コンピュータネットワークにおける認証方法
【課題】ユーザに複雑なID及びパスワードの記憶を強いることなく認証可能とする認証方法を提供する。
【解決手段】携帯電話認証用DB35には、各会員が所持する携帯電話の固体識別情報が、夫々のIDに関連付けられて記憶されている。サービス用ホストプログラム15は、利用者PC5からサービス利用の要求があると、一意の識別子を生成し、当該識別子をメモリ12に記憶するとともに、当該識別子をパラメータとして含む認証用ホストコンピュータ2のURLをQRコードに変換し、利用者PC5へ送信する。このQRコードを要求元会員がURLにデコードし、当該URLにアクセスする操作を行うと、識別子を含むURL及び当該利用者携帯電話の固体識別情報を含むHTTPリクエストメッセージが、認証用ホストコンピュータ2へ送信され、メッセージ中の固体識別情報が携帯電話認証用DB35に基づいて認証しサービス用ホストコンピュータ1に通知する。
【解決手段】携帯電話認証用DB35には、各会員が所持する携帯電話の固体識別情報が、夫々のIDに関連付けられて記憶されている。サービス用ホストプログラム15は、利用者PC5からサービス利用の要求があると、一意の識別子を生成し、当該識別子をメモリ12に記憶するとともに、当該識別子をパラメータとして含む認証用ホストコンピュータ2のURLをQRコードに変換し、利用者PC5へ送信する。このQRコードを要求元会員がURLにデコードし、当該URLにアクセスする操作を行うと、識別子を含むURL及び当該利用者携帯電話の固体識別情報を含むHTTPリクエストメッセージが、認証用ホストコンピュータ2へ送信され、メッセージ中の固体識別情報が携帯電話認証用DB35に基づいて認証しサービス用ホストコンピュータ1に通知する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータネットワークにおいてサーバ装置にアクセスしてきた利用者コンピュータを操作しているユーザの認証を行うための認証方法に、関する。
【背景技術】
【0002】
近年、蜘蛛の巣状に接続された多数の利用者コンピュータと多数のサーバ装置との間でデータ通信を行わせるインターネットといったコンピュータネットワークが、普及している。
【0003】
このようなコンピュータネットワーク上でデータ通信を行うために、データ通信のサービスを提供しているホストコンピュータ(若しくは、その運営業者)は、アクセス元の利用者コンピュータを操作しているユーザを識別しなければならない場合がある。
【0004】
例えば、インターネットの場合には、ISP(インターネットサービスプロバイダ)サーバを通じて、各利用者コンピュータがインターネット上の多数のホストコンピュータにアクセスする構造となっている。即ち、各ISPサーバは、何れかの利用者コンピュータからアクセスポイントやブロードバンドを通じてアクセスがあった場合には、そのアクセス元利用者コンピュータを操作しているユーザが予め登録されている会員であるか否かを認証し、会員であった場合には、その利用者コンピュータに対してIPアドレスを発行し、当該IPアドレスを付して当該利用者コンピュータからインターネット上のサーバへ宛てられたIPパケット(HTTPリクエストメッセージを格納)をインターネットへ転送し、インターネットから当該IPアドレスを付して当該利用者コンピュータに宛てられたIPパケット(HTTPレスポンスメッセージを格納)を当該利用者コンピュータへ送信し、このようなデータ通信の状況に応じて当該会員に対してサービス利用料を課金する。
【0005】
また、インターネット上のホストコンピュータ(ISPサーバと同じLAN上に構築されている場合もある)の中には、有料のコンテンツのサービスを提供するものもある。このようなホストコンピュータは、インターネットを通じて何れかの利用者コンピュータからアクセスされると(即ち、HTTPリクエストメッセージを受信すると)、アクセス元利用者コンピュータを操作しているユーザが予め登されている会員であるか否かを認証し、会員であった場合には、以後その利用者コンピュータに対してリクエスト対象コンテンツを送信可能とし、このようなコンテンツの送信状況に応じて当該会員に対してサービス利用料を課金する。
【0006】
以上のように、コンピュータネットワークの様々な場面で行われるユーザ認証は、会員として登録されているユーザ毎に夫々割り当てられているID及びパスワードの組合せをデータベース装置に予め記録しておくとともに、何れかの利用者コンピュータからアクセスされると、その利用者コンピュータに対して操作者のID及びパスワードの送信を要求し、これに応答して利用者コンピュータが送信してきたID及びパスワードの組合せがデータベース装置に登録されているか否かをチェックして、登録されている場合に、当該ユーザが会員であると認証することによって、行われていた。
【発明の開示】
【発明が解決しようとする課題】
【0007】
このような認証に用いられるID及びパスワードは、ユーザがこれを暗記し、しかも、定期的に変更することが、セキュリティ上望ましいとされている。さらに、最近では、防衛強度を高めるために、ID及びパスワードの桁数は多くなり、使用可能な文字種類も多くなる傾向にある。
【0008】
しかしながら、ユーザが様々な業者との間でかかるサービス提供の契約を行うと、記憶すべきID及びパスワードの数が多くなり、しかも、夫々の桁数が桁数が多くなると、それらの全てを記憶に止めることは困難となる。その結果、現実には、各サービス毎に、ID及びパスワードを手帳に書き留めたり、コンピュータのディスプレイの周囲に、ID及びパスワードを記載した付箋紙を貼り付けておこことも多い。ID及びパスワードがこのような使用のされ方をされるのであると、セキュリティの強度は途端に低下してしまうことになる。即ち、サービス提供者側がセキュリティ強度を上げようとした努力が、却って、セキュリティを低下させる結果となるという、矛盾が生じているのである。
【0009】
そこで、本発明は、近年普及がめざましく各個人が常時肌身離さず持ち歩くようになっている携帯電話を一種のハードウェアキーとして用いることにより、ユーザに複雑なID及びパスワードの記憶を強いることなく認証可能とすることで、セキュリティ強度を維持することができるコンピュータネットワークにおける認証方法を、提供することを課題とする。
【課題を解決するための手段】
【0010】
上述した課題を解決するために案出された本発明によるコンピュータネットワークにおける認証方法は、複数の利用者コンピュータとサービス用ホストコンピュータとを互にデータ通信可能に接続してなるコンピュータネットワークにおいて、データベース装置に記憶した情報に基づいて、前記サーバ装置にアクセスした利用者コンピュータを操作するユーザを認証用ホストコンピュータによって認証するための認証方法であって、予め、個々のユーザ毎に、当該ユーザが所有する携帯電話の固体識別情報を前記データベース装置に記憶しておき、前記サービス用ホストコンピュータは、何れかの利用者コンピュータから何れかのサービスについての要求メッセージを受信すると、一意の識別子を生成してメモリに記憶するとともに、当該識別子をパラメータとして含む前記認証用ホストコンピュータのURLをQRコードに変換して、当該QRコードのイメージデータを前記メッセージ送信元の利用者コンピュータへ送信し、前記認証用ホストコンピュータは、前記URL及び固体識別情報を含む認証要求メッセージを受信すると、当該認証要求メッセージに含まれる固体識別情報が前記データベースに記憶されている場合に限り、当該認証要求メッセージに含まれるURLのパラメータである識別子について認証された旨の認証情報を、前記サービス用ホストコンピュータに通知し、前記サービス用ホストコンピュータは、前記認証用ホストコンピュータから前記メモリに記憶した識別子についての認証情報を受信すると、前記サービスを前記利用者コンピュータに対して供給することを、特徴とする。
【0011】
このように構成されると、携帯電話の固体識別情報は、同じものが世界中に二つと存在しない一意の情報であるので、これを予め各会員のものとしてデータベース装置に登録しておけば、認証用ホストコンピュータは、携帯電話からの認証用ホストコンピュータに対する認証要求メッセージに含まれる固体識別情報がデータベース登録されいるものと一致することを確認することにより、特定の会員からの認証要求メッセージであることを、確認することができる。そして、この認証要求メッセージを送信させる素となるQRコードには、予め、一意に生成された識別子がパラメータとして含まれており、同じ識別子が特定サービスに対応するものとしてサービス用ホストコンピュータのメモリに記憶されているので、認証用ホストコンピュータが認証情報に当該識別子を含めてサービス用ホストコンピュータに通知することで、サービス用ホストコンピュータは、特定の利用者コンピュータについてのサービスについて認証がなされたことを、認識することができるのである。
