クレジットカード決済における認証サーバ、認証システム及び認証方法
【課題】 パスワードやパーソナルメッセージの事前登録を必要としない、インターネットの電子商取引サイトで商品の購入代金等をクレジットカードで決済する際に用いられるユーザ及びサーバの認証を行うための認証サーバ等を提供する。
【解決手段】 カード会員であるユーザにカード番号等をキーにOTP(ワンタイムパスワード)を発生させるトークンを配布し、本人認証を行うアクセスコントロールサーバでは、加盟店サーバから受け付けたカード番号等から同じロジックに基づくOTPを演算して、OTPを用いた本人認証を行う。あわせて、アクセスコントロールサーバはカード番号等からサーバ認証用のコードを演算してこれをパスワード入力用の認証画面に表示させ、ユーザにはトークンでの演算、又はトークンへの印字等によってサーバ認証用のコードを了知させ、フィッシングを防止する。
【解決手段】 カード会員であるユーザにカード番号等をキーにOTP(ワンタイムパスワード)を発生させるトークンを配布し、本人認証を行うアクセスコントロールサーバでは、加盟店サーバから受け付けたカード番号等から同じロジックに基づくOTPを演算して、OTPを用いた本人認証を行う。あわせて、アクセスコントロールサーバはカード番号等からサーバ認証用のコードを演算してこれをパスワード入力用の認証画面に表示させ、ユーザにはトークンでの演算、又はトークンへの印字等によってサーバ認証用のコードを了知させ、フィッシングを防止する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネットの電子商取引サイトで商品の購入代金等をクレジットカードで決済する際に用いられる、ユーザ及びサーバの認証を行うための認証サーバ、認証システム及び認証方法に関するものである。
【背景技術】
【0002】
インターネットを利用して電子商取引サイトにおいて商品等を購入することが広く行なわれるようになっているが、代金決済の手段としてクレジットカードが用いられることが多くなっている。クレジットカードの利用では不正利用対策が課題となるが、特にインターネットでの決済に用いる際には、クレジットカードの現物を確認することができないため、第三者によってカード番号等が盗用されて不正利用が行われるなりすましのリスクが高まることになる。
【0003】
このようなリスクに対応するために、カード会員があらかじめカード会社にインターネットでの決済に用いるパスワードを登録しておき、電子商取引サイトでクレジットカード決済を選択した際にはカード会社のサーバに自動アクセスし、ユーザが入力したパスワードと登録されたパスワードの一致が確認されることをクレジットカードによる決済承認の条件とするサービスが提供されるようになっている(例えば、非特許文献1の「サービス概要」「仕組み」参照)。
【0004】
また、上記のサービスはユーザがカード会員本人であるかを認証するのみでなく、あらかじめカード会社にカード会員本人しかしらないメッセージを登録しておき、パスワードの入力画面に該メッセージを表示することによって、パスワードの入力を要求しているWebサイトが確かにカード会社のものであるかを認証し、フィッシングにも対処できるようになっている(例えば、非特許文献1の「パーソナルメッセージ」参照)。
【0005】
このようなサービスを受けるために、クレジットカードの会員は、認証に用いるためのパスワードやパーソナルメッセージなどの情報をあらかじめカード会社に登録しておくことが必要になる(例えば、非特許文献2参照)。
【0006】
【非特許文献1】オンラインショッピング認証サービス、三菱UFJニコス株式会社・DCカードホームページ、[2008年1月10日検索]、インターネット<URL: http://www.dccard.co.jp/webs/3dsecure.shtml>
【非特許文献2】安全なオンラインショッピング、Visa Inc.・VISAカードホームページ、[2008年1月10日検索]、インターネット<URL: http://www.visa-asia.com/ap/jp/cardholders/security/vbv.shtml>
【発明の開示】
【発明が解決しようとする課題】
【0007】
以上のように、インターネットでの決済専用のパスワードを用いることによってなりすましのリスクを低下させ、パーソナルメッセージの登録によってフィッシングのリスクを低下させることが可能になるが、カード会員にはこれらの情報をあらかじめカード会社に登録する手間が生じることになる。また、パスワードについてはインターネットでの取引を行なううちに漏洩してしまうリスクがある他、パーソナルメッセージについてはカード会員が失念してしまうおそれもあると考えられる。
【0008】
本発明は、このような課題に対応するためになされたものであり、インターネットの電子商取引サイトで商品の購入代金等をクレジットカードで決済する際に用いられる、ユーザ及びサーバの認証を行うための認証サーバ、認証システム及び認証方法であって、パスワードやパーソナルメッセージの事前登録を必要としないものを提供することを目的とする。
【課題を解決するための手段】
【0009】
このような課題に対応するために、本発明にかかる認証サーバは、クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバであって、クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段と、クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付手段と、前記決済情報受付手段が受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けて記憶するカード番号記憶手段と、前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付手段と、前記認証要求受付手段が受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段と、前記ユーザ端末に、前記サーバ認証コード演算手段が演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信手段と、前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付手段と、前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、前記パスワード受付手段の受け付けたワンタイムパスワードと前記ワンタイムパスワード演算手段が演算したワンタイムパスワードを照合するパスワード照合手段と、前記パスワード照合手段においてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信手段と、を備えることを特徴とする。
【0010】
本発明では、ユーザの本人認証にOTP(ワンタイムパスワード)を採用し、カード番号を含むデータをキーにOTPを生成するように構成することによって、クレジットカードを保有するユーザと、加盟店サーバから決済要求のあったカード番号を受け付ける認証サーバの間で、パスワードの事前登録を行わなくても本人認証を行うことができる。あわせて、カード番号を含むデータからサーバ認証コードを生成するように構成することによって、クレジットカードを保有するユーザ側において、パーソナルメッセージ等の事前登録を行わなくても、正規のサーバであるかの認証を行うことが可能になる。
【0011】
また、本発明は、前記サーバ認証コード演算手段は、クレジットカードに印字されたセキュリティコードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコードが用いられることを特徴とすることもできる。
【0012】
このように構成すると、クレジットカードに通常印字されているセキュリティコードをサーバ認証コードとして用いることができるため、トークンにサーバ認証コードを演算させたり、サーバ認証コードを印字したりすることが不要になる。
【0013】
さらに、本発明は、前記サーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算することを特徴としてもよい。
【0014】
このように構成すると、カード番号の他に有効期限等をキーに用いてサーバ認証コードを生成することができるため、サーバ認証コードの推測が一層困難になり、安全性をさらに高めることが可能になる。
【0015】
本発明は、本発明にかかる認証サーバと、ユーザが使用するクレジットカードからの情報の読み取りが可能なトークンからなる認証システムとして特定することもできる。
【0016】
つまり、本発明にかかる第1の認証システムは、クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバと、前記ユーザがワンタイムパスワードを確認するために利用するトークンからなる認証システムであって、前記認証サーバは、クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段と、クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付手段と、前記決済情報受付手段が受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けて記憶するカード番号記憶手段と、前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付手段と、前記認証要求受付手段が受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段と、前記ユーザ端末に、前記サーバ認証コード演算手段が演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信手段と、前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付手段と、前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、前記パスワード受付手段の受け付けたワンタイムパスワードと前記ワンタイムパスワード演算手段が演算したワンタイムパスワードを照合するパスワード照合手段と、前記パスワード照合手段においてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信手段と、を備えていて、前記トークンは、前記クレジットカードからカード番号を少なくとも含むカード情報を読み取るカード情報読取手段と、前記カード情報読取手段が読み取ったカード情報に含まれるカード番号と、前記カード情報に含まれるか又は所定の記憶領域から読み出した前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、を備えていて、前記認証サーバのワンタイムパスワード演算手段と前記トークンのワンタイムパスワード演算手段は、共通のロジックに基づいてワンタイムパスワードを演算することを特徴とする認証システムである。
【0017】
また、本発明にかかる第1の認証システムは、前記トークンは、前記カード情報読取手段が読み取ったカード情報に含まれるカード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段を備えていて、前記認証サーバのサーバ認証コード演算手段と前記トークンのサーバ認証コード演算手段は、共通のロジックに基づいてサーバ認証コードを演算することを特徴とすることもできる。
【0018】
さらに、本発明にかかる第1の認証システムは、前記認証サーバのサーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算し、前記トークンのサーバ認証コード演算手段は、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算することを特徴としてもよい。
【0019】
さらに、本発明にかかる第1の認証システムは、前記サーバ認証コード演算手段は、クレジットカードに印字されたセキュリティコード又はトークンに印字された認証用コードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコード又は認証用コードが用いられることを特徴としてもよい。
【0020】
さらに、本発明にかかる第1の認証システムは、前記認証サーバのサーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算することを特徴としてもよい。
【0021】
本発明は、本発明にかかる認証サーバと、ユーザが使用するワンタイムパスワード生成専用のトークンからなる認証システムとして特定することもできる。
【0022】
