と上記クライアント端末装置のパスワード/アプリケーションID送信手段から送信され,ハッシュされたパスワードとハッシュされたアプリケーションIDとの組にもとづいてユーザ認証を行うものとなろう。
【0014】
上記サーバ装置が,上記サーバ装置のユーザ認証手段によりユーザ認証されたことに応じて,ウェブ・サーバに格納されているウェブ・ページの格納場所を示す固定URLと異なる一時URLを表すデータを上記クライアント端末装置に送信する一時URLデータ送信手段をさらに備えてもよい。この場合,上記クライアント端末装置は,上記サーバ装置の上記一時URLデータ送信手段から送信された一時URLを表すデータを受信したことに応じて,一時URLをもつウェブ・ページをリクエストする第1のリクエスト手段をさらに備えることとなろう。そして,上記サーバ装置は,上記クライアント端末装置の上記第1のリクエスト手段によるリクエストに応じて,上記固定URLをもつウェブ・ページを表すウェブ・ページ・データを上記ウェブ・サーバにリクエストする第2のリクエスト手段,および上記第2のリクエスト手段によるリクエストに応じて,上記ウェブ・サーバから送信されるウェブ・ページ・データを上記クライアント端末装置に送信するウェブ・ページ・データ送信手段をさらに備えることとなろう。
【0015】
この発明は,上記ユーザ認証システムを構成するサーバ装置も提供している。すなわち,サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するサーバ装置において,ログイン用アプリケーション・プログラムおよび上記ログイン用アプリケーション・プログラムを識別するアプリケーションIDを上記クライアント端末装置に送信するログイン用アプリケーション・プログラム/ID送信手段,上記アプリケーションIDと,上記ログイン用アプリケーション・プログラム/ID送信手段から上記クライアント端末装置にログイン用アプリケーション・プログラムが送信されたことに応じて上記クライアント端末装置から送信される第1の認証用パスワードと,を対応づけて記憶するパスワード/アプリケーションID記憶手段,上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムが上記クライアント端末装置においてインストールされ,かつ起動されたことに応じて上記クライアント端末装置から送信される,クライアント端末装置において入力された第2の認証用パスワードおよび上記アプリケーションIDを受信するパスワード/アプリケーションID受信手段,ならびに上記パスワード/アプリケーションID受信手段によって受信した第2の認証用パスワードとアプリケーションIDとの組と,上記パスワード/アプリケーションID記憶手段に記憶されている第1の認証用パスワードとアプリケーションIDとの組と,にもとづいてユーザ認証を行うユーザ認証手段を備えていることを特徴とする。
【0016】
この発明は,上記サーバ装置に適した制御方法も提供している。すなわち,この方法は,サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するサーバ装置の制御方法において,ログイン用アプリケーション・プログラム/ID送信手段が,ログイン用アプリケーション・プログラムおよび上記ログイン用アプリケーション・プログラムを識別するアプリケーションIDを上記クライアント端末装置に送信し(ログイン用アプリケーション・プログラムとアプリケーションIDとは同時に送信してもよいし,時間的に別々に送信してもよい),パスワード/アプリケーションID記憶手段が,上記アプリケーションIDと,上記ログイン用アプリケーション・プログラム/ID送信手段から上記クライアント端末装置にログイン用アプリケーション・プログラムが送信されたことに応じて上記クライアント端末装置から送信される第1の認証用パスワードと,を対応づけて記憶し,パスワード/アプリケーションID受信手段が,上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムが上記クライアント端末装置においてインストールされ,かつ起動されたことに応じて上記クライアント端末装置から送信される,クライアント端末装置において入力された第2の認証用パスワードおよび上記アプリケーションIDを受信し,ユーザ認証手段が,上記パスワード/アプリケーションID受信手段によって受信した第2の認証用パスワードとアプリケーションIDとの組と,上記パスワード/アプリケーションID記憶手段に記憶されている第1の認証用パスワードとアプリケーションIDとの組と,にもとづいてユーザ認証を行うものである。
【0017】
この発明は,上記サーバ装置を制御するためのプログラムも提供している。このようなプログラムを格納した記録媒体も提供するようにしてもよい。
【0018】
この発明は,ユーザ認証システムを構成するクライアント端末装置も提供している。すなわち,サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するクライアント端末装置において,上記サーバ装置から送信されたログイン用アプリケーション・プログラムを受信したことに応じて,認証用パスワードを入力する第1の認証用パスワード入力手段,上記第1の認証用パスワード入力手段から入力された認証用パスワードを第1の認証用パスワードとして上記サーバ装置に送信する認証用パスワード送信手段,上記サーバ装置から送信されたログイン用アプリケーション・プログラムをインストールするログイン用アプリケーション・プログラム・インストール手段,上記サーバ装置から送信されたアプリケーションIDを,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶するアプリケーションID記憶手段,上記ログイン用アプリケーション・プログラムが起動されたことに応じて,第2の認証用パスワードを入力する第2の認証用パスワード入力手段,および上記第2の認証用パスワード入力手段から入力された第2の認証用パスワードおよび上記アプリケーションID記憶手段に記憶されたアプリケーションIDをユーザ認証用に上記サーバ装置に送信するパスワード/アプリケーションID送信手段を備えている。
【0019】
この発明は,上記クライアント端末装置に適した制御方法も提供している。すなわち,この方法は,サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するクライアント端末装置の制御方法において,第1の認証用パスワード入力手段が,上記サーバ装置から送信されたログイン用アプリケーション・プログラムを受信したことに応じて,認証用パスワードを入力し,認証用パスワード送信手段が,上記第1の認証用パスワード入力手段から入力された認証用パスワードを第1の認証用パスワードとして上記サーバ装置に送信し,ログイン用アプリケーション・プログラム・インストール手段が,上記サーバ装置から送信されたログイン用アプリケーション・プログラムをインストールし,アプリケーションID記憶手段が,上記サーバ装置から送信されたアプリケーションIDを,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶し,第2の認証用パスワード入力手段が,上記ログイン用アプリケーション・プログラムが起動されたことに応じて,第2の認証用パスワードを入力し,パスワード/アプリケーションID送信手段が,上記第2の認証用パスワード入力手段から入力された第2の認証用パスワードおよび上記アプリケーションID記憶手段に記憶されたアプリケーションIDをユーザ認証用に上記サーバ装置に送信するものである。