【発明の効果】
【0012】
以上のように構成された本発明によるコンピュータネットワークにおける認証方法によると、携帯電話を一種のハードウェアキーとして用いることにより、ユーザに複雑なID及びパスワードの記憶を強いることなく、認証することができるので、セキュリティ強度を維持することが可能となる。
【発明を実施するための最良の形態】
【0013】
1.以下、図面に基づいて、本発明による認証方法を実施したコンピュータネットワークの形態を、説明する。なお、以下の例は、本発明による認証方法をインターネット上で実施した例である。
2.システム構成
図1は、本発明の実施の形態であるコンピュータネットワークの概略構成を示すブロック図である。この図1に示されているように、このコンピュータネットワークは、各ISP(Internet Service Provider)が運営するネットワーク上に存在する各種サーバの一部であるサービス用ホストコンピュータ1,認証用ホストコンピュータ2,管理データベース3,及びルータ4と、インターネット網(一次プロバイダ,バックボーン,二次プロバイダ)Nと、インターネット網N及びルータ4を通じて各ホストコンピュータ1,2に接続可能な利用者PC(Personal Computer)5と、携帯インターネット網(多数の地上局,これら各地上局に有線接続されているとともに階層構造的に相互に有線接続された複数の交換局,インターネットNとのゲートウェイ,等からなる通信網)Mと、この移動電話網Mの何れかの地上局と無線接続されるとともにこの携帯インターネット網M及びルータ4を通じてホストコンピュータ1,2にアクセス可能な利用者携帯電話6とから、構成されている。
【0014】
図1に示された利用者PC5は、当該ISPと契約を交わすことによって当該ISPが提供する各種サービス(コンテンツ提供サービス等)を受ける会員となったユーザ(以下、「会員」と称する)が操作する通常構成(即ち、プログラムを格納するディスク装置,プログラムを実行する処理装置,処理装置がプログラムを実行する際の作業領域が展開されるメモリ,利用者がデータを入力するためのキーボード等の入力装置,処理装置の処理結果を画面表示するためのディスプレイ,インターネット網Nに繋がる回線とのインターフェースとしての通信装置,等を含む)のコンピュータであり、コンテンツを閲覧するためのブラウザプログラムや通信プログラムを実行している。
【0015】
利用者携帯電話6は、会員が操作する通常構成(即ち、プログラムを格納する外部メモリ,プログラムを実行する処理装置,処理装置がプログラムを実行する際の作業領域が展開されるメインメモリ,利用者がデータを入力するためのキーボード,処理装置の処理結果を画面表示するためのディスプレイ,携帯インターネット網を構成する地上局との間でパケットの授受を行う無線装置,デジタルカメラ等を含む)のインターネット接続機能及びQRコードリーダー機能付きの、携帯電話機である。
【0016】
サービス用ホストコンピュータ1は、実際には、当該ISPが運営するネットワーク上に存在する複数のサーバ装置である。このようなサーバ装置には、メールサービスを提供するもの、会員に対してコンテンツを提供するコンテンツ提供サービスを提供するもの、会員管理サービスを提供するもの(後述する携帯認証登録サービスを行うものを含む)、課金サービスを提供するもの等が、含まれている。但し、ここでは、説明を簡略化させるために、これらのサービス用ホストプログラムが、一台のサービス用ホストコンピュータ1上で実行されるものとして、説明を行う。
【0017】
このサービス用ホストコンピュータ1は、互いにバスBによって接続されたCPU10,通信アダプタ11,メモリ12及びハードディスク13から、構成されている。これらのうち、CPU10は、このサービス用ホストコンピュータ1全体の制御を行う中央処理装置(コンピュータ)である。また、メモリ12は、CPU10が各種処理を実行するに際しての作業領域が展開される主記憶装置である。また、通信アダプタ11は、ISP内のネットワーク(LAN)とのインタフェースであり、ルータ4を通じてインターネット網Nに繋がる専用線に接続され、また、当該ISP内の他のホストコンピュータ2,3と接続されている。
【0018】
ハードディスク13は、CPU20によって読み出されて実行される各種プログラム及び各種データを格納している記憶装置である。このハードディスク13が格納している各種プログラムには、上述した各種機能を果たすためのプログラム(例えば、WWWサーバプログラム14,このWWWサーバプログラムと連携して各種サービスを提供するための多種多数のサービス用ホストプログラム15)が、含まれている。これらプログラム14,15による処理内容については、フローチャートを参照して、後で詳しく説明する。
【0019】
認証用ホストコンピュータ2は、サービス用ホストコンピュータ1からの依頼に基づいてアクセス元利用者PC5を操作している人物が当該ISPにおいて当該サービスの受給者として予め登録されている会員であるか否かを認証するための認証サービスを実行するホストコンピュータである。
【0020】
この認証用ホストコンピュータ2も、サービス用ホストコンピュータ1と同様に、互いにバスBによって接続されたCPU20,通信アダプタ21,メモリ22及びハードディスク23から、構成されている。これらのうち、CPU20は、この認証用ホストコンピュータ2全体の制御を行う中央処理装置(コンピュータ)である。また、メモリ22は、CPU20が各種処理を実行するに際しての作業領域が展開される主記憶装置である。また、通信アダプタ21は、ISP内のネットワーク(LAN)とのインタフェースであり、ルータ4を通じてインターネット網Nに繋がる専用線及び携帯インターネット網Mに繋がる専用線に接続され、また、当該ISP内の他のホストコンピュータ1,3と接続されている。
【0021】
ハードディスク23は、CPU20によって読み出されて実行される各種プログラム及び各種データを格納している記憶装置である。このハードディスク23が格納している各種プログラムには、認証サーバプログラム24が、含まれている。この認証サーバプログラム24による処理内容については、フローチャートを参照して、後で詳しく説明する。
【0022】
管理DB(Database)サーバ3は、サービス用ホストコンピュータ1及び認証用ホストコンピュータ2から夫々アクセスされ、これらのホストコンピュータ1,2が管理するデータを保存しておくためのコンピュータである。
【0023】
この管理用DBサーバ3も、サービス用ホストコンピュータ1と同様に、互いにバスBによって接続されたCPU30,通信アダプタ31,メモリ32及びハードディスク33から、構成されている。これらのうち、CPU30は、この管理用DBサーバ3全体の制御を行う中央処理装置(コンピュータ)である。また、メモリ32は、CPU30が各種処理を実行するに際しての作業領域が展開される主記憶装置である。また、通信アダプタ31は、ISP内のネットワーク(LAN)とのインタフェースであり、当該ISP内の他のホストコンピュータ1,2と接続されている。
【0024】
ハードディスク33は、CPU30によって読み出されて実行される各種プログラム及び各種データを格納している記憶装置である。このハードディスク33が格納している各種データには、当該ISPに登録された会員についての情報を記憶してこれを管理するための会員管理DB34,及び、かかる会員のうち利用者携帯電話6を用いた認証(以下、「携帯認証」という)を行う者についての情報を記憶してこれを管理する携帯電話認証用DB35が、含まれている。
【0025】
会員管理DB34のデータ構造を図2に示す。この図2に示すように、この会員管理DB34は、各会員に夫々対応した多数のエントリを有し、各エントリは、夫々、通し番号を記録するための「行番号」フィールド,対応する会員のIDを記録するための「ID」フィールド,対応する会員のパスワードを記録するための「password」フィールド,対応する会員の指名を示す「氏名」フィールド,対応する会員について携帯認証を行うか(“OK”)否か(“NG”)を記録(デフォルト値は“NG”)するための「携帯認証許可フラグ」フィールド,等の複数のフィールドから、構成されている。
【0026】
次に、携帯電話認証用DB35のデータ構造を図3に示す。この図3に示すように、この携帯電話認証用DB35は、携帯認証を希望した各会員に夫々対応した多数のエントリを有し、各エントリは、夫々、通し番号を記録するための「行番号」フィールド,対応する会員が使用している利用者携帯電話6の固体識別情報を記録するための「固体識別情報」フィールド,対応する会員のIDを記録するための「ID」フィールド,当該エントリが登録された日付を記録するための「登録日」フィールド,等の複数のフィールドから、構成されている。