つまり、本発明にかかる第2の認証システムは、クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバと、前記ユーザがワンタイムパスワードを確認するために利用する認証カードからなる認証システムであって、前記認証サーバは、クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段と、クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付手段と、前記決済情報受付手段が受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けて記憶するカード番号記憶手段と、前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付手段と、前記認証要求受付手段が受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段と、前記ユーザ端末に、前記サーバ認証コード演算手段が演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信手段と、前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付手段と、前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、前記パスワード受付手段の受け付けたワンタイムパスワードと前記ワンタイムパスワード演算手段が演算したワンタイムパスワードを照合するパスワード照合手段と、前記パスワード照合手段においてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信手段と、を備えていて、前記認証カードは、前記クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段を備えていて、前記認証サーバのワンタイムパスワード演算手段と前記認証カードのワンタイムパスワード演算手段は、共通のロジックに基づいてワンタイムパスワードを演算することを特徴とする。
【0023】
また、本発明にかかる第2の認証システムは、前記サーバ認証コード演算手段は、クレジットカードに印字されたセキュリティコード又は認証カードに印字された認証用コードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコード又は認証用コードが用いられることを特徴とすることもできる。
【0024】
さらに、本発明にかかる第2の認証システムは、前記認証サーバのサーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算することを特徴としてもよい。
【0025】
本発明は、本発明にかかる認証サーバによって実行される認証方法として特定することもできる。
【0026】
つまり、本発明にかかる認証方法は、クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段を備えた、クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバによって実行される認証方法であって、前記認証サーバが、クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付ステップと、前記認証サーバが、前記決済情報受付ステップで受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けてカード番号記憶手段に記憶させるカード番号記憶ステップと、前記認証サーバが、前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付ステップと、前記認証サーバが、前記認証要求受付ステップで受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算ステップと、前記認証サーバが、前記ユーザ端末に、前記サーバ認証コード演算ステップで演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信ステップと、前記認証サーバが、前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付ステップと、前記認証サーバが、前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算ステップと、前記認証サーバが、前記パスワード受付ステップで受け付けたワンタイムパスワードと前記ワンタイムパスワード演算ステップで演算したワンタイムパスワードを照合するパスワード照合ステップと、前記認証サーバが、前記パスワード照合ステップにおいてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信ステップと、を有することを特徴とする。
【0027】
また、本発明にかかる認証方法は、前記サーバ認証コード演算ステップでは、クレジットカードに印字されたセキュリティコードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコードが用いられることを特徴とすることもできる。
【0028】
さらに、本発明にかかる認証方法は、前記サーバ認証コード演算ステップでは、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算することを特徴としてもよい。
【発明の効果】
【0029】
本発明によって、クレジットカードの会員であるユーザがパスワードやパーソナルメッセージの事前登録を行わなくても、インターネットの電子商取引サイトで商品の購入代金等をクレジットカードで決済する際に、ユーザの本人認証や正規のサーバの認証を行うことが可能になるので、なりすましやフィッシングによる被害の防止に有効である。
【0030】
また、ワンタイムパスワードを利用することによってパスワード漏洩のリスクを回避できるとともに、ユーザの手元で把握できるサーバ認証コードを用いてサーバの認証を行うことによって、サーバ認証用のパーソナルメッセージを記憶してサーバ認証に用いる場合においてカード会員がパーソナルメッセージ失念してしまうおそれがあるという問題も解消することができる。
【発明を実施するための最良の形態】
【0031】
本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明する。尚、以下の説明は本発明の実施形態の一例を示したものであって、本発明の構成は以下に示した実施形態に限定されるものではない。
【0032】
図1は、本発明にかかる認証サーバの実施形態の一例を示す図である。図2〜図5は、本発明にかかる認証サーバを用いたクレジットカード決済におけるユーザ及びサーバ認証のそれぞれ第1〜4の実施例を示す図である。図6は、本発明にかかる認証サーバの構成を示すブロック図である。図7は、本発明にかかる認証サーバによってユーザ端末に表示される認証画面の一例を示す図である。図8〜10は、本発明にかかる認証サーバによるユーザ及びサーバ認証のフローを示すそれぞれ第1〜3のフローチャートである。
【0033】
図1を用いて、本発明にかかる認証サーバによるユーザの本人認証と正規のサーバであることの認証の方法について説明する。クレジットカード会員であるユーザは、パーソナルコンピュータ等のユーザ端末を用いてインターネットに接続し、電子商取引サイトとして運用されているクレジットカードの加盟店サーバにアクセスする。ユーザが電子商取引サイトで購入する商品を決定し、購入代金の決済方法としてクレジットカードを選択すると、所定の入力画面からクレジットカードのカード番号や有効期限等の入力が行われる。
【0034】
加盟店サーバは、入力されたクレジットカードのカード番号等を受け付けて、ユーザの入力したカード番号がインターネットでの決済に利用可能なものであるかを確認するために、クレジットカード会員の認証を行うアクセスコントロールサーバに対してクレジットカードのカード番号や利用代金等の決済情報を送信して、クレジットカードの照会要求を行う。
【0035】
アクセスコントロールサーバには、インターネットでの購入代金を決済することが可能なクレジットカードのカード番号等のカード情報が記憶されていて、これを参照してアクセスコントロールサーバで決済可能なクレジットカードであるかを確認し、確認結果を加盟店サーバに返信する。このときに、ユーザ端末からユーザの認証要求を受け付けた際に対応するクレジットカードを識別できるように、加盟店サーバから受け付けた決済情報の識別キーとカード番号を関連付けて記憶させるとともに、加盟店サーバに該識別キーを確認結果とあわせて返信する。
【0036】
確認結果を受け付けた加盟店サーバでは、クレジットカードが決済可能なものである場合には、ユーザに本人認証を要求するために、ユーザ端末からアクセスコントロールサーバにアクセスさせるためのリンクを表示させる。リンクの方法は特に限定されるものではないが、加盟店サーバのWebページ上の認証要求のリンクを押下すると、アクセスコントロールサーバにアクセスして認証画面をポップアップさせることとしてもよいし、アクセスコントロールサーバの認証画面に遷移させることとしてもよい。ここで、アクセスコントロールサーバへのリンクには決済情報の識別キーが埋め込まれ、ユーザ端末からアクセスコントロールサーバへは該識別キーが自動的に付されて認証要求が送信されるように設定される。
【0037】
認証要求を受け付けたアクセスコントロールサーバでは、決済情報の識別キーから該識別キーと関連付けて記憶されている加盟店サーバから受け付けたカード番号を特定し、ユーザが正規のサーバであることを確認するために用いられるサーバ認証コードを、特定したカード番号を用いて生成する。ユーザに本人認証のためのOTP(ワンタイムパスワード)を入力させる認証画面には、生成されたサーバ認証コードが表示される。
【0038】
ここでサーバ認証コードの生成に適用される演算ロジックは特に限定されるものではなく、カード番号以外に有効期限等のデータを用いることとしてもよいが、ユーザ側で正規のサーバ認証コードを判別できるように、ユーザに専用のトークンを保有させてトークンで同様のロジックに基づく演算を可能にしておくか、あるいはクレジットカードやトークン等に演算された正規のサーバ認証コードを印字しておくことが必要になる。
【0039】
図7は認証画面の一例を示したものであるが、サーバ認証コードが表示されたOTPを入力させる認証画面はユーザ端末に送信され、ユーザはあらかじめ配布されたOTPを生成するトークンによってOTPを確認し、認証画面に入力する。このときに、認証画面が正規のものであれば認証画面にはサーバ認証コードが表示されるため(図7であれば「サーバ認証コード」の「987」)、ユーザはこれが手元で確認できるサーバ認証コードと一致しているかによって正規のサーバからの認証画面か否かを判断し、フィッシングを防止することが可能になる。
【0040】
認証画面に入力されたOTPはアクセスコントロールサーバに送信されるが、アクセスコントロールサーバでもユーザの保有するトークンと同じOTPを生成する演算ロジックが記憶されており、アクセスコントロールサーバで演算されたOTPとユーザ端末から受け付けたOTPを照合することによって、ユーザの本人認証が行われる。
【0041】
尚、ここで用いられるOTPの演算ロジックは特に限定されるものではないが、生成キーとしてユーザ毎に固有のデータであるカード番号が少なくとも用いられることになる。ユーザ側には、クレジットカードからカード番号を読み取ることが可能なトークンを用いてもよいし、カード番号を記憶してOTPを自動演算するカード状のトークン等を用いてもよい。尚、OTPの生成キーをカード番号のみでなく、その他の各々のカードに固有の管理者が設定した生成キーを用いたり、時刻情報やカウンタ情報(OTPの発行回数のカウンタ)等を用いたりすると安全性がより高まるため、特に高い安全性が求められるOTPの演算には好ましい。
【0042】
アクセスコントロールサーバで演算されたOTPとユーザ端末から受け付けたOTPを照合した認証結果は、アクセスコントロールサーバからユーザ端末に送信され、さらにユーザ端末から加盟店サーバに送信される。認証結果については、アクセスコントロールサーバにおいて電子署名が行われたものを送信することが好ましい。
【0043】
加盟店サーバでは、OTPが一致して本人認証済の認証結果を受け付けた場合には、カード会社のオーソリシステムに対して売上承認を要求するオーソリ電文をオーソリネットワーク経由で送信する。OTPが一致せず本人認証未済の認証結果を受け付けた場合には、ユーザ端末に対して本人認証がエラーとなったことを通知し、商品購入の処理を中止する。
【0044】
図2〜図5は、本発明にかかる認証サーバにおけるユーザの本人認証と正規のサーバ認証の組合せについて、それぞれ第1〜4の実施例を示している。
【0045】
図2に示した第1の実施例では、クレジットカードからカード番号等を読み取る機能とOTPの演算ロジックを備えたトークンを、あらかじめユーザに配布する。この実施例では、サーバ認証にはクレジットカードに通常印字されている3桁のセキュリティコード、ユーザ認証にはOTPがそれぞれ用いられる。
【0046】
セキュリティコードは通常はカード番号や有効期限等の数値を所定のロジックで演算することによって生成されるが、アクセスコントロールサーバにセキュリティコードを演算するロジックを備え、カード番号や有効期限等のカード情報をデータベースに格納することによって、加盟店サーバから照会要求があったカード番号から特定されるカード情報を用いて、セキュリティコードを演算することができる。ユーザ端末の認証画面にはサーバ認証コードとしてセキュリティコードが表示され、ユーザはこれがクレジットカードに印字されているセキュリティコードと一致しているかを確認することによって、正規のサーバから送信された認証画面であることを確認できる。
【0047】
OTPについては、アクセスコントロールサーバとトークンに共通の演算ロジックが備えられ、ユーザ端末側ではトークンがクレジットカードのICチップや磁気ストライプから読み取ったカード情報を、アクセスコントロールサーバではデータベースに格納されたカード情報を用いることによって、それぞれOTPが演算される。OTPの安全性を高めるためにはカード情報以外の生成キーを用いることが好ましいことは先に説明したとおりであるが、このような生成キーは、ユーザ端末側ではクレジットカードかユーザ専用に配布されるトークンに、アクセスコントロールサーバではデータベースにカード番号と関連付けてそれぞれ記憶させておき、OTPを演算する際に読み出すこととすればよい。
【0048】