【0020】
この発明は,上記クライアント端末装置を制御するためのプログラムも提供している。このようなプログラムを格納した記録媒体を提供するようにしてもよい。
【実施例】
【0021】
図1は,この発明の実施例を示すもので,ユーザ認証システムの概要を示している。
【0022】
ユーザ認証システムには,インターネットを介して互いに通信可能なユーザPC(パーソナル・コンピュータ:ユーザ端末装置)1,:携帯電話(クライアント端末装置)2,代理サーバ(サーバ装置4),管理者PC8およびウェブ・サーバ9が含まれている。
【0023】
携帯電話2には,後述する動作を行うためのクライアント・プログラム3がインストールされている。また,代理サーバ4には後述する動作を行うための第1のサーバ・プログラム5が,ウェブ・サーバ9には後述する動作を行うための第2のサーバ・プログラム10がそれぞれインストールされている。これらのサーバ・プログラムは,インターネットを介して送信されたものをインストールするようにしてもよいし,メモリ・カード,CD-ROM(コンパクト・ディスク−リード・オンリ・メモリ)などに格納されているプログラムを読み取ってインストールするようにしてもよい。
【0024】
代理サーバ4には,詳しくは後述するように仮登録用のデータが格納される仮登録用データベース6およびユーザ情報が格納されるユーザ情報データベース7が接続されている。
【0025】
ユーザPC1,代理サーバ4,管理者PC8およびウェブ・サーバ9には,CPU,メモリ,通信装置,ハードディスク,ハードディスク・ドライブなどが含まれている。
【0026】
この実施例においては,クライアント端末装置は,携帯電話2であるが,携帯電話に限らず,他の携帯型端末装置,パーソナル・コンピュータなどでもよい。
【0027】
図2は,携帯電話2の電気的構成を示すブロック図である。
【0028】
携帯電話2の全体の動作は,制御装置20によって統括される。
【0029】
制御装置20には,通信装置26が接続されており,アンテナ25を介してインターネット等と通信できる。また,制御装置20には,制御プログラム,所定のデータ等が格納されている第1のメモリ27,音声制御装置22およびLCD(液晶表示装置)ドライバ23も接続されている。音声制御装置22には,マイクロフォンおよびスピーカ21が接続されており,音声の入出力が可能である。LCDドライバ23には,液晶表示装置24が接続されており,画像等が表示される。
【0030】
また,携帯電話2には,アプリケーションCPU29も含まれている。アプリケーションCPU29には,所定のデータ等を格納する第2のメモリ28,電源回路30および撮像素子31が接続されている。
【0031】
図3は,ユーザ情報テーブルの一例である。
【0032】
詳しくは後述するように,この実施例ではユーザ認証が行われる。ユーザ認証されるユーザのIDがユーザIDである。そのユーザ認証においてログイン・アプリケーション・プログラム(通常のアプリケーション・プログラムにログイン認証機能を備えたものでもよい)が利用され,ログイン・アプリケーション・プログラムを識別するものがアプリケーションID(アクティベーションID)である。ユーザ情報テーブルには,ユーザID,アプリケーションID,パスワードなどが格納されている。アプリケーションIDおよびパスワードはハッシュされている。ユーザ情報テーブルには他のユーザ情報も格納されているが図3においては省略されている。
【0033】
ユーザ情報テーブルは,代理サーバ4に接続されているユーザ情報データベース7に格納される。
【0034】
図4は,URLテーブルの一例である。
【0035】
この実施例では,ユーザ認証が行われると,ウェブ・サーバ9から代理サーバ4を介して携帯電話2にウェブ・ページ・データが送信される。そのウェブ・ページ・データの格納場所を表すURL(Uniform Resource Locator)(固有URLということにする)が変換されたURL(一時URLということにする)を表すデータが代理サーバ4から携帯電話2に送信される。携帯電話2からその一時URLのウェブ・ページのリクエストがあると,代理サーバ4を介してウェブ・サーバ9から携帯電話2にウェブ・ページ・データが送信される。このような処理のために,URLテーブルには,ユーザID,固定URLおよび一時URLが格納されている。
【0036】
URLテーブルも代理サーバ4に接続されているユーザ情報データベース7に格納されている。
【0037】
図5から図7は,ユーザ登録シーケンスの処理手順を示すフローチャートである。図7は管理者PC8に表示されるウインドウの一例を,図8はユーザPC1に表示されるウインドウの一例を,図9から図12は携帯電話2に表示される画像の一例をそれぞれ示している。
【0038】
図8を参照して,携帯電話2によるサービスを管理する管理者PC8に,そのサービスの新規ユーザとなるユーザ情報が格納されている。管理者PC8に格納されている新規ユーザ情報が読み出され,管理者PC8の表示画面に新規ユーザ登録ウインドウ90が表示される。新規ユーザ登録ウインドウ90には,ユーザのアカウント名,名前,パーソナル・コンピュータを用いた電子メールのアドレス(PCメール・アドレス)および携帯電話2の電子メール・アドレス(携帯メール・アドレス)などのユーザ情報が表示されている。これらのユーザ情報が管理者PC8から代理サーバ4に送信される(図5ステップ42)。
【0039】
管理者PC8から送信されたユーザ情報が代理サーバ4において受信されると(図5ステップ51),これらのユーザ情報がユーザ情報データベース7に格納される(図5ステップ52)。また,代理サーバ4において,仮ユーザIDが含まれている仮パスワード,ログインのための仮URLが生成される(図5ステップ52)。仮パスワードは,たとえば,10文字程度の文字列(数字列)であり,その文字列中の複数の文字列が仮ユーザIDとされる(仮ユーザID付仮パスワード)。生成された仮パスワードおよび仮URLは,仮登録用データベース6に格納される。生成された仮パスワードは,代理サーバ4からPCメール・アドレス宛に電子メールでユーザPC1に送信される(図5ステップ53)。
【0040】
代理サーバ4から送信された仮パスワードがユーザPC1において受信される(図5ステップ41)。
【0041】
図9は,ユーザPC1の表示画面に表示されるメール表示ウインドウ100の一例である。メール表示ウインドウ100には,ユーザ登録用の仮パスワードを知らせる旨の文字列103と仮パスワード102が表示されている。携帯電話2のユーザは,ユーザPC1の表示画面に表示される仮パスワードを見ることにより,仮パスワードを知ることができる。
【0042】
また,代理サーバ4から携帯電話2に仮URLを表すデータも携帯電話2の電子メール・アドレス宛に電子メールで送信される(図6ステップ54)。
【0043】
図10は,携帯電話2の表示画面の一例である。代理サーバ4から送信された電子メールが携帯電話10において受信され(図6ステップ71),その電子メールが開かれると,その電子メールの内容が携帯電話2の表示画面100に表示される。携帯電話2の表示画面100には,ユーザ登録の電子メールの本文110が表示される。電子メール本文110の下に仮URLの文字列111がクリッカブルに表示される。携帯電話2のユーザによって,仮URLの文字列111がクリックされると,その仮URLの文字列111を表すデータおよびリクエスト・データが携帯電話2から代理サーバ4に送信されることにより,その仮URLをもつウェブ・ページが代理サーバ4にリクエストされる(図6ステップ72)。