3.処理内容
次に、以上のようなシステム構成を有する本実施例のコンピュータネットワークにおいて、サービス用ホストコンピュータ1がサービス用ホストプログラム15に従って実行する処理,及び認証用ホストコンピュータ2が認証サーバプログラム24によって実行する処理を、図4〜図7のフローチャートに基づいて説明する。
3−1.携帯認証登録処理
3−1−1.オンラインによる携帯認証登録処理
先ず、公知の手段によって予め会員管理用DB34の何れかのエントリに登録されている会員が、オンラインでの携帯認証の申込を行った場合に実行される処理について、説明する。この場合、当該会員は、自己の操作する利用者PC5上で実行されているブラウザを利用して、携帯認証サービスのURL宛てにメッセージを送信する。すると、この携帯認証サービスのURLは、サービス用ホストコンピュータ1上の当該サービス提供用のサービスホスト用プログラム15に対応しているので、このメッセージは、インターネット網N,ルータ4を通じてサービス用ホストコンピュータ1に送信される。そして、メッセージを受信した当該サービス用ホストコンピュータ1は、該当するサービスホスト用プログラム15を起動して、このサービスホスト用プログラム15に従って、図4に示す携帯認証登録処理をスタートする。この携帯認証登録処理において、最初のS001では、サービス用ホストコンピュータ1は、認証用ホストコンピュータ2に対して、通常認証処理の実行を依頼して、当該認証用ホストコンピュータ2からの応答を待つ。
【0027】
この依頼を受けた認証用ホストコンピュータ2は、認証サーバプログラム24に従って、図5に示す通常認証処理をスタートする。この通常認証処理において、最初のS101では、認証用ホストコンピュータ2は、上記メッセージ送信元の利用者PC5に対して、ID&パスワード画面をブラウザによりディスプレイ上に表示させるための画面データを送信する。ID&パスワード画面には、操作者が利用者PC5の入力装置を操作して文字列を夫々入力可能なID欄,パスワード欄及び送信ボタンが含まれており、この画面データには、送信ボタンが操作されると、ブラウザに対して、ID欄及びパスワード欄に夫々入力された文字列を夫々ID及びパスワードとして含むメッセージを認証用ホストコンピュータ2へ送信させる設定(タグ)が含まれている。
【0028】
このようにして、ID及びパスワードを取得した認証用ホストコンピュータ2は、次のS102において、S101にて取得したID及びパスワードと同じ組合せが会員管理DB34の何れかのエントリに登録されているかどうかをチェックする。そして、かかるID及びパスワードの組合せが会員管理DB34に登録されていない場合には、認証用ホストコンピュータ2は、S105において、NG処理(認証処理が失敗した旨をサービス用ホストコンピュータ1及びリクエスト元利用者PC5に通知する処理)を実行して、全処理を終了する。
【0029】
これに対して、かかるID及びパスワードの組合せが会員管理DB34に登録されている場合には、認証用ホストコンピュータ2は、認証が成功した旨を、サービス用ホストコンピュータ1へ応答して、処理をサービス用ホストコンピュータ1へ戻す。
【0030】
認証が成功した旨を通知されたサービス用ホストコンピュータ1は、処理をS001からS002へ進める。このS002では、サービス用ホストコンピュータ1は、照合用ユニークキーを生成するとともに、当該会員についての情報(ID,照合用ユニークキー)を記録したエントリの携帯電話認証用DB35への追加を、管理DBサーバ3に依頼する。依頼を受けた管理DBサーバ3は、携帯電話認証用DB35に新規エントリを追加するとともに、当該新規エントリの「固体識別情報」フィールド及び「ID」フィールドに、夫々、サービス用ホストコンピュータ1から通知された照合用ユニークキー及びIDを記入する。
【0031】
次のS003では、サービス用ホストコンピュータ1は、認証用ホストコンピュータ2における携帯認証用のURLに、S002にて生成した照合用ユニークキーをパラメータとして添付した上で、当該URLをコード化したQRコードのイメージを生成する。そして、メッセージ送信元の利用者PC5に対して、かかるQRコードのイメージをブラウザによりディスプレイ上に表示させるための画面データを送信する。
【0032】
この画面データを受信した利用者PC5では、ブラウザが、かかるQRコードのイメージをディスプレイ上に表示する。そこで、装置利用者PC5を操作している会員は、このQRコードを利用者携帯電話6のカメラにより撮影する。すると、この利用者携帯電話6におけるQRコードリーダー機能(プログラム)が作動して、このQRコードにコード化されていた携帯認証用のURLをデコードし、照合用ユニークキーをパラメータとして含む当該URL宛のメッセージを、携帯インターネット網M,ルータ4を通じて、認証用ホストコンピュータ2へ送信する。なお、携帯電話におけるインターネットプロトコルに従い、このメッセージ(HTTPリクエストメッセージ)のHTTPヘッダには、User Agent項目として、当該利用者携帯電話に一意に付与されている固体識別情報が、記述されている。
【0033】
当該メッセージを受信した認証用ホストコンピュータ2は、認証サーバプログラム4に従い、図6に示すQRコード認証処理を実行する。このQRコード認証処理において、最初のS201では、認証用ホストコンピュータ2は、受信したURLに添付されたパラメータの有効性をチェックする。そして、有効でなければ、S211において、エラー処理(URL送信元利用者PC5にエラーメッセージを送信する処理)を実行して、このQRコード認証処理を終了する。
【0034】
これに対して、パラメータが有効である場合には、認証用ホストコンピュータ2は、S202において、当該メッセージのHTTPヘッダに含まれている固体識別情報が「固体識別情報」フィールドに記述されているエントリを、携帯電話認証DB35から探し出す。そして、未だ携帯認証登録が未完であれば、かかるエントリは存在しないので、認証用ホストコンピュータ2は、処理をS207へ進める。
【0035】
S207では、認証用ホストコンピュータ2は、当該メッセージにパラメータとして含まれている照合用ユニークキーが「固体識別情報」フィールドに記述されているエントリを、携帯電話認証DB35から探し出す。そして、かかるエントリが存在しな場合には、第三者がQRコードを冒用した可能性があるので、S210にエラー処理を実行して、このQRコード認証処理を終了する。
【0036】
これに対して、当該メッセージにパラメータとして含まれている照合用ユニークキーが「固体識別情報」フィールドに記述されているエントリが見つかると、認証用ホストコンピュータ2は、S208において、当該エントリにおける「固体識別情報」フィールドの記述を、当該メッセージのHTTPヘッダに含まれる固体識別情報に、書き換える。そして、次のS209において、当該エントリと「ID」フィールドの記述が一致する会員管理DB34のエントリにおける「携帯認証許可フラグ」フィールドの値を、“OK”に書き換えてから、このQRコード認証処理を終了する。
【0037】
このようにして、会員管理DB34において携帯認証許可フラグが“OK”にセットされた会員については、以後、携帯電話認証用DB35に登録された固体識別情報に対応した利用者携帯電話6を用いて、携帯認証を行うことができるのである。サービス用ホストコンピュータ1における何れかのサービスを利用するに際して行われる携帯認証についての処理は、下記3−2において説明する。なお、図6に示すQRコード認証処理のうち、S204〜206については、この携帯認証についての処理の説明の中で、行うこととする。
3−1−2.オフラインによる携帯認証登録処理
上記オンラインによる携帯認証登録処理は、会員側からの積極的な動作が必要であるので携帯認証のサービスに登録する会員数の大幅増は必ずしも望めない。そこで、新規入会者に対して携帯認証サービスへの登録を促す手段として、入会後に送信される案内文にQRコードを添付することによって登録を促すことが、考えられる。この場合、サービス用ホストコンピュータ1は、各新規入会者について、夫々、照合用ユニークキーを生成するとともに、当該会員についての情報(ID,照合用ユニークキー)を記録したエントリの携帯電話認証用DB35への追加を、管理DBサーバ3に依頼する。そして、サービス用ホストコンピュータ1は、上記照合用ユニークキーをパラメータとして含む携帯認証用のURLをQRコードとしてコード化し所定の案内文に結合させた上で、この案内文を印刷物として該当会員へ発送するための処理を実行する。若しくは、かかる案内文を電子メール又はウェブデータとして、該当会員が操作する利用者PC5へ送信する。