図3に示した第2の実施例では、クレジットカードからカード番号等を読み取る機能とOTP及びサーバ認証コードの演算ロジックを備えたトークンをあらかじめユーザに配布する。この実施例では、サーバ認証にはサーバ認証コード、ユーザ認証にはOTPがそれぞれ用いられる。
【0049】
サーバ認証コードについては、アクセスコントロールサーバとトークンに共通の演算ロジックが備えられる。ユーザ端末側ではトークンがクレジットカードのICチップや磁気ストライプから読み取ったカード情報から、アクセスコントロールサーバではカード番号や有効期限等のカード情報をデータベースに格納し、加盟店サーバから照会要求があったカード番号から特定されるカード情報から、それぞれサーバ認証コードを演算することができる。ユーザ端末の認証画面にはアクセスコントロールサーバで演算したサーバ認証コードが表示され、ユーザはこれがトークンで演算してトークンのディスプレイに表示されたサーバ認証コードと一致しているかを確認することによって、正規のサーバから送信された認証画面であることを確認できる。
【0050】
OTPについては、アクセスコントロールサーバとトークンに共通の演算ロジックが備えられ、ユーザ端末側ではトークンがクレジットカードのICチップや磁気ストライプから読み取ったカード情報を、アクセスコントロールサーバではデータベースに格納されたカード情報を用いることによって、それぞれOTPが演算される。OTPの安全性を高めるためにはカード情報以外の生成キーを用いることが好ましいことは先に説明したとおりであるが、このような生成キーは、ユーザ端末側ではクレジットカードかユーザ専用に配布されるトークンに、アクセスコントロールサーバではデータベースにカード番号と関連付けてそれぞれ記憶させておき、OTPを演算する際に読み出すこととすればよい。
【0051】
尚、第2の実施例において、サーバ認証コードを生成するキーに時刻情報やカウンタ情報等の可変なデータを用いない場合には、演算ロジックを変更しない限りサーバ認証コードは常に一定の値となる(クレジットカードに印字されるセキュリティコードもその一種といえる)。このような場合には、トークンで毎回サーバ認証コードを演算しなくても、ユーザ専用に配布されるトークンの本体にサーバ認証コードを印字しておくこととしても良い。
【0052】
図4に示した第3の実施例では、カード番号等の生成キーを記憶するとともにOTPの演算ロジックを備えたカード状のトークンをあらかじめユーザに配布する。この実施例では、サーバ認証にはクレジットカードに通常印字されている3桁のセキュリティコード、ユーザ認証にはOTPがそれぞれ用いられる。
【0053】
セキュリティコードは通常はカード番号や有効期限等の数値を所定のロジックで演算することによって生成されるが、アクセスコントロールサーバにセキュリティコードを演算するロジックを備え、カード番号や有効期限等のカード情報をデータベースに格納することによって、加盟店サーバから照会要求があったカード番号から特定されるカード情報を用いて、セキュリティコードを演算することができる。ユーザ端末の認証画面にはサーバ認証コードとしてセキュリティコードが表示され、ユーザはこれがクレジットカードに印字されているセキュリティコードと一致しているかを確認することによって、正規のサーバから送信された認証画面であることを確認できる。
【0054】
OTPについては、アクセスコントロールサーバとトークンに共通の演算ロジックが備えられ、ユーザ端末側ではトークンに記憶されたカード情報を、アクセスコントロールサーバではデータベースに格納されたカード情報を用いることによって、それぞれOTPが演算される。OTPの安全性を高めるためにはカード情報以外の生成キーを用いることが好ましいことは先に説明したとおりであるが、このような生成キーは、ユーザ端末側ではユーザ専用に配布されるトークンに、アクセスコントロールサーバではデータベースにカード番号と関連付けてそれぞれ記憶させておき、OTPを演算する際に読み出すこととすればよい。
【0055】
図5に示した第4の実施例では、カード番号等の生成キーを記憶するとともにOTPの演算ロジックを備えたカード状のトークンをあらかじめユーザに配布する。この実施例では、サーバ認証にはトークンに印字されているサーバ認証コード、ユーザ認証にはOTPがそれぞれ用いられる。
【0056】
アクセスコントロールサーバにセキュリティコードを演算するロジックを備え、カード番号や有効期限等のカード情報をデータベースに格納することによって、加盟店サーバから照会要求があったカード番号から特定されるカード情報を用いて、サーバ認証コードを演算することができる。ユーザ端末の認証画面には演算されたサーバ認証コードが表示され、ユーザはこれがトークンに印字されているサーバ認証コードと一致しているかを確認することによって、正規のサーバから送信された認証画面であることを確認できる。尚、トークンに印字されたサーバ認証コードを用いるためには、サーバ認証コードを生成するキーに時刻情報やカウンタ情報等の可変なデータを用いずに、演算ロジックを変更しない限りサーバ認証コードは常に一定の値となる(クレジットカードに印字されるセキュリティコードもその一種といえる)ように設定することが必要である。
【0057】
OTPについては、アクセスコントロールサーバとトークンに共通の演算ロジックが備えられ、ユーザ端末側ではトークンに記憶されたカード情報を、アクセスコントロールサーバではデータベースに格納されたカード情報を用いることによって、それぞれOTPが演算される。OTPの安全性を高めるためにはカード情報以外の生成キーを用いることが好ましいことは先に説明したとおりであるが、このような生成キーは、ユーザ端末側ではユーザ専用に配布されるトークンに、アクセスコントロールサーバではデータベースにカード番号と関連付けてそれぞれ記憶させておき、OTPを演算する際に読み出すこととすればよい。
【0058】
図6のブロック図と、図8〜10のフローチャートを用いて、本発明にかかる認証サーバの動作について説明する。尚、以下では、主に図4に示した第2の実施例の組合せを前提にして説明するが、他の実施例の場合も基本的なフローは同様である。
【0059】
図6において、本発明にかかる認証サーバは、アクセスコントロールサーバ40として構成されている。アクセスコントロールサーバ40は、インターネットを介してユーザ端末10からアクセス可能なWebサーバである。クレジットカード決済によって商品等を購入するユーザは、ブラウザ11を備えたパーソナルコンピュータ等のユーザ端末10を用いてインターネットに接続して、クレジットカードによって代金決済が可能な電子商取引サイトを運営する加盟店サーバ30にアクセスする。
【0060】
加盟店サーバ30はインターネットを介してユーザ端末10との通信が可能なWebサーバであって、決済情報受付部31、決済情報送信部32、認証結果受付部33を備えて構成されている。これらの各部はいずれも機能的に特定されるものであって、各々の機能を実現するためのアプリケーションプログラムがWebサーバを構成するコンピュータのメインメモリ等のメモリ領域に読み出され、CPUによって演算処理が実行されて各々の機能が実現される。
【0061】
加盟店サーバ30では、ユーザ端末10からのリクエストに応じて販売する商品等が掲載されたWebページをレスポンスし、ユーザが購入したい商品等を決定すると、決済用の画面に移行して、クレジットカード、銀行振込、代引等による代金の決済方法を選択させる。クレジットカードによる代金決済が選択されると、クレジットカードの番号、有効期限等のカード情報をユーザ端末10から入力させ、決済情報受付部31でこれを受け付ける。受け付けたカード情報は、加盟店を識別する加盟店コード、利用金額等に関する情報とともに、代金決済が可能な有効なクレジットカードであるか、またインターネットでの決済に利用できるクレジットカードであるかの照会を行うために、決済情報送信部32からアクセスコントロールサーバ40に送信される。
【0062】
アクセスコントロールサーバ40に備えられる決済情報制御部41、サーバ認証コード演算部43、認証画面送信部44、OTP演算部45、OTP照合部46、認証結果送信部47は、いずれも機能的に特定されるものであって、各々の機能を実現するためのアプリケーションプログラムがWebサーバを構成するコンピュータのメインメモリ等のメモリ領域に読み出され、CPUによって演算処理が実行されて各々の機能が実現される。カード情報格納部42には、Webサーバを構成するコンピュータのHDDの所定の記憶領域が割り当てられ、インターネットでの決済に利用できる有効なクレジットカードのカード番号等が格納されているが、アプリケーションプログラムを実行するコンピュータとは異なるデータベースサーバ等に設けられるものであってもよい。
【0063】
加盟店サーバ30から決済情報を受け付けたアクセスコントロールサーバ40では、図8に示したフローに従ってクレジットカードの照会処理が行われる。決済情報制御部41で加盟店サーバ30からカード番号が含まれた決済情報を受け付けると(S01)、カード情報格納部42を参照して(S02)、受け付けた決済情報に含まれるカード番号がカード情報格納部42に有効なクレジットカードのカード番号として格納されているかを確認する(S03)。
【0064】
有効なカードと確認されると、後に受け付けるユーザの本人認証の要求の際に対応する決済情報を識別できるようにするために、決済情報識別キーを発行して加盟店サーバ30に送信する(S04)。発行された決済情報識別キーは、決済情報に含まれるカード番号と関連付けて決済情報制御部41等に記憶される(S05)。有効なカードであることが確認されないと、加盟店サーバ30にエラー情報が送信される(S06)。
【0065】
尚、決済情報識別キーとカード番号を関連付ける方法は特に限定されるものではなく、例えば、後に利用金額等も表示される認証画面を作成するまで加盟店サーバ30から受け付けたカード番号が含まれる決済情報と関連付けてメモリ領域に一時記憶させておいてもよいし、カード情報格納部42のカード番号毎に設けられたレコードに決済情報識別キーを書き込むこととしてもよい。
【0066】
有効なクレジットカードであるとの照会結果を受け付けた加盟店サーバ30では、ユーザに本人認証を要求するために、ユーザ端末10からアクセスコントロールサーバ40に本人認証のためにアクセスさせるリンクを表示させる。ここで、アクセスコントロールサーバ40へのリンクには、アクセスコントロールサーバ40から受け付けた決済情報識別キーが埋め込まれ、該識別キーが付された状態で、ユーザ端末からアクセスコントロールサーバ40へユーザの本人認証の要求が送信される。
【0067】
ユーザ端末10からユーザの本人認証の要求を受け付けたアクセスコントロールサーバ40では、図9に示したフローに従って、OTPを入力させるための認証画面が返信される。ユーザ端末10から決済情報識別キーが付されたユーザの本人認証の要求を受け付けると(S07)、決済情報制御部41では受け付けた決済情報識別キーと関連付けて記憶されたカード番号を特定し、特定したカード番号に対応するカード情報をカード情報格納部42から読み出す(S08)。
【0068】
続いて、読み出したカード情報のうちカード番号を少なくとも含むデータから、サーバ認証コード演算部43で正規のサーバの認証に用いるためのサーバ認証コードを演算する(S09)。さらに、認証画面送信部44では、図7の例に示したような、ユーザの本人認証のためのOTPの入力領域と演算したサーバ認証コードが少なくとも表示された認証画面を作成し、ユーザ端末10に送信する(S10)。
【0069】
この認証画面はユーザ端末10のディスプレイに表示されるが、ユーザはトークン20にクレジットカードを挿入、接触等をさせて、クレジットカードのICチップや磁気ストライプに記憶されたカード番号等のカード情報をカード情報読取部21で読み取る。ここで読み取ったカード番号を少なくとも含むデータを生成キーとしてOTP演算部22で演算されてトークン20のディスプレイに表示されたOTPを認証画面に入力して、アクセスコントロールサーバ40に送信する。
【0070】
このときにトークン20では、カード情報読取部21で読み取ったカード番号を少なくとも含むデータからサーバ認証コード演算部23で演算されたサーバ認証コードがトークン20のディスプレイに表示される。サーバ認証コード演算部23では、アクセスコントロールサーバ40のサーバ認証コード演算部43と同じロジックに基づいて演算を行うので、ユーザはこのサーバ認証コードが認証画面に表示されているサーバ認証コードと一致していることを確認することで、正規のサーバから送信された認証画面であることを確認できる。ユーザはサーバ認証コードの一致を確認した上で、OTPをユーザ端末10からアクセスコントロールサーバ40に送信する。
【0071】
尚、ユーザ側でサーバ認証コードを把握するための方法は上記に限定されるものではなく、図2〜図5の例から先に説明したように、クレジットカードに印字されたセキュリティコードの利用、トークンへの印字などの方法によることもできる。
【0072】
ユーザ端末10から送信された認証画面に入力されたOTPを受け付けたアクセスコントロールサーバ40では、図10に示したフローに従って、ユーザの本人認証が行われる。ユーザ端末からOTP照合部46でOTPを受け付けると(S11)、先にカード情報格納手段42から読み出したカード情報を用いてOTP演算部45でOTPを演算して(S12)、OTPが一致するかを確認する(S13)。
【0073】
トークン20のOTP演算部22とアクセスコントロールサーバ40のOTP演算部45では同じロジックに基づいて演算を行うので、双方で演算されたOTPの一致を確認することによって、ユーザの本人認証を行うことができる。OTPの生成キーにはユーザ毎に異なるカード番号が必ず含まれるが、先に説明したとおり、管理者が設定したその他の生成キーや、時刻情報等をあわせて用いることとしてもよい。
【0074】