【0044】
携帯電話2から送信されたデータによって表される仮URLの文字列111が有効なものかどうか(代理サーバ4から携帯電話2に送信されたものかどうか)が確認される(図6ステップ55)。仮URLの文字列111が有効なものであれば(代理サーバ4から携帯電話2に送信されたものであれば)(図6ステップ55でYES),ユーザ登録用のウェブ・ページ・データが代理サーバ4から携帯電話2に送信される(図6ステップ56)。仮URL111の文字列が有効なものでなければ(図6ステップ55でNO),エラー処理となる。
【0045】
代理サーバ4から送信されたユーザ登録用ウェブ・ページ・データが携帯電話2において受信されると,携帯電話2の表示画面には,図11に示すウェブ・ページ上でのユーザ登録画像121が表示される。ユーザ登録画像121には,ログイン・アプリケーション・プログラムをインストールする旨の文字列123の下にインストール開始の文字列122がクリッカブルに表示されている。インストール開始の文字列122がクリックされると,ログイン・アプリケーション・プログラムをリクエストするリクエスト・データが携帯電話2から代理サーバ4に送信される(図6ステップ73)。
【0046】
携帯電話2から送信されたリクエスト・データが代理サーバ4において受信されると,ログイン・アプリケーション・プログラムが代理サーバ4から携帯電話2に送信される(図6ステップ57)。
【0047】
代理サーバ4から送信されたログイン・アプリケーション・プログラムが携帯電話2において受信されると,ログイン・アプリケーション・プログラムのインストールが開始される(図6ステップ74)。ログイン・アプリケーション・プログラムのインストールが終了すると,携帯電話2の表示画面100には,図12に示す仮パスワード入力画像131が表示される(図6ステップ75)。仮パスワード入力画像131には,仮パスワードの入力を促す文字列133が表示されている。この文字列133の下に仮パスワード入力領域132および送信ボタン133が形成されている。携帯電話2のユーザによって,ユーザPC1に電子メールで届いている仮ユーザID付き仮パスワードが入力される(図6ステップ76)。仮パスワードが入力されるごとに仮パスワード入力領域132にアスタリスクが表示される。携帯電話2のユーザによって,送信ボタン133が押されると(クリックされると),入力された仮パスワードが携帯電話2から代理サーバ4に送信される(図6ステップ77)。
【0048】
携帯電話2から送信された仮パスワードが代理サーバ4において受信されると,受信された仮パスワードが正しいものかが確認される(図6ステップ54)。仮パスワードが正しいことが確認されると(図6ステップ58でYES),仮URLのウェブ・ページを経由して代理サーバ4にアクセスしたかどうかが確認される(図6ステップ59)。仮URLのウェブ・ページを経由して代理サーバ4にアクセスしている場合には(図6ステップ59でYES),代理サーバ4によって仮登録が許可されたユーザであると考えられるので,代理サーバ4から携帯電話2に承認コマンドが送信される(図7ステップ60)。
【0049】
仮パスワードが有効なものでない場合(図6ステップ58でNO),仮URLのウェブ・ページを経由していない場合(図6ステップ59でNO)には,エラー処理が行われる。仮URLのウェブ・ページを経由して代理サーバ4にアクセスしたかどうかが確認されるので,ログイン・アプリケーション・プログラムのみを不正に取得したユーザによる不正ユーザ認証を未然に防止できる。仮パスワード,仮URLなどは仮登録用データベース6に格納されているのはいうまでもない。
【0050】
代理サーバ4から送信された承認コマンドが携帯電話2において受信されると,ログイン・アプリケーション・プログラムによって,図13に示すパスワード設定画像141が表示される(図7ステップ78)。パスワード設定画像141には,パスワードを設定する旨の文字列144が表示されている。仮パスワードは代理サーバ4から送信されたものであるが,設定されるパスワードはユーザによって決定されるものである。文字列144の下にはパスワード入力領域142および送信ボタン143が形成されている。ユーザによって入力された新たなパスワード(第1の認証用パスワード)がパスワード入力領域142に表示される(図7ステップ79)。送信ボタン143が押されると(送信ボタン143がクリックされると),入力された新たなパスワードおよび仮パスワードに含まれている仮ユーザIDが携帯電話2から代理サーバ4に送信される(図7ステップ80)。
【0051】
携帯電話2から送信されたパスワードと仮ユーザIDが代理サーバ4において受信されると,受信したパスワードが代理サーバ4に登録される(図7ステップ61)。また,新たなユーザIDおよびアプリケーションIDが生成される(図7ステップ62)。アプリケーションIDは,携帯電話2にインストールされたログイン・アプリケーション・プログラムを識別するものであり,携帯電話2にインストールされたログイン・アプリケーション・プログラムに固有(携帯電話2に固有)のものである。パスワードおよびアプリケーションIDはチャレンジ・キーでハッシュされて,図3に示すようにユーザIDに対応してユーザ情報テーブルに格納される(図7ステップ62)。ユーザ情報テーブルには,生成されたユーザIDに対応してその他のユーザ情報も格納されているのはいうまでもない。代理サーバ4から携帯電話2には,OKコマンド,ユーザIDおよびアプリケーションIDが送信される(図7ステップ63)。
【0052】
代理サーバ4から送信されたOKコマンド,ユーザIDおよびアプリケーションIDが携帯電話2において受信されると,ユーザIDおよびアプリケーションIDが,メモリの記憶領域のうち,ログイン・アプリケーション・プログラムのみによってアクセス可能なスクラッチ・パッド領域に格納される(図7ステップ81)。スクラッチ・パッド領域は,携帯電話2の第1のメモリ27または第2のメモリ28のいずれに形成されてもよい。携帯電話2の表示画面100には,ログイン・アプリケーション・プログラムによって,図14に示す設定完了画像151が表示される(図7ステップ82)。設定完了画像151には,設定完了の文字列153が表示されている。この設定完了の文字列153の下には,サービス・トップへの文字列が表示されているサービス・トップ・ボタン152がクリッカブルに表示されているサービス・トップ・ボタン152が押されると,所定のサービスのウェブ・ページがリクエストされる。
【0053】
以上のようなユーザ登録シーケンスによって,代理サーバ4にユーザID等が登録される。
【0054】
図15および図16はユーザ・ログイン・シーケンスの処理手順を示すフローチャート,図17から図19は携帯電話2に表示される画像の一例である。
【0055】
携帯電話2の電源がオンされ,携帯電話2の表示画面100に,図17に示すように,保存アプリケーション一覧表示画像が表示される(図15ステップ161)。図17を参照して,保存アプリケーション一覧表示画像190には,携帯電話2にインストールされているアプリケーション・プログラムが一覧で表示される。「GPS地図」,「パズル・ゲーム」,「携帯サービス」の文字列がクリッカブルに表示されており,これらの文字列によって特定されるアプリケーション・プログラムが携帯電話2にインストールされている。「携帯サービス」が上述したログイン・アプリケーション・プログラムによってログインされるアプリケーション・プログラムとする。