【0038】
このような案内文を受け取った会員は、案内文が印刷物であれば印刷されたQRコードを、案内文が電子メール又はウェブデータであればディスプレイ上に表示されたQRコードを、自己の利用者携帯電話6のカメラによって撮影して、デコードし、認証用ホストコンピュータ2へメッセージを送信する。以後における認証用ホストコンピュータ2の処理は、上述したオンラインによる携帯認証登録処理と同じであるので、その説明を省略する。
3−2.携帯認証処理
次に、サービス用ホストコンピュータ1における何れかのサービスを利用するに際して実行される携帯認証処理について説明する。
【0039】
先ず、何れかの会員が操作する利用者PC5から何れかのサービスに対応したURL宛てのメッセージを受信したサービス用ホストコンピュータ1は、サービスホスト用プログラム15に従って、図7の処理を実行する。この処理を開始して最初の301では、サービス用ホストコンピュータ1は、受信したメッセージ(HTTPリクエストメッセージ)のHTTPヘッダに含まれるセッションコードが、認証済みのものとしてメモリ12に記憶されているかどうかをチェックする。そして、既に、後述する図6のS206による通知を受けることにより、当該セッションコードがメモリ12に記憶されている場合(当該セッションコードが示すセッションが認証済みである場合)には、サービス用ホストコンピュータ1は、処理を直接S306へ進めて、当該サービスホスト用プログラムに従ったサービス処理を実行する。
【0040】
これに対して、受信したメッセージに含まれるセッションコードがメモリ12に記憶されていない場合(当該セッションコードが示すセッションが未認証である場合)には、サービス用ホストコンピュータ1は、S302において、要求されたサービスを要求元利用者PC5との間で行うために用いるセッションコンテナを作成し、そのセッションコンテナの識別子を“セッションコード”として生成し、これをメモリ12に保存する。
【0041】
次のS303では、サービス用ホストコンピュータ1は、認証用ホストコンピュータ2における携帯認証用のURLに、S302にて生成したセッションコード,実行が要求されたサービスの識別子をパラメータとして添付した上で、当該URLをコード化したQRコードのイメージを生成する。そして、メッセージ送信元の利用者PC5に対して、かかるQRコードのイメージをブラウザによりディスプレイ上に表示させるための画面データを送信する。S303の実行後、サービス用ホストコンピュータ1は、次のS304において、認証用ホストコンピュータ2から認証済み通知を受信するのを待つ。
【0042】
一方、上記画面データを受信した利用者PC5では、ブラウザが、かかるQRコードのイメージをディスプレイ上に表示する。そこで、装置利用者PC5を操作している会員は、このQRコードを利用者携帯電話6のカメラにより撮影する。すると、上述したのと同様にして、利用者携帯電話6におけるQRコードリーダー機能(プログラム)が作動して、このQRコードにコード化されていた携帯認証用のURLをデコードし、セッションコード及びサービス識別子をパラメータとして含む当該URL宛のメッセージを、携帯インターネット網M,ルータ4を通じて、認証用ホストコンピュータ2へ送信する。なお、携帯電話におけるインターネットプロトコルに従い、このメッセージ(HTTPリクエストメッセージ)のHTTPヘッダには、User Agent項目として、当該利用者携帯電話に一意に付与されている固体識別情報が、記述されている。
【0043】
当該メッセージを受信した認証用ホストコンピュータ2は、認証サーバプログラム4に従い、図6に示すQRコード認証処理を実行する。このQRコード認証処理において、最初のS201では、認証用ホストコンピュータ2は、受信したURLに添付されたパラメータの有効性をチェックする。そして、有効でなければ、S211において、エラー処理(URL送信元利用者PC5にエラーメッセージを送信する処理)を実行して、このQRコード認証処理を終了する。
【0044】
これに対して、パラメータが有効である場合には、認証用ホストコンピュータ2は、S202において、当該メッセージのHTTPヘッダに含まれている固体識別情報が「固体識別情報」フィールドに記述されているエントリを、携帯電話認証DB35から探し出す。そして、かかるエントリが見つかると、認証用ホストコンピュータ2は、S204において、会員管理DB34を検索して、当該携帯電話認証DB35におけるエントリと「ID」フィールドの記述が一致する会員管理DB34のエントリを探し出す。
【0045】
次のS205では、認証用ホストコンピュータ2は、S204にて探し出したエントリにおける「携帯認証許可フラグ」フィールドの値が“OK”であるか“NG”であるかをチェックする。そして、認証用ホストコンピュータ2は、“NG”である場合には、S211にてエラー処理を実行する。
【0046】
これに対して、“OK”である場合には、認証用ホストコンピュータ2は、受信したメッセージにパラメータとして含まれるサービス識別子が示すサービスに対して、同セッションコードが示すセッションは、S204にて探し出したエントリに記録されたIDにより認証済みである旨を、S206において、上記サービス識別子に対応したサービスホストプログラム15を実行しているサービス用ホストコンピュータ1に通知する。このS206を完了すると、認証用ホストコンピュータ2は、このQRコード認証処理を終了する。
【0047】
図7に戻り、認証用ホストコンピュータ2からの認証済通知を受信したサービス用ホストコンピュータ1は、処理をS304からS305へ進め、認証用ホストコンピュータ2から通知されたサービス識別子が示すサービスについて、S302にてメモリに記憶したセッションコードが示すセッションが、同IDが示す会員による利用であるとして認証された旨を、メモリ12に記憶した後に、リクエスト元利用者PC5に対して、ログイン後ページをディスプレイに表示させるための画面データを送信する。続く、S306から、サービス用ホストコンピュータ1は、当該サービスを開始する。
4.実施例の動作
本実施例において、上記図4〜図7のフローチャートに従った処理が実行された場合における各装置間でのメッセージの流れを、図8のタイムチャートに示す。なお、図8におけるステップ番号は、上記図4〜図7のフローチャートに示すものと同じである。
【0048】
図8から理解されるように、本実施例では、各会員が所有する携帯電話の固体識別情報事前に固体識別子を携帯電話認証用DB35に登録しさえしておけば、会員がサービス用ホストコンピュータ1に対して所望のサービスを要求する場合には、通常認証処理におけるようなID&パスワード入力画面の代わりに、当該サービス及びセッションに対応付けられたQRコードが、利用者PC5のディスプレイに表示される。そこで、会員は、このQRコードを、事前にその固体識別子が携帯電話認証DB35に登録されている利用者携帯電話6によって撮影し、デコードしてインターネットアクセスするだけで、その固体識別子が、QRコードにコード化されていたサービス識別子及びセッションコードに関連付けられて認証用ホストコンピュータ2へ送信され、これらの情報によって認証がなされ、認証が成功し次第、当該サービスが利用できるようになるのである。
【0049】
このように、本実施例によると、会員は、ID及びパスワードをサービス利用の都度入力する必要がないので、これらを記憶する必要がないし、メモしておく必要もない。そのため、セキュリティの強度が保たれるのである。
【図面の簡単な説明】
【0050】
【図1】本発明による実施の形態であるコンピュータネットワークの概略構成を示すブロック図
【図2】会員管理DBのデータ構造を示す表
【図3】携帯電話認証用DBのデータ構造を示す表
【図4】携帯認証登録処理を示すフローチャート
【図5】通常認証処理を示すフローチャート
【図6】QRコード認証処理を示すフローチャート
【図7】サービスプログラムによる処理を示すフローチャート
【図8】各装置間での情報の流れを示すタイムチャート
【符号の説明】
【0051】
1 サービス用ホストコンピュータ
2 認証用ホストコンピュータ
3 管理DBサーバ
5 利用者PC
6 利用者携帯電話
10 CPU
12 メモリ
11 通信アダプタ
13 ハードディスク
15 サービスホスト用プログラム
20 CPU
22 メモリ
21 通信アダプタ
23 ハードディスク
24 認証サーバプログラム
34 会員管理DB
35 携帯電話認証用DB
N インターネット網
M 携帯インターネット網
【技術分野】
【0001】
本発明は、コンピュータネットワークにおいてサーバ装置にアクセスしてきた利用者コンピュータを操作しているユーザの認証を行うための認証方法に、関する。
【背景技術】