OTPが一致した場合には、本人認証が行われたことを示す認証結果を、認証結果送信部47からユーザ端末10に送信する(S14)。OTPが一致しない場合には、本人認証が行われなかったことを示す認証結果を、認証結果送信部47からユーザ端末10に送信する(S15)。これらの認証結果は、アクセスコントロールサーバ40で電子署名を行った状態で送信することが望ましい。
【0075】
ユーザ端末10が本人認証が行われたことを示す認証結果を受け付けた場合には、認証結果が加盟店サーバ30の認証結果受付部33に引き渡されて、カード会社のオーソリシステム50に対して売上承認を要求するオーソリ電文をオーソリネットワーク経由で送信する。オーソリシステムからの売上承認を待って、クレジットカードによる代金決済が確定する。
【図面の簡単な説明】
【0076】
【図1】本発明にかかる認証サーバの実施形態の一例を示す図である。
【図2】本発明にかかる認証サーバを用いたクレジットカード決済におけるユーザ及びサーバ認証の第1の実施例を示す図である。
【図3】本発明にかかる認証サーバを用いたクレジットカード決済におけるユーザ及びサーバ認証の第2の実施例を示す図である。
【図4】本発明にかかる認証サーバを用いたクレジットカード決済におけるユーザ及びサーバ認証の第3の実施例を示す図である。
【図5】本発明にかかる認証サーバを用いたクレジットカード決済におけるユーザ及びサーバ認証の第4の実施例を示す図である。
【図6】本発明にかかる認証サーバの構成を示すブロック図である。
【図7】本発明にかかる認証サーバによってユーザ端末に表示される認証画面の一例を示す図である。
【図8】本発明にかかる認証サーバによるユーザ及びサーバ認証のフローを示す第1のフローチャートである。
【図9】本発明にかかる認証サーバによるユーザ及びサーバ認証のフローを示す第2のフローチャートである。
【図10】本発明にかかる認証サーバによるユーザ及びサーバ認証のフローを示す第3のフローチャートである。
【符号の説明】
【0077】
10 ユーザ端末
11 ブラウザ
20 トークン
21 カード情報読取部
22 OTP演算部
23 サーバ認証コード演算部
30 加盟店サーバ
31 決済情報受付部
32 決済情報送信部
33 認証結果受付部
40 アクセスコントロールサーバ
41 決済情報制御部
42 カード情報格納部
43 サーバ認証コード演算部
44 認証画面送信部
45 OTP演算部
46 OTP照合部
47 認証結果送信部
50 オーソリシステム
【技術分野】
【0001】
本発明は、インターネットの電子商取引サイトで商品の購入代金等をクレジットカードで決済する際に用いられる、ユーザ及びサーバの認証を行うための認証サーバ、認証システム及び認証方法に関するものである。
【背景技術】
【0002】
インターネットを利用して電子商取引サイトにおいて商品等を購入することが広く行なわれるようになっているが、代金決済の手段としてクレジットカードが用いられることが多くなっている。クレジットカードの利用では不正利用対策が課題となるが、特にインターネットでの決済に用いる際には、クレジットカードの現物を確認することができないため、第三者によってカード番号等が盗用されて不正利用が行われるなりすましのリスクが高まることになる。
【0003】
このようなリスクに対応するために、カード会員があらかじめカード会社にインターネットでの決済に用いるパスワードを登録しておき、電子商取引サイトでクレジットカード決済を選択した際にはカード会社のサーバに自動アクセスし、ユーザが入力したパスワードと登録されたパスワードの一致が確認されることをクレジットカードによる決済承認の条件とするサービスが提供されるようになっている(例えば、非特許文献1の「サービス概要」「仕組み」参照)。
【0004】
また、上記のサービスはユーザがカード会員本人であるかを認証するのみでなく、あらかじめカード会社にカード会員本人しかしらないメッセージを登録しておき、パスワードの入力画面に該メッセージを表示することによって、パスワードの入力を要求しているWebサイトが確かにカード会社のものであるかを認証し、フィッシングにも対処できるようになっている(例えば、非特許文献1の「パーソナルメッセージ」参照)。
【0005】
このようなサービスを受けるために、クレジットカードの会員は、認証に用いるためのパスワードやパーソナルメッセージなどの情報をあらかじめカード会社に登録しておくことが必要になる(例えば、非特許文献2参照)。
【0006】
【非特許文献1】オンラインショッピング認証サービス、三菱UFJニコス株式会社・DCカードホームページ、[2008年1月10日検索]、インターネット<URL: http://www.dccard.co.jp/webs/3dsecure.shtml>
【非特許文献2】安全なオンラインショッピング、Visa Inc.・VISAカードホームページ、[2008年1月10日検索]、インターネット<URL: http://www.visa-asia.com/ap/jp/cardholders/security/vbv.shtml>
【発明の開示】
【発明が解決しようとする課題】
【0007】
以上のように、インターネットでの決済専用のパスワードを用いることによってなりすましのリスクを低下させ、パーソナルメッセージの登録によってフィッシングのリスクを低下させることが可能になるが、カード会員にはこれらの情報をあらかじめカード会社に登録する手間が生じることになる。また、パスワードについてはインターネットでの取引を行なううちに漏洩してしまうリスクがある他、パーソナルメッセージについてはカード会員が失念してしまうおそれもあると考えられる。
【0008】
本発明は、このような課題に対応するためになされたものであり、インターネットの電子商取引サイトで商品の購入代金等をクレジットカードで決済する際に用いられる、ユーザ及びサーバの認証を行うための認証サーバ、認証システム及び認証方法であって、パスワードやパーソナルメッセージの事前登録を必要としないものを提供することを目的とする。
【課題を解決するための手段】
【0009】
このような課題に対応するために、本発明にかかる認証サーバは、クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバであって、クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段と、クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付手段と、前記決済情報受付手段が受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けて記憶するカード番号記憶手段と、前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付手段と、前記認証要求受付手段が受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段と、前記ユーザ端末に、前記サーバ認証コード演算手段が演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信手段と、前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付手段と、前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、前記パスワード受付手段の受け付けたワンタイムパスワードと前記ワンタイムパスワード演算手段が演算したワンタイムパスワードを照合するパスワード照合手段と、前記パスワード照合手段においてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信手段と、を備えることを特徴とする。
【0010】
本発明では、ユーザの本人認証にOTP(ワンタイムパスワード)を採用し、カード番号を含むデータをキーにOTPを生成するように構成することによって、クレジットカードを保有するユーザと、加盟店サーバから決済要求のあったカード番号を受け付ける認証サーバの間で、パスワードの事前登録を行わなくても本人認証を行うことができる。あわせて、カード番号を含むデータからサーバ認証コードを生成するように構成することによって、クレジットカードを保有するユーザ側において、パーソナルメッセージ等の事前登録を行わなくても、正規のサーバであるかの認証を行うことが可能になる。
【0011】
また、本発明は、前記サーバ認証コード演算手段は、クレジットカードに印字されたセキュリティコードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコードが用いられることを特徴とすることもできる。
【0012】
このように構成すると、クレジットカードに通常印字されているセキュリティコードをサーバ認証コードとして用いることができるため、トークンにサーバ認証コードを演算させたり、サーバ認証コードを印字したりすることが不要になる。
【0013】
さらに、本発明は、前記サーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算することを特徴としてもよい。
【0014】
このように構成すると、カード番号の他に有効期限等をキーに用いてサーバ認証コードを生成することができるため、サーバ認証コードの推測が一層困難になり、安全性をさらに高めることが可能になる。
【0015】
本発明は、本発明にかかる認証サーバと、ユーザが使用するクレジットカードからの情報の読み取りが可能なトークンからなる認証システムとして特定することもできる。
【0016】
つまり、本発明にかかる第1の認証システムは、クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバと、前記ユーザがワンタイムパスワードを確認するために利用するトークンからなる認証システムであって、前記認証サーバは、クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段と、クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付手段と、前記決済情報受付手段が受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けて記憶するカード番号記憶手段と、前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付手段と、前記認証要求受付手段が受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段と、前記ユーザ端末に、前記サーバ認証コード演算手段が演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信手段と、前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付手段と、前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、前記パスワード受付手段の受け付けたワンタイムパスワードと前記ワンタイムパスワード演算手段が演算したワンタイムパスワードを照合するパスワード照合手段と、前記パスワード照合手段においてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信手段と、を備えていて、前記トークンは、前記クレジットカードからカード番号を少なくとも含むカード情報を読み取るカード情報読取手段と、前記カード情報読取手段が読み取ったカード情報に含まれるカード番号と、前記カード情報に含まれるか又は所定の記憶領域から読み出した前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、を備えていて、前記認証サーバのワンタイムパスワード演算手段と前記トークンのワンタイムパスワード演算手段は、共通のロジックに基づいてワンタイムパスワードを演算することを特徴とする認証システムである。
【0017】
また、本発明にかかる第1の認証システムは、前記トークンは、前記カード情報読取手段が読み取ったカード情報に含まれるカード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段を備えていて、前記認証サーバのサーバ認証コード演算手段と前記トークンのサーバ認証コード演算手段は、共通のロジックに基づいてサーバ認証コードを演算することを特徴とすることもできる。
【0018】
さらに、本発明にかかる第1の認証システムは、前記認証サーバのサーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算し、前記トークンのサーバ認証コード演算手段は、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算することを特徴としてもよい。
【0019】
さらに、本発明にかかる第1の認証システムは、前記サーバ認証コード演算手段は、クレジットカードに印字されたセキュリティコード又はトークンに印字された認証用コードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコード又は認証用コードが用いられることを特徴としてもよい。
【0020】
さらに、本発明にかかる第1の認証システムは、前記認証サーバのサーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算することを特徴としてもよい。
【0021】
本発明は、本発明にかかる認証サーバと、ユーザが使用するワンタイムパスワード生成専用のトークンからなる認証システムとして特定することもできる。
【0022】