【0056】
携帯電話2のユーザによって「携帯サービス」がクリックされると(図15ステップ162),携帯サービスのログイン・アプリケーション・プログラムが起動させられる(図15ステップ163)。すると,携帯電話2の表示画面100には,図18に示すパスワード入力画像200が表示される(図15ステップ164)。パスワード入力画像200には,パスワード入力を促す文字列203が表示されている。この文字列203の下にパスワード入力領域201および送信ボタン202が形成されている。携帯電話203のテン・キーパッドを用いてユーザによって設定されたパスワード(第2の認証用パスワード)が入力される(図16ステップ165)。入力されたパスワードがパスワード入力領域201に表示される。送信ボタン202が押されると(図15ステップ166でYES),携帯電話2から代理サーバ4に,上記第1の認証用パスワードとアプリケーションIDとをハッシュするのに用いられたチャレンジ・キーと同じチャレンジ・キーがリクエストされる(図16ステップ167)。
【0057】
携帯電話2からのリクエストに応じて,代理サーバ4から携帯電話2にチャレンジ・キーが送信される(図16ステップ181)。
【0058】
携帯電話2においては,スクラッチ・パッド領域に記憶されているユーザIDおよびアプリケーションIDが読み取られる(図16ステップ168)。読み取られたユーザIDおよびアプリケーションIDが,代理サーバ4から送信されたチャレンジ・キーによってハッシュされる(図16ステップ109)。すると,ユーザIDならびにハッシュされたパスワードおよびハッシュされたアプリケーションIDが携帯電話2から代理サーバ4に送信される(図16ステップ170)。
【0059】
携帯電話2から送信されたユーザIDならびにハッシュされたパスワードおよびハッシュされたアプリケーションIDが代理サーバ4において受信されると,ユーザ情報データベース7に格納されているユーザ情報テーブルから,受信したユーザIDに対応して記憶されているハッシュ済みパスワードおよびハッシュ済みアプリケーションIDが読み取られる(図16ステップ182)。ユーザ情報テーブルから読み取られたハッシュ済みパスワードとハッシュ済みアプリケーションIDとの組と,携帯電話2から送信されたハッシュ済みパスワードとハッシュ済みアプリケーションIDとの組とが一致するかどうかが確認される(図16ステップ183)。
【0060】
これらの組が一致すれば,携帯電話2のユーザは,登録済みのユーザであるとしてユーザ認証される。すると,携帯サービスのウェブ・ページのトップ・ページのURLが変更されられたURL(一時URL)を表すデータが代理サーバ4から携帯電話2に送信される(図16ステップ184)。これらの組が不一致であれば,エラー処理が行われる。
【0061】
代理サーバ4から送信された一時URLを表すデータが携帯電話2において受信されると,一時URLのウェブ・ページが代理サーバ4にリクエストされる(図16ステップ171)。
【0062】
携帯電話2から代理サーバ4に一時URLのウェブ・ページのリクエストがあると,そのURLテーブルを参照して,一時URLが固定URLに戻される(図16ステップ185)。すると,固定URLのウェブ・ページが代理サーバ4からウェブ・サーバ9にリクエストされる(図16ステップ186)。リクエストに応じて,ウェブ・サーバ9から代理サーバ4に固定URLのウェブ・ページを表すデータが送信されると,そのウェブ・ページ・データが代理サーバ4において受信される(図16ステップ187)。受信されたウェブ・ページ・データが代理サーバ4から携帯電話2に送信される(図16ステップ187)。
【0063】
代理サーバ4から送信されたウェブ・ページ・データが携帯電話172において受信されると,携帯電話2の表示画面100には図19に示すサービス・トップ・ページ210が表示される(図16ステップ172)。携帯電話2のユーザは,サービス・トップ・ページ210から携帯サービスを利用できるようになる。
【0064】
上述の実施例においては,アプリケーションIDおよびパスワードがハッシュされて携帯電話2から代理サーバ4に送信されているが,かならずしもハッシュされなくともよい。その場合には,アプリケーションIDおよびパスワードは代理サーバ4が認識できるので,送信されたハッシュされていないアプリケーションIDおよびパスワードを用いて携帯電話2のユーザ認証ができるので,携帯電話2から代理サーバ4にユーザIDが送信されなくともよい。
【0065】
上述の実施例では,ログイン・アプリケーション・プログラムが格納されている携帯電話2からの代理サーバ4へのアクセスと入力パスワードとからユーザ認証が行われているので,二要素認証を実現できる。しかも,アプリケーションIDは携帯電話2に固有のものなので,ログイン・アプリケーション・プログラムを不正にインストールし,他人のパスワードを利用してもユーザ認証されない。また,ログイン・アプリケーション・プログラムがインストールされている携帯電話2が紛失され,かつパスワードが盗まれた場合であっても代理サーバ4に格納されているアプリケーションIDを削除すればユーザ認証できなくなる。さらに,ユーザ認証後に携帯電話2には一時URLを表すデータが送信され,その一時URLを持つウェブ・ページのリクエストがあったことにより,サービスのトップ・ページを表すデータが携帯電話2に送信されるから,サービスのトップ・ページに直接アクセスしてもエラー処理とすることができる。
【図面の簡単な説明】
【0066】
【図1】ユーザ認証システムの概要を示している。
【図2】携帯電話の電気的構成を示すブロック図である。
【図3】ユーザ情報テーブルの一例である。
【図4】URLテーブルの一例である。
【図5】ユーザ登録処理手順を示すフローチャートである。
【図6】ユーザ登録処理手順を示すフローチャートである。
【図7】ユーザ登録処理手順を示すフローチャートである。
【図8】管理者PCに表示されるウインドウの一例である。
【図9】ユーザPCに表示されるウインドウの一例である。
【図10】携帯電話に表示される画像の一例である。
【図11】携帯電話に表示される画像の一例である。
【図12】携帯電話に表示される画像の一例である。
【図13】携帯電話に表示される画像の一例である。
【図14】携帯電話に表示される画像の一例である。
【図15】ユーザ・ログイン処理手順を示すフローチャートである。
【図16】ユーザ・ログイン処理手順を示すフローチャートである。
【図17】携帯電話に表示される画像の一例である。
【図18】携帯電話に表示される画像の一例である。
【図19】携帯電話に表示される画像の一例である。
【符号の説明】
【0067】
2 携帯電話
4 代理サーバ
6 仮登録用データベース
7 ユーザ情報データベース
9 ウェブ・サーバ
【特許請求の範囲】
【請求項1】
サーバ装置とクライアント端末装置とを含むクライアント認証システムにおいて,
上記サーバ装置が,
ログイン用アプリケーション・プログラムおよび上記ログイン用アプリケーション・プログラムを識別するアプリケーションIDを上記クライアント端末装置に送信するログイン用アプリケーション・プログラム/ID送信手段,および