【0002】
近年、蜘蛛の巣状に接続された多数の利用者コンピュータと多数のサーバ装置との間でデータ通信を行わせるインターネットといったコンピュータネットワークが、普及している。
【0003】
このようなコンピュータネットワーク上でデータ通信を行うために、データ通信のサービスを提供しているホストコンピュータ(若しくは、その運営業者)は、アクセス元の利用者コンピュータを操作しているユーザを識別しなければならない場合がある。
【0004】
例えば、インターネットの場合には、ISP(インターネットサービスプロバイダ)サーバを通じて、各利用者コンピュータがインターネット上の多数のホストコンピュータにアクセスする構造となっている。即ち、各ISPサーバは、何れかの利用者コンピュータからアクセスポイントやブロードバンドを通じてアクセスがあった場合には、そのアクセス元利用者コンピュータを操作しているユーザが予め登録されている会員であるか否かを認証し、会員であった場合には、その利用者コンピュータに対してIPアドレスを発行し、当該IPアドレスを付して当該利用者コンピュータからインターネット上のサーバへ宛てられたIPパケット(HTTPリクエストメッセージを格納)をインターネットへ転送し、インターネットから当該IPアドレスを付して当該利用者コンピュータに宛てられたIPパケット(HTTPレスポンスメッセージを格納)を当該利用者コンピュータへ送信し、このようなデータ通信の状況に応じて当該会員に対してサービス利用料を課金する。
【0005】
また、インターネット上のホストコンピュータ(ISPサーバと同じLAN上に構築されている場合もある)の中には、有料のコンテンツのサービスを提供するものもある。このようなホストコンピュータは、インターネットを通じて何れかの利用者コンピュータからアクセスされると(即ち、HTTPリクエストメッセージを受信すると)、アクセス元利用者コンピュータを操作しているユーザが予め登されている会員であるか否かを認証し、会員であった場合には、以後その利用者コンピュータに対してリクエスト対象コンテンツを送信可能とし、このようなコンテンツの送信状況に応じて当該会員に対してサービス利用料を課金する。
【0006】
以上のように、コンピュータネットワークの様々な場面で行われるユーザ認証は、会員として登録されているユーザ毎に夫々割り当てられているID及びパスワードの組合せをデータベース装置に予め記録しておくとともに、何れかの利用者コンピュータからアクセスされると、その利用者コンピュータに対して操作者のID及びパスワードの送信を要求し、これに応答して利用者コンピュータが送信してきたID及びパスワードの組合せがデータベース装置に登録されているか否かをチェックして、登録されている場合に、当該ユーザが会員であると認証することによって、行われていた。
【発明の開示】
【発明が解決しようとする課題】
【0007】
このような認証に用いられるID及びパスワードは、ユーザがこれを暗記し、しかも、定期的に変更することが、セキュリティ上望ましいとされている。さらに、最近では、防衛強度を高めるために、ID及びパスワードの桁数は多くなり、使用可能な文字種類も多くなる傾向にある。
【0008】
しかしながら、ユーザが様々な業者との間でかかるサービス提供の契約を行うと、記憶すべきID及びパスワードの数が多くなり、しかも、夫々の桁数が桁数が多くなると、それらの全てを記憶に止めることは困難となる。その結果、現実には、各サービス毎に、ID及びパスワードを手帳に書き留めたり、コンピュータのディスプレイの周囲に、ID及びパスワードを記載した付箋紙を貼り付けておこことも多い。ID及びパスワードがこのような使用のされ方をされるのであると、セキュリティの強度は途端に低下してしまうことになる。即ち、サービス提供者側がセキュリティ強度を上げようとした努力が、却って、セキュリティを低下させる結果となるという、矛盾が生じているのである。
【0009】
そこで、本発明は、近年普及がめざましく各個人が常時肌身離さず持ち歩くようになっている携帯電話を一種のハードウェアキーとして用いることにより、ユーザに複雑なID及びパスワードの記憶を強いることなく認証可能とすることで、セキュリティ強度を維持することができるコンピュータネットワークにおける認証方法を、提供することを課題とする。
【課題を解決するための手段】
【0010】
上述した課題を解決するために案出された本発明によるコンピュータネットワークにおける認証方法は、複数の利用者コンピュータとサービス用ホストコンピュータとを互にデータ通信可能に接続してなるコンピュータネットワークにおいて、データベース装置に記憶した情報に基づいて、前記サーバ装置にアクセスした利用者コンピュータを操作するユーザを認証用ホストコンピュータによって認証するための認証方法であって、予め、個々のユーザ毎に、当該ユーザが所有する携帯電話の固体識別情報を前記データベース装置に記憶しておき、前記サービス用ホストコンピュータは、何れかの利用者コンピュータから何れかのサービスについての要求メッセージを受信すると、一意の識別子を生成してメモリに記憶するとともに、当該識別子をパラメータとして含む前記認証用ホストコンピュータのURLをQRコードに変換して、当該QRコードのイメージデータを前記メッセージ送信元の利用者コンピュータへ送信し、前記認証用ホストコンピュータは、前記URL及び固体識別情報を含む認証要求メッセージを受信すると、当該認証要求メッセージに含まれる固体識別情報が前記データベースに記憶されている場合に限り、当該認証要求メッセージに含まれるURLのパラメータである識別子について認証された旨の認証情報を、前記サービス用ホストコンピュータに通知し、前記サービス用ホストコンピュータは、前記認証用ホストコンピュータから前記メモリに記憶した識別子についての認証情報を受信すると、前記サービスを前記利用者コンピュータに対して供給することを、特徴とする。
【0011】
このように構成されると、携帯電話の固体識別情報は、同じものが世界中に二つと存在しない一意の情報であるので、これを予め各会員のものとしてデータベース装置に登録しておけば、認証用ホストコンピュータは、携帯電話からの認証用ホストコンピュータに対する認証要求メッセージに含まれる固体識別情報がデータベース登録されいるものと一致することを確認することにより、特定の会員からの認証要求メッセージであることを、確認することができる。そして、この認証要求メッセージを送信させる素となるQRコードには、予め、一意に生成された識別子がパラメータとして含まれており、同じ識別子が特定サービスに対応するものとしてサービス用ホストコンピュータのメモリに記憶されているので、認証用ホストコンピュータが認証情報に当該識別子を含めてサービス用ホストコンピュータに通知することで、サービス用ホストコンピュータは、特定の利用者コンピュータについてのサービスについて認証がなされたことを、認識することができるのである。
【発明の効果】
【0012】
以上のように構成された本発明によるコンピュータネットワークにおける認証方法によると、携帯電話を一種のハードウェアキーとして用いることにより、ユーザに複雑なID及びパスワードの記憶を強いることなく、認証することができるので、セキュリティ強度を維持することが可能となる。
【発明を実施するための最良の形態】
【0013】
1.以下、図面に基づいて、本発明による認証方法を実施したコンピュータネットワークの形態を、説明する。なお、以下の例は、本発明による認証方法をインターネット上で実施した例である。
2.システム構成
図1は、本発明の実施の形態であるコンピュータネットワークの概略構成を示すブロック図である。この図1に示されているように、このコンピュータネットワークは、各ISP(Internet Service Provider)が運営するネットワーク上に存在する各種サーバの一部であるサービス用ホストコンピュータ1,認証用ホストコンピュータ2,管理データベース3,及びルータ4と、インターネット網(一次プロバイダ,バックボーン,二次プロバイダ)Nと、インターネット網N及びルータ4を通じて各ホストコンピュータ1,2に接続可能な利用者PC(Personal Computer)5と、携帯インターネット網(多数の地上局,これら各地上局に有線接続されているとともに階層構造的に相互に有線接続された複数の交換局,インターネットNとのゲートウェイ,等からなる通信網)Mと、この移動電話網Mの何れかの地上局と無線接続されるとともにこの携帯インターネット網M及びルータ4を通じてホストコンピュータ1,2にアクセス可能な利用者携帯電話6とから、構成されている。
【0014】