つまり、本発明にかかる第2の認証システムは、クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバと、前記ユーザがワンタイムパスワードを確認するために利用する認証カードからなる認証システムであって、前記認証サーバは、クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段と、クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付手段と、前記決済情報受付手段が受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けて記憶するカード番号記憶手段と、前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付手段と、前記認証要求受付手段が受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段と、前記ユーザ端末に、前記サーバ認証コード演算手段が演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信手段と、前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付手段と、前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、前記パスワード受付手段の受け付けたワンタイムパスワードと前記ワンタイムパスワード演算手段が演算したワンタイムパスワードを照合するパスワード照合手段と、前記パスワード照合手段においてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信手段と、を備えていて、前記認証カードは、前記クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段を備えていて、前記認証サーバのワンタイムパスワード演算手段と前記認証カードのワンタイムパスワード演算手段は、共通のロジックに基づいてワンタイムパスワードを演算することを特徴とする。
【0023】
また、本発明にかかる第2の認証システムは、前記サーバ認証コード演算手段は、クレジットカードに印字されたセキュリティコード又は認証カードに印字された認証用コードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコード又は認証用コードが用いられることを特徴とすることもできる。
【0024】
さらに、本発明にかかる第2の認証システムは、前記認証サーバのサーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算することを特徴としてもよい。
【0025】
本発明は、本発明にかかる認証サーバによって実行される認証方法として特定することもできる。
【0026】
つまり、本発明にかかる認証方法は、クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段を備えた、クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバによって実行される認証方法であって、前記認証サーバが、クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付ステップと、前記認証サーバが、前記決済情報受付ステップで受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けてカード番号記憶手段に記憶させるカード番号記憶ステップと、前記認証サーバが、前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付ステップと、前記認証サーバが、前記認証要求受付ステップで受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算ステップと、前記認証サーバが、前記ユーザ端末に、前記サーバ認証コード演算ステップで演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信ステップと、前記認証サーバが、前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付ステップと、前記認証サーバが、前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算ステップと、前記認証サーバが、前記パスワード受付ステップで受け付けたワンタイムパスワードと前記ワンタイムパスワード演算ステップで演算したワンタイムパスワードを照合するパスワード照合ステップと、前記認証サーバが、前記パスワード照合ステップにおいてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信ステップと、を有することを特徴とする。
【0027】
また、本発明にかかる認証方法は、前記サーバ認証コード演算ステップでは、クレジットカードに印字されたセキュリティコードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコードが用いられることを特徴とすることもできる。
【0028】
さらに、本発明にかかる認証方法は、前記サーバ認証コード演算ステップでは、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算することを特徴としてもよい。
【発明の効果】
【0029】
本発明によって、クレジットカードの会員であるユーザがパスワードやパーソナルメッセージの事前登録を行わなくても、インターネットの電子商取引サイトで商品の購入代金等をクレジットカードで決済する際に、ユーザの本人認証や正規のサーバの認証を行うことが可能になるので、なりすましやフィッシングによる被害の防止に有効である。
【0030】
また、ワンタイムパスワードを利用することによってパスワード漏洩のリスクを回避できるとともに、ユーザの手元で把握できるサーバ認証コードを用いてサーバの認証を行うことによって、サーバ認証用のパーソナルメッセージを記憶してサーバ認証に用いる場合においてカード会員がパーソナルメッセージ失念してしまうおそれがあるという問題も解消することができる。
【発明を実施するための最良の形態】
【0031】
本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明する。尚、以下の説明は本発明の実施形態の一例を示したものであって、本発明の構成は以下に示した実施形態に限定されるものではない。
【0032】
図1は、本発明にかかる認証サーバの実施形態の一例を示す図である。図2〜図5は、本発明にかかる認証サーバを用いたクレジットカード決済におけるユーザ及びサーバ認証のそれぞれ第1〜4の実施例を示す図である。図6は、本発明にかかる認証サーバの構成を示すブロック図である。図7は、本発明にかかる認証サーバによってユーザ端末に表示される認証画面の一例を示す図である。図8〜10は、本発明にかかる認証サーバによるユーザ及びサーバ認証のフローを示すそれぞれ第1〜3のフローチャートである。
【0033】
図1を用いて、本発明にかかる認証サーバによるユーザの本人認証と正規のサーバであることの認証の方法について説明する。クレジットカード会員であるユーザは、パーソナルコンピュータ等のユーザ端末を用いてインターネットに接続し、電子商取引サイトとして運用されているクレジットカードの加盟店サーバにアクセスする。ユーザが電子商取引サイトで購入する商品を決定し、購入代金の決済方法としてクレジットカードを選択すると、所定の入力画面からクレジットカードのカード番号や有効期限等の入力が行われる。
【0034】
加盟店サーバは、入力されたクレジットカードのカード番号等を受け付けて、ユーザの入力したカード番号がインターネットでの決済に利用可能なものであるかを確認するために、クレジットカード会員の認証を行うアクセスコントロールサーバに対してクレジットカードのカード番号や利用代金等の決済情報を送信して、クレジットカードの照会要求を行う。
【0035】
アクセスコントロールサーバには、インターネットでの購入代金を決済することが可能なクレジットカードのカード番号等のカード情報が記憶されていて、これを参照してアクセスコントロールサーバで決済可能なクレジットカードであるかを確認し、確認結果を加盟店サーバに返信する。このときに、ユーザ端末からユーザの認証要求を受け付けた際に対応するクレジットカードを識別できるように、加盟店サーバから受け付けた決済情報の識別キーとカード番号を関連付けて記憶させるとともに、加盟店サーバに該識別キーを確認結果とあわせて返信する。
【0036】
確認結果を受け付けた加盟店サーバでは、クレジットカードが決済可能なものである場合には、ユーザに本人認証を要求するために、ユーザ端末からアクセスコントロールサーバにアクセスさせるためのリンクを表示させる。リンクの方法は特に限定されるものではないが、加盟店サーバのWebページ上の認証要求のリンクを押下すると、アクセスコントロールサーバにアクセスして認証画面をポップアップさせることとしてもよいし、アクセスコントロールサーバの認証画面に遷移させることとしてもよい。ここで、アクセスコントロールサーバへのリンクには決済情報の識別キーが埋め込まれ、ユーザ端末からアクセスコントロールサーバへは該識別キーが自動的に付されて認証要求が送信されるように設定される。
【0037】
認証要求を受け付けたアクセスコントロールサーバでは、決済情報の識別キーから該識別キーと関連付けて記憶されている加盟店サーバから受け付けたカード番号を特定し、ユーザが正規のサーバであることを確認するために用いられるサーバ認証コードを、特定したカード番号を用いて生成する。ユーザに本人認証のためのOTP(ワンタイムパスワード)を入力させる認証画面には、生成されたサーバ認証コードが表示される。
【0038】
ここでサーバ認証コードの生成に適用される演算ロジックは特に限定されるものではなく、カード番号以外に有効期限等のデータを用いることとしてもよいが、ユーザ側で正規のサーバ認証コードを判別できるように、ユーザに専用のトークンを保有させてトークンで同様のロジックに基づく演算を可能にしておくか、あるいはクレジットカードやトークン等に演算された正規のサーバ認証コードを印字しておくことが必要になる。
【0039】
図7は認証画面の一例を示したものであるが、サーバ認証コードが表示されたOTPを入力させる認証画面はユーザ端末に送信され、ユーザはあらかじめ配布されたOTPを生成するトークンによってOTPを確認し、認証画面に入力する。このときに、認証画面が正規のものであれば認証画面にはサーバ認証コードが表示されるため(図7であれば「サーバ認証コード」の「987」)、ユーザはこれが手元で確認できるサーバ認証コードと一致しているかによって正規のサーバからの認証画面か否かを判断し、フィッシングを防止することが可能になる。
【0040】
認証画面に入力されたOTPはアクセスコントロールサーバに送信されるが、アクセスコントロールサーバでもユーザの保有するトークンと同じOTPを生成する演算ロジックが記憶されており、アクセスコントロールサーバで演算されたOTPとユーザ端末から受け付けたOTPを照合することによって、ユーザの本人認証が行われる。
【0041】
尚、ここで用いられるOTPの演算ロジックは特に限定されるものではないが、生成キーとしてユーザ毎に固有のデータであるカード番号が少なくとも用いられることになる。ユーザ側には、クレジットカードからカード番号を読み取ることが可能なトークンを用いてもよいし、カード番号を記憶してOTPを自動演算するカード状のトークン等を用いてもよい。尚、OTPの生成キーをカード番号のみでなく、その他の各々のカードに固有の管理者が設定した生成キーを用いたり、時刻情報やカウンタ情報(OTPの発行回数のカウンタ)等を用いたりすると安全性がより高まるため、特に高い安全性が求められるOTPの演算には好ましい。
【0042】
アクセスコントロールサーバで演算されたOTPとユーザ端末から受け付けたOTPを照合した認証結果は、アクセスコントロールサーバからユーザ端末に送信され、さらにユーザ端末から加盟店サーバに送信される。認証結果については、アクセスコントロールサーバにおいて電子署名が行われたものを送信することが好ましい。
【0043】
加盟店サーバでは、OTPが一致して本人認証済の認証結果を受け付けた場合には、カード会社のオーソリシステムに対して売上承認を要求するオーソリ電文をオーソリネットワーク経由で送信する。OTPが一致せず本人認証未済の認証結果を受け付けた場合には、ユーザ端末に対して本人認証がエラーとなったことを通知し、商品購入の処理を中止する。
【0044】
図2〜図5は、本発明にかかる認証サーバにおけるユーザの本人認証と正規のサーバ認証の組合せについて、それぞれ第1〜4の実施例を示している。
【0045】
図2に示した第1の実施例では、クレジットカードからカード番号等を読み取る機能とOTPの演算ロジックを備えたトークンを、あらかじめユーザに配布する。この実施例では、サーバ認証にはクレジットカードに通常印字されている3桁のセキュリティコード、ユーザ認証にはOTPがそれぞれ用いられる。
【0046】
セキュリティコードは通常はカード番号や有効期限等の数値を所定のロジックで演算することによって生成されるが、アクセスコントロールサーバにセキュリティコードを演算するロジックを備え、カード番号や有効期限等のカード情報をデータベースに格納することによって、加盟店サーバから照会要求があったカード番号から特定されるカード情報を用いて、セキュリティコードを演算することができる。ユーザ端末の認証画面にはサーバ認証コードとしてセキュリティコードが表示され、ユーザはこれがクレジットカードに印字されているセキュリティコードと一致しているかを確認することによって、正規のサーバから送信された認証画面であることを確認できる。