上記アプリケーションIDと,上記ログイン用アプリケーション・プログラム/ID送信手段から上記クライアント端末装置にログイン用アプリケーション・プログラムが送信されたことに応じて上記クライアント端末装置から送信される第1の認証用パスワードと,を対応づけて記憶するパスワード/アプリケーションID記憶手段を備え,
上記クライアント端末装置が,
上記サーバ装置の上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムを受信したことに応じて,認証用パスワードを入力する第1の認証用パスワード入力手段,
上記第1の認証用パスワード入力手段から入力された認証用パスワードを上記第1の認証用パスワードとして上記サーバ装置に送信する認証用パスワード送信手段,
上記サーバ装置の上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムをインストールするログイン用アプリケーション・プログラム・インストール手段,
上記サーバ装置の上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたアプリケーションIDを,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶するアプリケーションID記憶手段,
上記ログイン用アプリケーション・プログラムが起動されたことに応じて,第2の認証用パスワードを入力する第2の認証用パスワード入力手段,
上記第2の認証用パスワード入力手段から入力された第2の認証用パスワードおよび上記アプリケーションID記憶手段に記憶されたアプリケーションIDをユーザ認証用に上記サーバ装置に送信するパスワード/アプリケーションID送信手段を備え,
上記サーバ装置が,
上記クライアント端末装置の上記パスワード/アプリケーションID送信手段によって送信された第2の認証用パスワードとアプリケーションIDとの組と,上記パスワード/アプリケーションID記憶手段に記憶されている第1の認証用パスワードとアプリケーションIDとの組と,にもとづいてユーザ認証を行うユーザ認証手段,
を備えたクライアント認証システム。
【請求項2】
上記サーバ装置が,
仮URLを表す仮URLデータを上記クライアント端末装置に送信する仮URLデータ送信手段,
上記クライアント端末装置と異なるユーザ端末装置に第1の仮パスワードを送信する仮パスワード送信手段,
上記クライアント端末装置から,上記仮URLデータ送信手段から送信された仮URLデータによって表される仮URLをもつウェブ・ページのリクエストがあったかどうかを判定する判定手段,
上記判定手段によって,仮URLをもつウェブ・ページのリクエストがあったと判定されたことに応じて,仮パスワード入力用画像データを上記クライアント端末装置に送信する仮パスワード入力用画像データ送信手段,
上記仮パスワード入力用画像データ送信手段によって仮パスワード入力用画像データが上記クライアント端末装置に送信されたことに応じて,上記クライアント端末装置から送信される第2の仮パスワードを受信する仮パスワード受信手段,および
上記仮パスワード受信手段によって受信した第2の仮パスワードと上記仮パスワード送信手段によって送信された第1の仮パスワードとが一致したことに応じて,上記第1の認証用パスワードを入力するための認証用パスワード入力画像を表す認証用パスワード入力画像データを上記クライアント端末装置に送信する認証用パスワード入力画像データ送信手段をさらに備え,
上記クライアント端末装置の上記第1の認証用パスワード入力手段は,上記認証用パスワード入力画像データ送信手段から送信された認証用パスワード入力画像データによって表される認証用パスワード入力画像を用いて認証用パスワードを入力するものである,
請求項1に記載のクライアント認証システム。
【請求項3】
上記サーバ装置は,
上記クライアント端末装置に,上記アプリケーションIDに関連付けられたユーザIDを送信するユーザID送信手段をさらに備え,
上記パスワード/アプリケーションID記憶手段に記憶されるパスワードおよびアプリケーションIDはハッシュされているものであり,
上記クライアント端末装置の上記アプリケーションID記憶手段は,
上記サーバ装置の上記ユーザID送信手段から送信されたユーザIDを上記アプリケーションIDとともに,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶するものであり,
上記クライアント端末装置の上記パスワード/アプリケーションID送信手段は,
上記ユーザIDとハッシュされたパスワードとハッシュされたアプリケーションIDとを上記クライアント端末装置に送信するものであり,
上記サーバ装置は,
上記クライアント端末装置の上記パスワード/アプリケーションID送信手段から送信されたユーザIDにもとづいて上記パスワード/アプリケーションID記憶手段に記憶され,ハッシュされたパスワードとハッシュされたアプリケーションIDとを見つける検出手段をさらに備え,
上記サーバ装置の上記ユーザ認証手段は,上記検出手段によって見つけられ,ハッシュされたパスワードとハッシュされたアプリケーションIDとの組と上記クライアント端末装置のパスワード/アプリケーションID送信手段から送信され,ハッシュされたパスワードとハッシュされたアプリケーションIDとの組にもとづいてユーザ認証を行うものである,
請求項2に記載のクライアント認証システム。
【請求項4】
上記サーバ装置が,
上記サーバ装置のユーザ認証手段によりユーザ認証されたことに応じて,ウェブ・サーバに格納されているウェブ・ページの格納場所を示す固定URLと異なる一時URLを表すデータを上記クライアント端末装置に送信する一時URLデータ送信手段をさらに備え,
上記クライアント端末装置が,
上記サーバ装置の上記一時URLデータ送信手段から送信された一時URLを表すデータを受信したことに応じて,一時URLをもつウェブ・ページをリクエストする第1のリクエスト手段をさらに備え,
上記サーバ装置が,
上記クライアント端末装置の上記第1のリクエスト手段によるリクエストに応じて,上記固定URLをもつウェブ・ページを表すウェブ・ページ・データを上記ウェブ・サーバにリクエストする第2のリクエスト手段,および
上記第2のリクエスト手段によるリクエストに応じて,上記ウェブ・サーバから送信されるウェブ・ページ・データを上記クライアント端末装置に送信するウェブ・ページ・データ送信手段,
を備えた請求項1から3のうち,いずれか一項に記載のユーザ認証システム。
【請求項5】
サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するサーバ装置において,
ログイン用アプリケーション・プログラムおよび上記ログイン用アプリケーション・プログラムを識別するアプリケーションIDを上記クライアント端末装置に送信するログイン用アプリケーション・プログラム/ID送信手段,
上記アプリケーションIDと,上記ログイン用アプリケーション・プログラム/ID送信手段から上記クライアント端末装置にログイン用アプリケーション・プログラムが送信されたことに応じて上記クライアント端末装置から送信される第1の認証用パスワードと,を対応づけて記憶するパスワード/アプリケーションID記憶手段,
上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムが上記クライアント端末装置においてインストールされ,かつ起動されたことに応じて上記クライアント端末装置から送信される,クライアント端末装置において入力された第2の認証用パスワードおよび上記アプリケーションIDを受信するパスワード/アプリケーションID受信手段,ならびに