図1に示された利用者PC5は、当該ISPと契約を交わすことによって当該ISPが提供する各種サービス(コンテンツ提供サービス等)を受ける会員となったユーザ(以下、「会員」と称する)が操作する通常構成(即ち、プログラムを格納するディスク装置,プログラムを実行する処理装置,処理装置がプログラムを実行する際の作業領域が展開されるメモリ,利用者がデータを入力するためのキーボード等の入力装置,処理装置の処理結果を画面表示するためのディスプレイ,インターネット網Nに繋がる回線とのインターフェースとしての通信装置,等を含む)のコンピュータであり、コンテンツを閲覧するためのブラウザプログラムや通信プログラムを実行している。
【0015】
利用者携帯電話6は、会員が操作する通常構成(即ち、プログラムを格納する外部メモリ,プログラムを実行する処理装置,処理装置がプログラムを実行する際の作業領域が展開されるメインメモリ,利用者がデータを入力するためのキーボード,処理装置の処理結果を画面表示するためのディスプレイ,携帯インターネット網を構成する地上局との間でパケットの授受を行う無線装置,デジタルカメラ等を含む)のインターネット接続機能及びQRコードリーダー機能付きの、携帯電話機である。
【0016】
サービス用ホストコンピュータ1は、実際には、当該ISPが運営するネットワーク上に存在する複数のサーバ装置である。このようなサーバ装置には、メールサービスを提供するもの、会員に対してコンテンツを提供するコンテンツ提供サービスを提供するもの、会員管理サービスを提供するもの(後述する携帯認証登録サービスを行うものを含む)、課金サービスを提供するもの等が、含まれている。但し、ここでは、説明を簡略化させるために、これらのサービス用ホストプログラムが、一台のサービス用ホストコンピュータ1上で実行されるものとして、説明を行う。
【0017】
このサービス用ホストコンピュータ1は、互いにバスBによって接続されたCPU10,通信アダプタ11,メモリ12及びハードディスク13から、構成されている。これらのうち、CPU10は、このサービス用ホストコンピュータ1全体の制御を行う中央処理装置(コンピュータ)である。また、メモリ12は、CPU10が各種処理を実行するに際しての作業領域が展開される主記憶装置である。また、通信アダプタ11は、ISP内のネットワーク(LAN)とのインタフェースであり、ルータ4を通じてインターネット網Nに繋がる専用線に接続され、また、当該ISP内の他のホストコンピュータ2,3と接続されている。
【0018】
ハードディスク13は、CPU20によって読み出されて実行される各種プログラム及び各種データを格納している記憶装置である。このハードディスク13が格納している各種プログラムには、上述した各種機能を果たすためのプログラム(例えば、WWWサーバプログラム14,このWWWサーバプログラムと連携して各種サービスを提供するための多種多数のサービス用ホストプログラム15)が、含まれている。これらプログラム14,15による処理内容については、フローチャートを参照して、後で詳しく説明する。
【0019】
認証用ホストコンピュータ2は、サービス用ホストコンピュータ1からの依頼に基づいてアクセス元利用者PC5を操作している人物が当該ISPにおいて当該サービスの受給者として予め登録されている会員であるか否かを認証するための認証サービスを実行するホストコンピュータである。
【0020】
この認証用ホストコンピュータ2も、サービス用ホストコンピュータ1と同様に、互いにバスBによって接続されたCPU20,通信アダプタ21,メモリ22及びハードディスク23から、構成されている。これらのうち、CPU20は、この認証用ホストコンピュータ2全体の制御を行う中央処理装置(コンピュータ)である。また、メモリ22は、CPU20が各種処理を実行するに際しての作業領域が展開される主記憶装置である。また、通信アダプタ21は、ISP内のネットワーク(LAN)とのインタフェースであり、ルータ4を通じてインターネット網Nに繋がる専用線及び携帯インターネット網Mに繋がる専用線に接続され、また、当該ISP内の他のホストコンピュータ1,3と接続されている。
【0021】
ハードディスク23は、CPU20によって読み出されて実行される各種プログラム及び各種データを格納している記憶装置である。このハードディスク23が格納している各種プログラムには、認証サーバプログラム24が、含まれている。この認証サーバプログラム24による処理内容については、フローチャートを参照して、後で詳しく説明する。
【0022】
管理DB(Database)サーバ3は、サービス用ホストコンピュータ1及び認証用ホストコンピュータ2から夫々アクセスされ、これらのホストコンピュータ1,2が管理するデータを保存しておくためのコンピュータである。
【0023】
この管理用DBサーバ3も、サービス用ホストコンピュータ1と同様に、互いにバスBによって接続されたCPU30,通信アダプタ31,メモリ32及びハードディスク33から、構成されている。これらのうち、CPU30は、この管理用DBサーバ3全体の制御を行う中央処理装置(コンピュータ)である。また、メモリ32は、CPU30が各種処理を実行するに際しての作業領域が展開される主記憶装置である。また、通信アダプタ31は、ISP内のネットワーク(LAN)とのインタフェースであり、当該ISP内の他のホストコンピュータ1,2と接続されている。
【0024】
ハードディスク33は、CPU30によって読み出されて実行される各種プログラム及び各種データを格納している記憶装置である。このハードディスク33が格納している各種データには、当該ISPに登録された会員についての情報を記憶してこれを管理するための会員管理DB34,及び、かかる会員のうち利用者携帯電話6を用いた認証(以下、「携帯認証」という)を行う者についての情報を記憶してこれを管理する携帯電話認証用DB35が、含まれている。
【0025】
会員管理DB34のデータ構造を図2に示す。この図2に示すように、この会員管理DB34は、各会員に夫々対応した多数のエントリを有し、各エントリは、夫々、通し番号を記録するための「行番号」フィールド,対応する会員のIDを記録するための「ID」フィールド,対応する会員のパスワードを記録するための「password」フィールド,対応する会員の指名を示す「氏名」フィールド,対応する会員について携帯認証を行うか(“OK”)否か(“NG”)を記録(デフォルト値は“NG”)するための「携帯認証許可フラグ」フィールド,等の複数のフィールドから、構成されている。
【0026】
次に、携帯電話認証用DB35のデータ構造を図3に示す。この図3に示すように、この携帯電話認証用DB35は、携帯認証を希望した各会員に夫々対応した多数のエントリを有し、各エントリは、夫々、通し番号を記録するための「行番号」フィールド,対応する会員が使用している利用者携帯電話6の固体識別情報を記録するための「固体識別情報」フィールド,対応する会員のIDを記録するための「ID」フィールド,当該エントリが登録された日付を記録するための「登録日」フィールド,等の複数のフィールドから、構成されている。
3.処理内容
次に、以上のようなシステム構成を有する本実施例のコンピュータネットワークにおいて、サービス用ホストコンピュータ1がサービス用ホストプログラム15に従って実行する処理,及び認証用ホストコンピュータ2が認証サーバプログラム24によって実行する処理を、図4〜図7のフローチャートに基づいて説明する。
3−1.携帯認証登録処理
3−1−1.オンラインによる携帯認証登録処理
先ず、公知の手段によって予め会員管理用DB34の何れかのエントリに登録されている会員が、オンラインでの携帯認証の申込を行った場合に実行される処理について、説明する。この場合、当該会員は、自己の操作する利用者PC5上で実行されているブラウザを利用して、携帯認証サービスのURL宛てにメッセージを送信する。すると、この携帯認証サービスのURLは、サービス用ホストコンピュータ1上の当該サービス提供用のサービスホスト用プログラム15に対応しているので、このメッセージは、インターネット網N,ルータ4を通じてサービス用ホストコンピュータ1に送信される。そして、メッセージを受信した当該サービス用ホストコンピュータ1は、該当するサービスホスト用プログラム15を起動して、このサービスホスト用プログラム15に従って、図4に示す携帯認証登録処理をスタートする。この携帯認証登録処理において、最初のS001では、サービス用ホストコンピュータ1は、認証用ホストコンピュータ2に対して、通常認証処理の実行を依頼して、当該認証用ホストコンピュータ2からの応答を待つ。
【0027】