【0047】
OTPについては、アクセスコントロールサーバとトークンに共通の演算ロジックが備えられ、ユーザ端末側ではトークンがクレジットカードのICチップや磁気ストライプから読み取ったカード情報を、アクセスコントロールサーバではデータベースに格納されたカード情報を用いることによって、それぞれOTPが演算される。OTPの安全性を高めるためにはカード情報以外の生成キーを用いることが好ましいことは先に説明したとおりであるが、このような生成キーは、ユーザ端末側ではクレジットカードかユーザ専用に配布されるトークンに、アクセスコントロールサーバではデータベースにカード番号と関連付けてそれぞれ記憶させておき、OTPを演算する際に読み出すこととすればよい。
【0048】
図3に示した第2の実施例では、クレジットカードからカード番号等を読み取る機能とOTP及びサーバ認証コードの演算ロジックを備えたトークンをあらかじめユーザに配布する。この実施例では、サーバ認証にはサーバ認証コード、ユーザ認証にはOTPがそれぞれ用いられる。
【0049】
サーバ認証コードについては、アクセスコントロールサーバとトークンに共通の演算ロジックが備えられる。ユーザ端末側ではトークンがクレジットカードのICチップや磁気ストライプから読み取ったカード情報から、アクセスコントロールサーバではカード番号や有効期限等のカード情報をデータベースに格納し、加盟店サーバから照会要求があったカード番号から特定されるカード情報から、それぞれサーバ認証コードを演算することができる。ユーザ端末の認証画面にはアクセスコントロールサーバで演算したサーバ認証コードが表示され、ユーザはこれがトークンで演算してトークンのディスプレイに表示されたサーバ認証コードと一致しているかを確認することによって、正規のサーバから送信された認証画面であることを確認できる。
【0050】
OTPについては、アクセスコントロールサーバとトークンに共通の演算ロジックが備えられ、ユーザ端末側ではトークンがクレジットカードのICチップや磁気ストライプから読み取ったカード情報を、アクセスコントロールサーバではデータベースに格納されたカード情報を用いることによって、それぞれOTPが演算される。OTPの安全性を高めるためにはカード情報以外の生成キーを用いることが好ましいことは先に説明したとおりであるが、このような生成キーは、ユーザ端末側ではクレジットカードかユーザ専用に配布されるトークンに、アクセスコントロールサーバではデータベースにカード番号と関連付けてそれぞれ記憶させておき、OTPを演算する際に読み出すこととすればよい。
【0051】
尚、第2の実施例において、サーバ認証コードを生成するキーに時刻情報やカウンタ情報等の可変なデータを用いない場合には、演算ロジックを変更しない限りサーバ認証コードは常に一定の値となる(クレジットカードに印字されるセキュリティコードもその一種といえる)。このような場合には、トークンで毎回サーバ認証コードを演算しなくても、ユーザ専用に配布されるトークンの本体にサーバ認証コードを印字しておくこととしても良い。
【0052】
図4に示した第3の実施例では、カード番号等の生成キーを記憶するとともにOTPの演算ロジックを備えたカード状のトークンをあらかじめユーザに配布する。この実施例では、サーバ認証にはクレジットカードに通常印字されている3桁のセキュリティコード、ユーザ認証にはOTPがそれぞれ用いられる。
【0053】
セキュリティコードは通常はカード番号や有効期限等の数値を所定のロジックで演算することによって生成されるが、アクセスコントロールサーバにセキュリティコードを演算するロジックを備え、カード番号や有効期限等のカード情報をデータベースに格納することによって、加盟店サーバから照会要求があったカード番号から特定されるカード情報を用いて、セキュリティコードを演算することができる。ユーザ端末の認証画面にはサーバ認証コードとしてセキュリティコードが表示され、ユーザはこれがクレジットカードに印字されているセキュリティコードと一致しているかを確認することによって、正規のサーバから送信された認証画面であることを確認できる。
【0054】
OTPについては、アクセスコントロールサーバとトークンに共通の演算ロジックが備えられ、ユーザ端末側ではトークンに記憶されたカード情報を、アクセスコントロールサーバではデータベースに格納されたカード情報を用いることによって、それぞれOTPが演算される。OTPの安全性を高めるためにはカード情報以外の生成キーを用いることが好ましいことは先に説明したとおりであるが、このような生成キーは、ユーザ端末側ではユーザ専用に配布されるトークンに、アクセスコントロールサーバではデータベースにカード番号と関連付けてそれぞれ記憶させておき、OTPを演算する際に読み出すこととすればよい。
【0055】
図5に示した第4の実施例では、カード番号等の生成キーを記憶するとともにOTPの演算ロジックを備えたカード状のトークンをあらかじめユーザに配布する。この実施例では、サーバ認証にはトークンに印字されているサーバ認証コード、ユーザ認証にはOTPがそれぞれ用いられる。
【0056】
アクセスコントロールサーバにセキュリティコードを演算するロジックを備え、カード番号や有効期限等のカード情報をデータベースに格納することによって、加盟店サーバから照会要求があったカード番号から特定されるカード情報を用いて、サーバ認証コードを演算することができる。ユーザ端末の認証画面には演算されたサーバ認証コードが表示され、ユーザはこれがトークンに印字されているサーバ認証コードと一致しているかを確認することによって、正規のサーバから送信された認証画面であることを確認できる。尚、トークンに印字されたサーバ認証コードを用いるためには、サーバ認証コードを生成するキーに時刻情報やカウンタ情報等の可変なデータを用いずに、演算ロジックを変更しない限りサーバ認証コードは常に一定の値となる(クレジットカードに印字されるセキュリティコードもその一種といえる)ように設定することが必要である。
【0057】
OTPについては、アクセスコントロールサーバとトークンに共通の演算ロジックが備えられ、ユーザ端末側ではトークンに記憶されたカード情報を、アクセスコントロールサーバではデータベースに格納されたカード情報を用いることによって、それぞれOTPが演算される。OTPの安全性を高めるためにはカード情報以外の生成キーを用いることが好ましいことは先に説明したとおりであるが、このような生成キーは、ユーザ端末側ではユーザ専用に配布されるトークンに、アクセスコントロールサーバではデータベースにカード番号と関連付けてそれぞれ記憶させておき、OTPを演算する際に読み出すこととすればよい。
【0058】
図6のブロック図と、図8〜10のフローチャートを用いて、本発明にかかる認証サーバの動作について説明する。尚、以下では、主に図4に示した第2の実施例の組合せを前提にして説明するが、他の実施例の場合も基本的なフローは同様である。
【0059】
図6において、本発明にかかる認証サーバは、アクセスコントロールサーバ40として構成されている。アクセスコントロールサーバ40は、インターネットを介してユーザ端末10からアクセス可能なWebサーバである。クレジットカード決済によって商品等を購入するユーザは、ブラウザ11を備えたパーソナルコンピュータ等のユーザ端末10を用いてインターネットに接続して、クレジットカードによって代金決済が可能な電子商取引サイトを運営する加盟店サーバ30にアクセスする。
【0060】
加盟店サーバ30はインターネットを介してユーザ端末10との通信が可能なWebサーバであって、決済情報受付部31、決済情報送信部32、認証結果受付部33を備えて構成されている。これらの各部はいずれも機能的に特定されるものであって、各々の機能を実現するためのアプリケーションプログラムがWebサーバを構成するコンピュータのメインメモリ等のメモリ領域に読み出され、CPUによって演算処理が実行されて各々の機能が実現される。
【0061】
加盟店サーバ30では、ユーザ端末10からのリクエストに応じて販売する商品等が掲載されたWebページをレスポンスし、ユーザが購入したい商品等を決定すると、決済用の画面に移行して、クレジットカード、銀行振込、代引等による代金の決済方法を選択させる。クレジットカードによる代金決済が選択されると、クレジットカードの番号、有効期限等のカード情報をユーザ端末10から入力させ、決済情報受付部31でこれを受け付ける。受け付けたカード情報は、加盟店を識別する加盟店コード、利用金額等に関する情報とともに、代金決済が可能な有効なクレジットカードであるか、またインターネットでの決済に利用できるクレジットカードであるかの照会を行うために、決済情報送信部32からアクセスコントロールサーバ40に送信される。
【0062】
アクセスコントロールサーバ40に備えられる決済情報制御部41、サーバ認証コード演算部43、認証画面送信部44、OTP演算部45、OTP照合部46、認証結果送信部47は、いずれも機能的に特定されるものであって、各々の機能を実現するためのアプリケーションプログラムがWebサーバを構成するコンピュータのメインメモリ等のメモリ領域に読み出され、CPUによって演算処理が実行されて各々の機能が実現される。カード情報格納部42には、Webサーバを構成するコンピュータのHDDの所定の記憶領域が割り当てられ、インターネットでの決済に利用できる有効なクレジットカードのカード番号等が格納されているが、アプリケーションプログラムを実行するコンピュータとは異なるデータベースサーバ等に設けられるものであってもよい。
【0063】
加盟店サーバ30から決済情報を受け付けたアクセスコントロールサーバ40では、図8に示したフローに従ってクレジットカードの照会処理が行われる。決済情報制御部41で加盟店サーバ30からカード番号が含まれた決済情報を受け付けると(S01)、カード情報格納部42を参照して(S02)、受け付けた決済情報に含まれるカード番号がカード情報格納部42に有効なクレジットカードのカード番号として格納されているかを確認する(S03)。
【0064】
有効なカードと確認されると、後に受け付けるユーザの本人認証の要求の際に対応する決済情報を識別できるようにするために、決済情報識別キーを発行して加盟店サーバ30に送信する(S04)。発行された決済情報識別キーは、決済情報に含まれるカード番号と関連付けて決済情報制御部41等に記憶される(S05)。有効なカードであることが確認されないと、加盟店サーバ30にエラー情報が送信される(S06)。
【0065】
尚、決済情報識別キーとカード番号を関連付ける方法は特に限定されるものではなく、例えば、後に利用金額等も表示される認証画面を作成するまで加盟店サーバ30から受け付けたカード番号が含まれる決済情報と関連付けてメモリ領域に一時記憶させておいてもよいし、カード情報格納部42のカード番号毎に設けられたレコードに決済情報識別キーを書き込むこととしてもよい。
【0066】
有効なクレジットカードであるとの照会結果を受け付けた加盟店サーバ30では、ユーザに本人認証を要求するために、ユーザ端末10からアクセスコントロールサーバ40に本人認証のためにアクセスさせるリンクを表示させる。ここで、アクセスコントロールサーバ40へのリンクには、アクセスコントロールサーバ40から受け付けた決済情報識別キーが埋め込まれ、該識別キーが付された状態で、ユーザ端末からアクセスコントロールサーバ40へユーザの本人認証の要求が送信される。
【0067】
ユーザ端末10からユーザの本人認証の要求を受け付けたアクセスコントロールサーバ40では、図9に示したフローに従って、OTPを入力させるための認証画面が返信される。ユーザ端末10から決済情報識別キーが付されたユーザの本人認証の要求を受け付けると(S07)、決済情報制御部41では受け付けた決済情報識別キーと関連付けて記憶されたカード番号を特定し、特定したカード番号に対応するカード情報をカード情報格納部42から読み出す(S08)。
【0068】
続いて、読み出したカード情報のうちカード番号を少なくとも含むデータから、サーバ認証コード演算部43で正規のサーバの認証に用いるためのサーバ認証コードを演算する(S09)。さらに、認証画面送信部44では、図7の例に示したような、ユーザの本人認証のためのOTPの入力領域と演算したサーバ認証コードが少なくとも表示された認証画面を作成し、ユーザ端末10に送信する(S10)。
【0069】
この認証画面はユーザ端末10のディスプレイに表示されるが、ユーザはトークン20にクレジットカードを挿入、接触等をさせて、クレジットカードのICチップや磁気ストライプに記憶されたカード番号等のカード情報をカード情報読取部21で読み取る。ここで読み取ったカード番号を少なくとも含むデータを生成キーとしてOTP演算部22で演算されてトークン20のディスプレイに表示されたOTPを認証画面に入力して、アクセスコントロールサーバ40に送信する。
【0070】
このときにトークン20では、カード情報読取部21で読み取ったカード番号を少なくとも含むデータからサーバ認証コード演算部23で演算されたサーバ認証コードがトークン20のディスプレイに表示される。サーバ認証コード演算部23では、アクセスコントロールサーバ40のサーバ認証コード演算部43と同じロジックに基づいて演算を行うので、ユーザはこのサーバ認証コードが認証画面に表示されているサーバ認証コードと一致していることを確認することで、正規のサーバから送信された認証画面であることを確認できる。ユーザはサーバ認証コードの一致を確認した上で、OTPをユーザ端末10からアクセスコントロールサーバ40に送信する。
【0071】
尚、ユーザ側でサーバ認証コードを把握するための方法は上記に限定されるものではなく、図2〜図5の例から先に説明したように、クレジットカードに印字されたセキュリティコードの利用、トークンへの印字などの方法によることもできる。
【0072】