上記パスワード/アプリケーションID受信手段によって受信した第2の認証用パスワードとアプリケーションIDとの組と,上記パスワード/アプリケーションID記憶手段に記憶されている第1の認証用パスワードとアプリケーションIDとの組と,にもとづいてユーザ認証を行うユーザ認証手段,
サーバ装置。
【請求項6】
サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するクライアント端末装置において,
上記サーバ装置から送信されたログイン用アプリケーション・プログラムを受信したことに応じて,認証用パスワードを入力する第1の認証用パスワード入力手段,
上記第1の認証用パスワード入力手段から入力された認証用パスワードを第1の認証用パスワードとして上記サーバ装置に送信する認証用パスワード送信手段,
上記サーバ装置から送信されたログイン用アプリケーション・プログラムをインストールするログイン用アプリケーション・プログラム・インストール手段,
上記サーバ装置から送信されたアプリケーションIDを,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶するアプリケーションID記憶手段,
上記ログイン用アプリケーション・プログラムが起動されたことに応じて,第2の認証用パスワードを入力する第2の認証用パスワード入力手段,および
上記第2の認証用パスワード入力手段から入力された第2の認証用パスワードおよび上記アプリケーションID記憶手段に記憶されたアプリケーションIDをユーザ認証用に上記サーバ装置に送信するパスワード/アプリケーションID送信手段,
を備えたクライアント端末装置。
【請求項7】
サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するサーバ装置の制御方法において,
ログイン用アプリケーション・プログラム/ID送信手段が,ログイン用アプリケーション・プログラムおよび上記ログイン用アプリケーション・プログラムを識別するアプリケーションIDを上記クライアント端末装置に送信し,
パスワード/アプリケーションID記憶手段が,上記アプリケーションIDと,上記ログイン用アプリケーション・プログラム/ID送信手段から上記クライアント端末装置にログイン用アプリケーション・プログラムが送信されたことに応じて上記クライアント端末装置から送信される第1の認証用パスワードと,を対応づけて記憶し,
パスワード/アプリケーションID受信手段が,上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムが上記クライアント端末装置においてインストールされ,かつ起動されたことに応じて上記クライアント端末装置から送信される,クライアント端末装置において入力された第2の認証用パスワードおよび上記アプリケーションIDを受信し,
ユーザ認証手段が,上記パスワード/アプリケーションID受信手段によって受信した第2の認証用パスワードとアプリケーションIDとの組と,上記パスワード/アプリケーションID記憶手段に記憶されている第1の認証用パスワードとアプリケーションIDとの組と,にもとづいて,ユーザ認証を行う,
サーバ装置の制御方法。
【請求項8】
サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するクライアント端末装置の制御方法において,
第1の認証用パスワード入力手段が,上記サーバ装置から送信されたログイン用アプリケーション・プログラムを受信したことに応じて,認証用パスワードを入力し,
認証用パスワード送信手段が,上記第1の認証用パスワード入力手段から入力された認証用パスワードを第1の認証用パスワードとして上記サーバ装置に送信し,
ログイン用アプリケーション・プログラム・インストール手段が,上記サーバ装置から送信されたログイン用アプリケーション・プログラムをインストールし,
アプリケーションID記憶手段が,上記サーバ装置から送信されたアプリケーションIDを,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶し,
第2の認証用パスワード入力手段が,上記ログイン用アプリケーション・プログラムが起動されたことに応じて,第2の認証用パスワードを入力し,
パスワード/アプリケーションID送信手段が,上記第2の認証用パスワード入力手段から入力された第2の認証用パスワードおよび上記アプリケーションID記憶手段に記憶されたアプリケーションIDをユーザ認証用に上記サーバ装置に送信する,
クライアント端末装置の制御方法。
【請求項9】
サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するサーバ装置を制御するプログラムであって,
ログイン用アプリケーション・プログラムおよび上記ログイン用アプリケーション・プログラムを識別するアプリケーションIDを上記クライアント端末装置に送信させ,
上記アプリケーションIDと,上記クライアント端末装置にログイン用アプリケーション・プログラムが送信されたことに応じて上記クライアント端末装置から送信される第1の認証用パスワードと,を対応づけて記憶させ,
送信されたログイン用アプリケーション・プログラムが上記クライアント端末装置においてインストールされ,かつ起動されたことに応じて上記クライアント端末装置から送信される,クライアント端末装置において入力された第2の認証用パスワードおよび上記アプリケーションIDを受信させ,
受信した第2の認証用パスワードとアプリケーションIDとの組と,記憶されている第1の認証用パスワードとアプリケーションIDとの組と,にもとづいて,ユーザ認証を行うようにサーバ装置を制御するコンピュータ読み取り可能なプログラム。
【請求項10】
サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するクライアント端末装置を制御するプログラムにおいて,
上記サーバ装置から送信されたログイン用アプリケーション・プログラムを受信したことに応じて,認証用パスワードを入力させ,
入力された認証用パスワードを第1の認証用パスワードとして上記サーバ装置に送信させ,
上記サーバ装置から送信されたログイン用アプリケーション・プログラムをインストールさせ,
上記サーバ装置から送信されたアプリケーションIDを,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶させ,
上記ログイン用アプリケーション・プログラムが起動されたことに応じて,第2の認証用パスワードを入力させ,
入力された第2の認証用パスワードおよび記憶されたアプリケーションIDをユーザ認証用に上記サーバ装置に送信させるようにクライアント端末装置を制御するコンピュータ読み取り可能なプログラム。
【請求項1】
サーバ装置とクライアント端末装置とを含むクライアント認証システムにおいて,
上記サーバ装置が,
ログイン用アプリケーション・プログラムおよび上記ログイン用アプリケーション・プログラムを識別するアプリケーションIDを上記クライアント端末装置に送信するログイン用アプリケーション・プログラム/ID送信手段,および
上記アプリケーションIDと,上記ログイン用アプリケーション・プログラム/ID送信手段から上記クライアント端末装置にログイン用アプリケーション・プログラムが送信されたことに応じて上記クライアント端末装置から送信される第1の認証用パスワードと,を対応づけて記憶するパスワード/アプリケーションID記憶手段を備え,