この依頼を受けた認証用ホストコンピュータ2は、認証サーバプログラム24に従って、図5に示す通常認証処理をスタートする。この通常認証処理において、最初のS101では、認証用ホストコンピュータ2は、上記メッセージ送信元の利用者PC5に対して、ID&パスワード画面をブラウザによりディスプレイ上に表示させるための画面データを送信する。ID&パスワード画面には、操作者が利用者PC5の入力装置を操作して文字列を夫々入力可能なID欄,パスワード欄及び送信ボタンが含まれており、この画面データには、送信ボタンが操作されると、ブラウザに対して、ID欄及びパスワード欄に夫々入力された文字列を夫々ID及びパスワードとして含むメッセージを認証用ホストコンピュータ2へ送信させる設定(タグ)が含まれている。
【0028】
このようにして、ID及びパスワードを取得した認証用ホストコンピュータ2は、次のS102において、S101にて取得したID及びパスワードと同じ組合せが会員管理DB34の何れかのエントリに登録されているかどうかをチェックする。そして、かかるID及びパスワードの組合せが会員管理DB34に登録されていない場合には、認証用ホストコンピュータ2は、S105において、NG処理(認証処理が失敗した旨をサービス用ホストコンピュータ1及びリクエスト元利用者PC5に通知する処理)を実行して、全処理を終了する。
【0029】
これに対して、かかるID及びパスワードの組合せが会員管理DB34に登録されている場合には、認証用ホストコンピュータ2は、認証が成功した旨を、サービス用ホストコンピュータ1へ応答して、処理をサービス用ホストコンピュータ1へ戻す。
【0030】
認証が成功した旨を通知されたサービス用ホストコンピュータ1は、処理をS001からS002へ進める。このS002では、サービス用ホストコンピュータ1は、照合用ユニークキーを生成するとともに、当該会員についての情報(ID,照合用ユニークキー)を記録したエントリの携帯電話認証用DB35への追加を、管理DBサーバ3に依頼する。依頼を受けた管理DBサーバ3は、携帯電話認証用DB35に新規エントリを追加するとともに、当該新規エントリの「固体識別情報」フィールド及び「ID」フィールドに、夫々、サービス用ホストコンピュータ1から通知された照合用ユニークキー及びIDを記入する。
【0031】
次のS003では、サービス用ホストコンピュータ1は、認証用ホストコンピュータ2における携帯認証用のURLに、S002にて生成した照合用ユニークキーをパラメータとして添付した上で、当該URLをコード化したQRコードのイメージを生成する。そして、メッセージ送信元の利用者PC5に対して、かかるQRコードのイメージをブラウザによりディスプレイ上に表示させるための画面データを送信する。
【0032】
この画面データを受信した利用者PC5では、ブラウザが、かかるQRコードのイメージをディスプレイ上に表示する。そこで、装置利用者PC5を操作している会員は、このQRコードを利用者携帯電話6のカメラにより撮影する。すると、この利用者携帯電話6におけるQRコードリーダー機能(プログラム)が作動して、このQRコードにコード化されていた携帯認証用のURLをデコードし、照合用ユニークキーをパラメータとして含む当該URL宛のメッセージを、携帯インターネット網M,ルータ4を通じて、認証用ホストコンピュータ2へ送信する。なお、携帯電話におけるインターネットプロトコルに従い、このメッセージ(HTTPリクエストメッセージ)のHTTPヘッダには、User Agent項目として、当該利用者携帯電話に一意に付与されている固体識別情報が、記述されている。
【0033】
当該メッセージを受信した認証用ホストコンピュータ2は、認証サーバプログラム4に従い、図6に示すQRコード認証処理を実行する。このQRコード認証処理において、最初のS201では、認証用ホストコンピュータ2は、受信したURLに添付されたパラメータの有効性をチェックする。そして、有効でなければ、S211において、エラー処理(URL送信元利用者PC5にエラーメッセージを送信する処理)を実行して、このQRコード認証処理を終了する。
【0034】
これに対して、パラメータが有効である場合には、認証用ホストコンピュータ2は、S202において、当該メッセージのHTTPヘッダに含まれている固体識別情報が「固体識別情報」フィールドに記述されているエントリを、携帯電話認証DB35から探し出す。そして、未だ携帯認証登録が未完であれば、かかるエントリは存在しないので、認証用ホストコンピュータ2は、処理をS207へ進める。
【0035】
S207では、認証用ホストコンピュータ2は、当該メッセージにパラメータとして含まれている照合用ユニークキーが「固体識別情報」フィールドに記述されているエントリを、携帯電話認証DB35から探し出す。そして、かかるエントリが存在しな場合には、第三者がQRコードを冒用した可能性があるので、S210にエラー処理を実行して、このQRコード認証処理を終了する。
【0036】
これに対して、当該メッセージにパラメータとして含まれている照合用ユニークキーが「固体識別情報」フィールドに記述されているエントリが見つかると、認証用ホストコンピュータ2は、S208において、当該エントリにおける「固体識別情報」フィールドの記述を、当該メッセージのHTTPヘッダに含まれる固体識別情報に、書き換える。そして、次のS209において、当該エントリと「ID」フィールドの記述が一致する会員管理DB34のエントリにおける「携帯認証許可フラグ」フィールドの値を、“OK”に書き換えてから、このQRコード認証処理を終了する。
【0037】
このようにして、会員管理DB34において携帯認証許可フラグが“OK”にセットされた会員については、以後、携帯電話認証用DB35に登録された固体識別情報に対応した利用者携帯電話6を用いて、携帯認証を行うことができるのである。サービス用ホストコンピュータ1における何れかのサービスを利用するに際して行われる携帯認証についての処理は、下記3−2において説明する。なお、図6に示すQRコード認証処理のうち、S204〜206については、この携帯認証についての処理の説明の中で、行うこととする。
3−1−2.オフラインによる携帯認証登録処理
上記オンラインによる携帯認証登録処理は、会員側からの積極的な動作が必要であるので携帯認証のサービスに登録する会員数の大幅増は必ずしも望めない。そこで、新規入会者に対して携帯認証サービスへの登録を促す手段として、入会後に送信される案内文にQRコードを添付することによって登録を促すことが、考えられる。この場合、サービス用ホストコンピュータ1は、各新規入会者について、夫々、照合用ユニークキーを生成するとともに、当該会員についての情報(ID,照合用ユニークキー)を記録したエントリの携帯電話認証用DB35への追加を、管理DBサーバ3に依頼する。そして、サービス用ホストコンピュータ1は、上記照合用ユニークキーをパラメータとして含む携帯認証用のURLをQRコードとしてコード化し所定の案内文に結合させた上で、この案内文を印刷物として該当会員へ発送するための処理を実行する。若しくは、かかる案内文を電子メール又はウェブデータとして、該当会員が操作する利用者PC5へ送信する。
【0038】
このような案内文を受け取った会員は、案内文が印刷物であれば印刷されたQRコードを、案内文が電子メール又はウェブデータであればディスプレイ上に表示されたQRコードを、自己の利用者携帯電話6のカメラによって撮影して、デコードし、認証用ホストコンピュータ2へメッセージを送信する。以後における認証用ホストコンピュータ2の処理は、上述したオンラインによる携帯認証登録処理と同じであるので、その説明を省略する。
3−2.携帯認証処理
次に、サービス用ホストコンピュータ1における何れかのサービスを利用するに際して実行される携帯認証処理について説明する。
【0039】
先ず、何れかの会員が操作する利用者PC5から何れかのサービスに対応したURL宛てのメッセージを受信したサービス用ホストコンピュータ1は、サービスホスト用プログラム15に従って、図7の処理を実行する。この処理を開始して最初の301では、サービス用ホストコンピュータ1は、受信したメッセージ(HTTPリクエストメッセージ)のHTTPヘッダに含まれるセッションコードが、認証済みのものとしてメモリ12に記憶されているかどうかをチェックする。そして、既に、後述する図6のS206による通知を受けることにより、当該セッションコードがメモリ12に記憶されている場合(当該セッションコードが示すセッションが認証済みである場合)には、サービス用ホストコンピュータ1は、処理を直接S306へ進めて、当該サービスホスト用プログラムに従ったサービス処理を実行する。
【0040】
これに対して、受信したメッセージに含まれるセッションコードがメモリ12に記憶されていない場合(当該セッションコードが示すセッションが未認証である場合)には、サービス用ホストコンピュータ1は、S302において、要求されたサービスを要求元利用者PC5との間で行うために用いるセッションコンテナを作成し、そのセッションコンテナの識別子を“セッションコード”として生成し、これをメモリ12に保存する。
【0041】