ユーザ端末10から送信された認証画面に入力されたOTPを受け付けたアクセスコントロールサーバ40では、図10に示したフローに従って、ユーザの本人認証が行われる。ユーザ端末からOTP照合部46でOTPを受け付けると(S11)、先にカード情報格納手段42から読み出したカード情報を用いてOTP演算部45でOTPを演算して(S12)、OTPが一致するかを確認する(S13)。
【0073】
トークン20のOTP演算部22とアクセスコントロールサーバ40のOTP演算部45では同じロジックに基づいて演算を行うので、双方で演算されたOTPの一致を確認することによって、ユーザの本人認証を行うことができる。OTPの生成キーにはユーザ毎に異なるカード番号が必ず含まれるが、先に説明したとおり、管理者が設定したその他の生成キーや、時刻情報等をあわせて用いることとしてもよい。
【0074】
OTPが一致した場合には、本人認証が行われたことを示す認証結果を、認証結果送信部47からユーザ端末10に送信する(S14)。OTPが一致しない場合には、本人認証が行われなかったことを示す認証結果を、認証結果送信部47からユーザ端末10に送信する(S15)。これらの認証結果は、アクセスコントロールサーバ40で電子署名を行った状態で送信することが望ましい。
【0075】
ユーザ端末10が本人認証が行われたことを示す認証結果を受け付けた場合には、認証結果が加盟店サーバ30の認証結果受付部33に引き渡されて、カード会社のオーソリシステム50に対して売上承認を要求するオーソリ電文をオーソリネットワーク経由で送信する。オーソリシステムからの売上承認を待って、クレジットカードによる代金決済が確定する。
【図面の簡単な説明】
【0076】
【図1】本発明にかかる認証サーバの実施形態の一例を示す図である。
【図2】本発明にかかる認証サーバを用いたクレジットカード決済におけるユーザ及びサーバ認証の第1の実施例を示す図である。
【図3】本発明にかかる認証サーバを用いたクレジットカード決済におけるユーザ及びサーバ認証の第2の実施例を示す図である。
【図4】本発明にかかる認証サーバを用いたクレジットカード決済におけるユーザ及びサーバ認証の第3の実施例を示す図である。
【図5】本発明にかかる認証サーバを用いたクレジットカード決済におけるユーザ及びサーバ認証の第4の実施例を示す図である。
【図6】本発明にかかる認証サーバの構成を示すブロック図である。
【図7】本発明にかかる認証サーバによってユーザ端末に表示される認証画面の一例を示す図である。
【図8】本発明にかかる認証サーバによるユーザ及びサーバ認証のフローを示す第1のフローチャートである。
【図9】本発明にかかる認証サーバによるユーザ及びサーバ認証のフローを示す第2のフローチャートである。
【図10】本発明にかかる認証サーバによるユーザ及びサーバ認証のフローを示す第3のフローチャートである。
【符号の説明】
【0077】
10 ユーザ端末
11 ブラウザ
20 トークン
21 カード情報読取部
22 OTP演算部
23 サーバ認証コード演算部
30 加盟店サーバ
31 決済情報受付部
32 決済情報送信部
33 認証結果受付部
40 アクセスコントロールサーバ
41 決済情報制御部
42 カード情報格納部
43 サーバ認証コード演算部
44 認証画面送信部
45 OTP演算部
46 OTP照合部
47 認証結果送信部
50 オーソリシステム
【特許請求の範囲】
【請求項1】
クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバであって、
クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段と、
クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付手段と、
前記決済情報受付手段が受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けて記憶するカード番号記憶手段と、
前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付手段と、
前記認証要求受付手段が受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段と、
前記ユーザ端末に、前記サーバ認証コード演算手段が演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信手段と、
前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付手段と、
前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、
前記パスワード受付手段の受け付けたワンタイムパスワードと前記ワンタイムパスワード演算手段が演算したワンタイムパスワードを照合するパスワード照合手段と、
前記パスワード照合手段においてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信手段と、
を備えることを特徴とする認証サーバ。
【請求項2】
前記サーバ認証コード演算手段は、クレジットカードに印字されたセキュリティコードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコードが用いられること
を特徴とする請求項1記載の認証サーバ。
【請求項3】
前記サーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算すること
を特徴とする請求項1又は2記載の認証サーバ。
【請求項4】
クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバと、前記ユーザがワンタイムパスワードを確認するために利用するトークンからなる認証システムであって、
前記認証サーバは、
クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段と、
クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付手段と、
前記決済情報受付手段が受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けて記憶するカード番号記憶手段と、
前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付手段と、
前記認証要求受付手段が受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段と、
前記ユーザ端末に、前記サーバ認証コード演算手段が演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信手段と、
前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付手段と、
前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、
前記パスワード受付手段の受け付けたワンタイムパスワードと前記ワンタイムパスワード演算手段が演算したワンタイムパスワードを照合するパスワード照合手段と、
前記パスワード照合手段においてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信手段と、
を備えていて、
前記トークンは、
前記クレジットカードからカード番号を少なくとも含むカード情報を読み取るカード情報読取手段と、
前記カード情報読取手段が読み取ったカード情報に含まれるカード番号と、前記カード情報に含まれるか又は所定の記憶領域から読み出した前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、
を備えていて、
前記認証サーバのワンタイムパスワード演算手段と前記トークンのワンタイムパスワード演算手段は、共通のロジックに基づいてワンタイムパスワードを演算すること
を特徴とする認証システム。
【請求項5】
前記トークンは、
前記カード情報読取手段が読み取ったカード情報に含まれるカード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段を備えていて、
前記認証サーバのサーバ認証コード演算手段と前記トークンのサーバ認証コード演算手段は、共通のロジックに基づいてサーバ認証コードを演算すること
を特徴とする請求項4記載の認証システム。
【請求項6】
前記認証サーバのサーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算し、
前記トークンのサーバ認証コード演算手段は、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算すること
を特徴とする請求項5記載の認証サーバ。
【請求項7】
前記サーバ認証コード演算手段は、クレジットカードに印字されたセキュリティコード又はトークンに印字された認証用コードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコード又は認証用コードが用いられること
を特徴とする請求項4記載の認証サーバ。
【請求項8】
前記認証サーバのサーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算すること
を特徴とする請求項7記載の認証サーバ。
【請求項9】
クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバと、前記ユーザがワンタイムパスワードを確認するために利用するトークンからなる認証システムであって、
前記認証サーバは、
クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段と、
クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付手段と、
前記決済情報受付手段が受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けて記憶するカード番号記憶手段と、
前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付手段と、
前記認証要求受付手段が受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段と、
前記ユーザ端末に、前記サーバ認証コード演算手段が演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信手段と、
前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付手段と、
前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、
前記パスワード受付手段の受け付けたワンタイムパスワードと前記ワンタイムパスワード演算手段が演算したワンタイムパスワードを照合するパスワード照合手段と、
前記パスワード照合手段においてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信手段と、
を備えていて、
前記トークンは、
前記クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段を備えていて、
前記認証サーバのワンタイムパスワード演算手段と前記トークンのワンタイムパスワード演算手段は、共通のロジックに基づいてワンタイムパスワードを演算すること
を特徴とする認証システム。
【請求項10】
前記サーバ認証コード演算手段は、クレジットカードに印字されたセキュリティコード又は認証カードに印字された認証用コードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコード又は認証用コードが用いられること
を特徴とする請求項9記載の認証システム。
【請求項11】
前記認証サーバのサーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算すること
を特徴とする請求項10記載の認証システム。
【請求項12】
クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段を備えた、クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバによって実行される認証方法であって、
前記認証サーバが、クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付ステップと、
前記認証サーバが、前記決済情報受付ステップで受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けてカード番号記憶手段に記憶させるカード番号記憶ステップと、
前記認証サーバが、前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付ステップと、
前記認証サーバが、前記認証要求受付ステップで受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算ステップと、
前記認証サーバが、前記ユーザ端末に、前記サーバ認証コード演算ステップで演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信ステップと、
前記認証サーバが、前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付ステップと、
前記認証サーバが、前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算ステップと、