上記クライアント端末装置が,
上記サーバ装置の上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムを受信したことに応じて,認証用パスワードを入力する第1の認証用パスワード入力手段,
上記第1の認証用パスワード入力手段から入力された認証用パスワードを上記第1の認証用パスワードとして上記サーバ装置に送信する認証用パスワード送信手段,
上記サーバ装置の上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムをインストールするログイン用アプリケーション・プログラム・インストール手段,
上記サーバ装置の上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたアプリケーションIDを,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶するアプリケーションID記憶手段,
上記ログイン用アプリケーション・プログラムが起動されたことに応じて,第2の認証用パスワードを入力する第2の認証用パスワード入力手段,
上記第2の認証用パスワード入力手段から入力された第2の認証用パスワードおよび上記アプリケーションID記憶手段に記憶されたアプリケーションIDをユーザ認証用に上記サーバ装置に送信するパスワード/アプリケーションID送信手段を備え,
上記サーバ装置が,
上記クライアント端末装置の上記パスワード/アプリケーションID送信手段によって送信された第2の認証用パスワードとアプリケーションIDとの組と,上記パスワード/アプリケーションID記憶手段に記憶されている第1の認証用パスワードとアプリケーションIDとの組と,にもとづいてユーザ認証を行うユーザ認証手段,
を備えたクライアント認証システム。
【請求項2】
上記サーバ装置が,
仮URLを表す仮URLデータを上記クライアント端末装置に送信する仮URLデータ送信手段,
上記クライアント端末装置と異なるユーザ端末装置に第1の仮パスワードを送信する仮パスワード送信手段,
上記クライアント端末装置から,上記仮URLデータ送信手段から送信された仮URLデータによって表される仮URLをもつウェブ・ページのリクエストがあったかどうかを判定する判定手段,
上記判定手段によって,仮URLをもつウェブ・ページのリクエストがあったと判定されたことに応じて,仮パスワード入力用画像データを上記クライアント端末装置に送信する仮パスワード入力用画像データ送信手段,
上記仮パスワード入力用画像データ送信手段によって仮パスワード入力用画像データが上記クライアント端末装置に送信されたことに応じて,上記クライアント端末装置から送信される第2の仮パスワードを受信する仮パスワード受信手段,および
上記仮パスワード受信手段によって受信した第2の仮パスワードと上記仮パスワード送信手段によって送信された第1の仮パスワードとが一致したことに応じて,上記第1の認証用パスワードを入力するための認証用パスワード入力画像を表す認証用パスワード入力画像データを上記クライアント端末装置に送信する認証用パスワード入力画像データ送信手段をさらに備え,
上記クライアント端末装置の上記第1の認証用パスワード入力手段は,上記認証用パスワード入力画像データ送信手段から送信された認証用パスワード入力画像データによって表される認証用パスワード入力画像を用いて認証用パスワードを入力するものである,
請求項1に記載のクライアント認証システム。
【請求項3】
上記サーバ装置は,
上記クライアント端末装置に,上記アプリケーションIDに関連付けられたユーザIDを送信するユーザID送信手段をさらに備え,
上記パスワード/アプリケーションID記憶手段に記憶されるパスワードおよびアプリケーションIDはハッシュされているものであり,
上記クライアント端末装置の上記アプリケーションID記憶手段は,
上記サーバ装置の上記ユーザID送信手段から送信されたユーザIDを上記アプリケーションIDとともに,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶するものであり,
上記クライアント端末装置の上記パスワード/アプリケーションID送信手段は,
上記ユーザIDとハッシュされたパスワードとハッシュされたアプリケーションIDとを上記クライアント端末装置に送信するものであり,
上記サーバ装置は,
上記クライアント端末装置の上記パスワード/アプリケーションID送信手段から送信されたユーザIDにもとづいて上記パスワード/アプリケーションID記憶手段に記憶され,ハッシュされたパスワードとハッシュされたアプリケーションIDとを見つける検出手段をさらに備え,
上記サーバ装置の上記ユーザ認証手段は,上記検出手段によって見つけられ,ハッシュされたパスワードとハッシュされたアプリケーションIDとの組と上記クライアント端末装置のパスワード/アプリケーションID送信手段から送信され,ハッシュされたパスワードとハッシュされたアプリケーションIDとの組にもとづいてユーザ認証を行うものである,
請求項2に記載のクライアント認証システム。
【請求項4】
上記サーバ装置が,
上記サーバ装置のユーザ認証手段によりユーザ認証されたことに応じて,ウェブ・サーバに格納されているウェブ・ページの格納場所を示す固定URLと異なる一時URLを表すデータを上記クライアント端末装置に送信する一時URLデータ送信手段をさらに備え,
上記クライアント端末装置が,
上記サーバ装置の上記一時URLデータ送信手段から送信された一時URLを表すデータを受信したことに応じて,一時URLをもつウェブ・ページをリクエストする第1のリクエスト手段をさらに備え,
上記サーバ装置が,
上記クライアント端末装置の上記第1のリクエスト手段によるリクエストに応じて,上記固定URLをもつウェブ・ページを表すウェブ・ページ・データを上記ウェブ・サーバにリクエストする第2のリクエスト手段,および
上記第2のリクエスト手段によるリクエストに応じて,上記ウェブ・サーバから送信されるウェブ・ページ・データを上記クライアント端末装置に送信するウェブ・ページ・データ送信手段,
を備えた請求項1から3のうち,いずれか一項に記載のユーザ認証システム。
【請求項5】
サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するサーバ装置において,
ログイン用アプリケーション・プログラムおよび上記ログイン用アプリケーション・プログラムを識別するアプリケーションIDを上記クライアント端末装置に送信するログイン用アプリケーション・プログラム/ID送信手段,
上記アプリケーションIDと,上記ログイン用アプリケーション・プログラム/ID送信手段から上記クライアント端末装置にログイン用アプリケーション・プログラムが送信されたことに応じて上記クライアント端末装置から送信される第1の認証用パスワードと,を対応づけて記憶するパスワード/アプリケーションID記憶手段,
上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムが上記クライアント端末装置においてインストールされ,かつ起動されたことに応じて上記クライアント端末装置から送信される,クライアント端末装置において入力された第2の認証用パスワードおよび上記アプリケーションIDを受信するパスワード/アプリケーションID受信手段,ならびに