前記認証サーバが、前記パスワード受付ステップで受け付けたワンタイムパスワードと前記ワンタイムパスワード演算ステップで演算したワンタイムパスワードを照合するパスワード照合ステップと、
前記認証サーバが、前記パスワード照合ステップにおいてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信ステップと、
を有することを特徴とする認証方法。
【請求項13】
前記サーバ認証コード演算ステップでは、クレジットカードに印字されたセキュリティコードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコードが用いられること
を特徴とする請求項12記載の認証方法。
【請求項14】
前記サーバ認証コード演算ステップでは、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算すること
を特徴とする請求項12又は13記載の認証方法。
【請求項1】
クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバであって、
クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段と、
クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付手段と、
前記決済情報受付手段が受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けて記憶するカード番号記憶手段と、
前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付手段と、
前記認証要求受付手段が受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段と、
前記ユーザ端末に、前記サーバ認証コード演算手段が演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信手段と、
前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付手段と、
前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、
前記パスワード受付手段の受け付けたワンタイムパスワードと前記ワンタイムパスワード演算手段が演算したワンタイムパスワードを照合するパスワード照合手段と、
前記パスワード照合手段においてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信手段と、
を備えることを特徴とする認証サーバ。
【請求項2】
前記サーバ認証コード演算手段は、クレジットカードに印字されたセキュリティコードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコードが用いられること
を特徴とする請求項1記載の認証サーバ。
【請求項3】
前記サーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算すること
を特徴とする請求項1又は2記載の認証サーバ。
【請求項4】
クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバと、前記ユーザがワンタイムパスワードを確認するために利用するトークンからなる認証システムであって、
前記認証サーバは、
クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段と、
クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付手段と、
前記決済情報受付手段が受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けて記憶するカード番号記憶手段と、
前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付手段と、
前記認証要求受付手段が受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段と、
前記ユーザ端末に、前記サーバ認証コード演算手段が演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信手段と、
前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付手段と、
前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、
前記パスワード受付手段の受け付けたワンタイムパスワードと前記ワンタイムパスワード演算手段が演算したワンタイムパスワードを照合するパスワード照合手段と、
前記パスワード照合手段においてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信手段と、
を備えていて、
前記トークンは、
前記クレジットカードからカード番号を少なくとも含むカード情報を読み取るカード情報読取手段と、
前記カード情報読取手段が読み取ったカード情報に含まれるカード番号と、前記カード情報に含まれるか又は所定の記憶領域から読み出した前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、
を備えていて、
前記認証サーバのワンタイムパスワード演算手段と前記トークンのワンタイムパスワード演算手段は、共通のロジックに基づいてワンタイムパスワードを演算すること
を特徴とする認証システム。
【請求項5】
前記トークンは、
前記カード情報読取手段が読み取ったカード情報に含まれるカード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段を備えていて、
前記認証サーバのサーバ認証コード演算手段と前記トークンのサーバ認証コード演算手段は、共通のロジックに基づいてサーバ認証コードを演算すること
を特徴とする請求項4記載の認証システム。
【請求項6】
前記認証サーバのサーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算し、
前記トークンのサーバ認証コード演算手段は、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算すること
を特徴とする請求項5記載の認証サーバ。
【請求項7】
前記サーバ認証コード演算手段は、クレジットカードに印字されたセキュリティコード又はトークンに印字された認証用コードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコード又は認証用コードが用いられること
を特徴とする請求項4記載の認証サーバ。
【請求項8】
前記認証サーバのサーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算すること
を特徴とする請求項7記載の認証サーバ。
【請求項9】
クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバと、前記ユーザがワンタイムパスワードを確認するために利用するトークンからなる認証システムであって、
前記認証サーバは、
クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段と、
クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付手段と、
前記決済情報受付手段が受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けて記憶するカード番号記憶手段と、
前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付手段と、
前記認証要求受付手段が受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算手段と、
前記ユーザ端末に、前記サーバ認証コード演算手段が演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信手段と、
前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付手段と、
前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段と、
前記パスワード受付手段の受け付けたワンタイムパスワードと前記ワンタイムパスワード演算手段が演算したワンタイムパスワードを照合するパスワード照合手段と、
前記パスワード照合手段においてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信手段と、
を備えていて、
前記トークンは、
前記クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算手段を備えていて、
前記認証サーバのワンタイムパスワード演算手段と前記トークンのワンタイムパスワード演算手段は、共通のロジックに基づいてワンタイムパスワードを演算すること
を特徴とする認証システム。
【請求項10】
前記サーバ認証コード演算手段は、クレジットカードに印字されたセキュリティコード又は認証カードに印字された認証用コードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコード又は認証用コードが用いられること
を特徴とする請求項9記載の認証システム。
【請求項11】
前記認証サーバのサーバ認証コード演算手段は、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算すること
を特徴とする請求項10記載の認証システム。
【請求項12】
クレジットカードのカード番号と前記クレジットカードによる決済における本人認証に用いられるワンタイムパスワードの生成に用いられる生成キーを少なくとも含むカード情報を関連付けて格納するカード情報格納手段を備えた、クレジットカード決済においてユーザ及びサーバの認証を行うための認証サーバによって実行される認証方法であって、
前記認証サーバが、クレジットカードによる代金決済の要求を受け付けた加盟店サーバから、前記クレジットカードのカード番号が含まれた決済情報を受け付けて、前記決済情報を識別する決済情報識別キーを発行して前記加盟店サーバに送信する決済情報受付ステップと、
前記認証サーバが、前記決済情報受付ステップで受け付けた決済情報に含まれるカード番号を前記決済情報識別キーと関連付けてカード番号記憶手段に記憶させるカード番号記憶ステップと、
前記認証サーバが、前記代金決済の要求を行ったユーザが操作するユーザ端末から、前記決済情報識別キーを含む前記ユーザの認証要求を受け付ける認証要求受付ステップと、
前記認証サーバが、前記認証要求受付ステップで受け付けた認証要求に含まれる決済情報識別キーに対応するカード番号を前記カード番号記憶手段から特定し、前記カード番号が少なくとも含まれるデータから所定のロジックに基づいて前記認証サーバが正規のものであることを認証するためのサーバ認証コードを演算するサーバ認証コード演算ステップと、
前記認証サーバが、前記ユーザ端末に、前記サーバ認証コード演算ステップで演算したサーバ認証コードとワンタイムパスワードの入力領域が少なくとも表示される認証画面を生成して、前記ユーザ端末に送信する認証画面送信ステップと、
前記認証サーバが、前記ユーザ端末から前記認証画面に入力されたワンタイムパスワードを受け付けるパスワード受付ステップと、
前記認証サーバが、前記決済情報識別キーに特定したカード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる生成キーが少なくとも含まれるデータから所定のロジックに基づいてワンタイムパスワードを演算するワンタイムパスワード演算ステップと、
前記認証サーバが、前記パスワード受付ステップで受け付けたワンタイムパスワードと前記ワンタイムパスワード演算ステップで演算したワンタイムパスワードを照合するパスワード照合ステップと、
前記認証サーバが、前記パスワード照合ステップにおいてワンタイムパスワードの一致が確認されると、前記ユーザの本人認証が行われたことを証明する認証情報を生成して、前記ユーザ端末に送信する認証情報送信ステップと、
を有することを特徴とする認証方法。
【請求項13】
前記サーバ認証コード演算ステップでは、クレジットカードに印字されたセキュリティコードを演算するロジックに基づいてサーバ認証コードを演算し、サーバ認証コードには前記セキュリティコードが用いられること
を特徴とする請求項12記載の認証方法。
【請求項14】
前記サーバ認証コード演算ステップでは、前記カード番号に対応するカード情報を前記カード情報格納手段から読み出して、前記カード番号と前記カード情報に含まれる情報が少なくとも含まれるデータから所定のロジックに基づいてサーバ認証コードを演算すること
を特徴とする請求項12又は13記載の認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2009−212733(P2009−212733A)
【公開日】平成21年9月17日(2009.9.17)
【国際特許分類】
【出願番号】特願2008−52744(P2008−52744)
【出願日】平成20年3月3日(2008.3.3)
【出願人】(504309221)サードネットワークス株式会社 (5)
【Fターム(参考)】
【公開日】平成21年9月17日(2009.9.17)
【国際特許分類】
【出願日】平成20年3月3日(2008.3.3)
【出願人】(504309221)サードネットワークス株式会社 (5)
【Fターム(参考)】
[ Back to top ]