上記パスワード/アプリケーションID受信手段によって受信した第2の認証用パスワードとアプリケーションIDとの組と,上記パスワード/アプリケーションID記憶手段に記憶されている第1の認証用パスワードとアプリケーションIDとの組と,にもとづいてユーザ認証を行うユーザ認証手段,
サーバ装置。
【請求項6】
サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するクライアント端末装置において,
上記サーバ装置から送信されたログイン用アプリケーション・プログラムを受信したことに応じて,認証用パスワードを入力する第1の認証用パスワード入力手段,
上記第1の認証用パスワード入力手段から入力された認証用パスワードを第1の認証用パスワードとして上記サーバ装置に送信する認証用パスワード送信手段,
上記サーバ装置から送信されたログイン用アプリケーション・プログラムをインストールするログイン用アプリケーション・プログラム・インストール手段,
上記サーバ装置から送信されたアプリケーションIDを,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶するアプリケーションID記憶手段,
上記ログイン用アプリケーション・プログラムが起動されたことに応じて,第2の認証用パスワードを入力する第2の認証用パスワード入力手段,および
上記第2の認証用パスワード入力手段から入力された第2の認証用パスワードおよび上記アプリケーションID記憶手段に記憶されたアプリケーションIDをユーザ認証用に上記サーバ装置に送信するパスワード/アプリケーションID送信手段,
を備えたクライアント端末装置。
【請求項7】
サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するサーバ装置の制御方法において,
ログイン用アプリケーション・プログラム/ID送信手段が,ログイン用アプリケーション・プログラムおよび上記ログイン用アプリケーション・プログラムを識別するアプリケーションIDを上記クライアント端末装置に送信し,
パスワード/アプリケーションID記憶手段が,上記アプリケーションIDと,上記ログイン用アプリケーション・プログラム/ID送信手段から上記クライアント端末装置にログイン用アプリケーション・プログラムが送信されたことに応じて上記クライアント端末装置から送信される第1の認証用パスワードと,を対応づけて記憶し,
パスワード/アプリケーションID受信手段が,上記ログイン用アプリケーション・プログラム/ID送信手段から送信されたログイン用アプリケーション・プログラムが上記クライアント端末装置においてインストールされ,かつ起動されたことに応じて上記クライアント端末装置から送信される,クライアント端末装置において入力された第2の認証用パスワードおよび上記アプリケーションIDを受信し,
ユーザ認証手段が,上記パスワード/アプリケーションID受信手段によって受信した第2の認証用パスワードとアプリケーションIDとの組と,上記パスワード/アプリケーションID記憶手段に記憶されている第1の認証用パスワードとアプリケーションIDとの組と,にもとづいて,ユーザ認証を行う,
サーバ装置の制御方法。
【請求項8】
サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するクライアント端末装置の制御方法において,
第1の認証用パスワード入力手段が,上記サーバ装置から送信されたログイン用アプリケーション・プログラムを受信したことに応じて,認証用パスワードを入力し,
認証用パスワード送信手段が,上記第1の認証用パスワード入力手段から入力された認証用パスワードを第1の認証用パスワードとして上記サーバ装置に送信し,
ログイン用アプリケーション・プログラム・インストール手段が,上記サーバ装置から送信されたログイン用アプリケーション・プログラムをインストールし,
アプリケーションID記憶手段が,上記サーバ装置から送信されたアプリケーションIDを,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶し,
第2の認証用パスワード入力手段が,上記ログイン用アプリケーション・プログラムが起動されたことに応じて,第2の認証用パスワードを入力し,
パスワード/アプリケーションID送信手段が,上記第2の認証用パスワード入力手段から入力された第2の認証用パスワードおよび上記アプリケーションID記憶手段に記憶されたアプリケーションIDをユーザ認証用に上記サーバ装置に送信する,
クライアント端末装置の制御方法。
【請求項9】
サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するサーバ装置を制御するプログラムであって,
ログイン用アプリケーション・プログラムおよび上記ログイン用アプリケーション・プログラムを識別するアプリケーションIDを上記クライアント端末装置に送信させ,
上記アプリケーションIDと,上記クライアント端末装置にログイン用アプリケーション・プログラムが送信されたことに応じて上記クライアント端末装置から送信される第1の認証用パスワードと,を対応づけて記憶させ,
送信されたログイン用アプリケーション・プログラムが上記クライアント端末装置においてインストールされ,かつ起動されたことに応じて上記クライアント端末装置から送信される,クライアント端末装置において入力された第2の認証用パスワードおよび上記アプリケーションIDを受信させ,
受信した第2の認証用パスワードとアプリケーションIDとの組と,記憶されている第1の認証用パスワードとアプリケーションIDとの組と,にもとづいて,ユーザ認証を行うようにサーバ装置を制御するコンピュータ読み取り可能なプログラム。
【請求項10】
サーバ装置とクライアント端末装置とを含むクライアント認証システムを構成するクライアント端末装置を制御するプログラムにおいて,
上記サーバ装置から送信されたログイン用アプリケーション・プログラムを受信したことに応じて,認証用パスワードを入力させ,
入力された認証用パスワードを第1の認証用パスワードとして上記サーバ装置に送信させ,
上記サーバ装置から送信されたログイン用アプリケーション・プログラムをインストールさせ,
上記サーバ装置から送信されたアプリケーションIDを,上記ログイン用アプリケーション・プログラムによってアクセスできるように記憶させ,
上記ログイン用アプリケーション・プログラムが起動されたことに応じて,第2の認証用パスワードを入力させ,
入力された第2の認証用パスワードおよび記憶されたアプリケーションIDをユーザ認証用に上記サーバ装置に送信させるようにクライアント端末装置を制御するコンピュータ読み取り可能なプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公開番号】特開2010−79795(P2010−79795A)
【公開日】平成22年4月8日(2010.4.8)
【国際特許分類】
【出願番号】特願2008−249817(P2008−249817)
【出願日】平成20年9月29日(2008.9.29)
【出願人】(306037311)富士フイルム株式会社 (25,513)
【Fターム(参考)】
【公開日】平成22年4月8日(2010.4.8)
【国際特許分類】
【出願日】平成20年9月29日(2008.9.29)
【出願人】(306037311)富士フイルム株式会社 (25,513)
【Fターム(参考)】
[ Back to top ]