次のS303では、サービス用ホストコンピュータ1は、認証用ホストコンピュータ2における携帯認証用のURLに、S302にて生成したセッションコード,実行が要求されたサービスの識別子をパラメータとして添付した上で、当該URLをコード化したQRコードのイメージを生成する。そして、メッセージ送信元の利用者PC5に対して、かかるQRコードのイメージをブラウザによりディスプレイ上に表示させるための画面データを送信する。S303の実行後、サービス用ホストコンピュータ1は、次のS304において、認証用ホストコンピュータ2から認証済み通知を受信するのを待つ。
【0042】
一方、上記画面データを受信した利用者PC5では、ブラウザが、かかるQRコードのイメージをディスプレイ上に表示する。そこで、装置利用者PC5を操作している会員は、このQRコードを利用者携帯電話6のカメラにより撮影する。すると、上述したのと同様にして、利用者携帯電話6におけるQRコードリーダー機能(プログラム)が作動して、このQRコードにコード化されていた携帯認証用のURLをデコードし、セッションコード及びサービス識別子をパラメータとして含む当該URL宛のメッセージを、携帯インターネット網M,ルータ4を通じて、認証用ホストコンピュータ2へ送信する。なお、携帯電話におけるインターネットプロトコルに従い、このメッセージ(HTTPリクエストメッセージ)のHTTPヘッダには、User Agent項目として、当該利用者携帯電話に一意に付与されている固体識別情報が、記述されている。
【0043】
当該メッセージを受信した認証用ホストコンピュータ2は、認証サーバプログラム4に従い、図6に示すQRコード認証処理を実行する。このQRコード認証処理において、最初のS201では、認証用ホストコンピュータ2は、受信したURLに添付されたパラメータの有効性をチェックする。そして、有効でなければ、S211において、エラー処理(URL送信元利用者PC5にエラーメッセージを送信する処理)を実行して、このQRコード認証処理を終了する。
【0044】
これに対して、パラメータが有効である場合には、認証用ホストコンピュータ2は、S202において、当該メッセージのHTTPヘッダに含まれている固体識別情報が「固体識別情報」フィールドに記述されているエントリを、携帯電話認証DB35から探し出す。そして、かかるエントリが見つかると、認証用ホストコンピュータ2は、S204において、会員管理DB34を検索して、当該携帯電話認証DB35におけるエントリと「ID」フィールドの記述が一致する会員管理DB34のエントリを探し出す。
【0045】
次のS205では、認証用ホストコンピュータ2は、S204にて探し出したエントリにおける「携帯認証許可フラグ」フィールドの値が“OK”であるか“NG”であるかをチェックする。そして、認証用ホストコンピュータ2は、“NG”である場合には、S211にてエラー処理を実行する。
【0046】
これに対して、“OK”である場合には、認証用ホストコンピュータ2は、受信したメッセージにパラメータとして含まれるサービス識別子が示すサービスに対して、同セッションコードが示すセッションは、S204にて探し出したエントリに記録されたIDにより認証済みである旨を、S206において、上記サービス識別子に対応したサービスホストプログラム15を実行しているサービス用ホストコンピュータ1に通知する。このS206を完了すると、認証用ホストコンピュータ2は、このQRコード認証処理を終了する。
【0047】
図7に戻り、認証用ホストコンピュータ2からの認証済通知を受信したサービス用ホストコンピュータ1は、処理をS304からS305へ進め、認証用ホストコンピュータ2から通知されたサービス識別子が示すサービスについて、S302にてメモリに記憶したセッションコードが示すセッションが、同IDが示す会員による利用であるとして認証された旨を、メモリ12に記憶した後に、リクエスト元利用者PC5に対して、ログイン後ページをディスプレイに表示させるための画面データを送信する。続く、S306から、サービス用ホストコンピュータ1は、当該サービスを開始する。
4.実施例の動作
本実施例において、上記図4〜図7のフローチャートに従った処理が実行された場合における各装置間でのメッセージの流れを、図8のタイムチャートに示す。なお、図8におけるステップ番号は、上記図4〜図7のフローチャートに示すものと同じである。
【0048】
図8から理解されるように、本実施例では、各会員が所有する携帯電話の固体識別情報事前に固体識別子を携帯電話認証用DB35に登録しさえしておけば、会員がサービス用ホストコンピュータ1に対して所望のサービスを要求する場合には、通常認証処理におけるようなID&パスワード入力画面の代わりに、当該サービス及びセッションに対応付けられたQRコードが、利用者PC5のディスプレイに表示される。そこで、会員は、このQRコードを、事前にその固体識別子が携帯電話認証DB35に登録されている利用者携帯電話6によって撮影し、デコードしてインターネットアクセスするだけで、その固体識別子が、QRコードにコード化されていたサービス識別子及びセッションコードに関連付けられて認証用ホストコンピュータ2へ送信され、これらの情報によって認証がなされ、認証が成功し次第、当該サービスが利用できるようになるのである。
【0049】
このように、本実施例によると、会員は、ID及びパスワードをサービス利用の都度入力する必要がないので、これらを記憶する必要がないし、メモしておく必要もない。そのため、セキュリティの強度が保たれるのである。
【図面の簡単な説明】
【0050】
【図1】本発明による実施の形態であるコンピュータネットワークの概略構成を示すブロック図
【図2】会員管理DBのデータ構造を示す表
【図3】携帯電話認証用DBのデータ構造を示す表
【図4】携帯認証登録処理を示すフローチャート
【図5】通常認証処理を示すフローチャート
【図6】QRコード認証処理を示すフローチャート
【図7】サービスプログラムによる処理を示すフローチャート
【図8】各装置間での情報の流れを示すタイムチャート
【符号の説明】
【0051】
1 サービス用ホストコンピュータ
2 認証用ホストコンピュータ
3 管理DBサーバ
5 利用者PC
6 利用者携帯電話
10 CPU
12 メモリ
11 通信アダプタ
13 ハードディスク
15 サービスホスト用プログラム
20 CPU
22 メモリ
21 通信アダプタ
23 ハードディスク
24 認証サーバプログラム
34 会員管理DB
35 携帯電話認証用DB
N インターネット網
M 携帯インターネット網
【特許請求の範囲】
【請求項1】
複数の利用者コンピュータとサービス用ホストコンピュータとを互にデータ通信可能に接続してなるコンピュータネットワークにおいて、データベース装置に記憶した情報に基づいて、前記サーバ装置にアクセスした利用者コンピュータを操作するユーザを認証用ホストコンピュータによって認証するための認証方法であって、
予め、個々のユーザ毎に、当該ユーザが所有する携帯電話の固体識別情報を、前記データベース装置に記憶しておき、
前記サービス用ホストコンピュータは、何れかの利用者コンピュータから何れかのサービスについての要求メッセージを受信すると、一意の識別子を生成してメモリに記憶するとともに、当該識別子をパラメータとして含む前記認証用ホストコンピュータのURLをQRコードに変換して、当該QRコードのイメージデータを前記メッセージ送信元の利用者コンピュータへ送信し、
前記認証用ホストコンピュータは、前記URL及び固体識別情報を含む認証要求メッセージを受信すると、当該認証要求メッセージに含まれる固体識別情報が前記データベースに記憶されている場合に限り、当該認証要求メッセージに含まれるURLのパラメータである識別子について認証された旨の認証情報を、前記サービス用ホストコンピュータに通知し、
前記サービス用ホストコンピュータは、前記認証用ホストコンピュータから前記メモリに記憶した識別子についての認証情報を受信すると、前記サービスを前記利用者コンピュータに対して供給する
ことを特徴とするコンピュータネットワークにおける認証方法。
【請求項2】
複数の利用者コンピュータとサービス用ホストコンピュータとを互にデータ通信可能に接続してなるコンピュータネットワークにおいて、データベース装置に記憶した情報に基づいて、前記サーバ装置にアクセスした利用者コンピュータを操作するユーザを認証用ホストコンピュータによって認証するための認証方法であって、
予め、個々のユーザ毎に、ユーザに一意に付与された個人識別情報を当該ユーザが所有する携帯電話の固体識別情報に関連付けて、前記データベース装置に記憶しておき、
前記サービス用ホストコンピュータは、何れかの利用者コンピュータから何れかのサービスについての要求メッセージを受信すると、一意の識別子を生成してメモリに記憶するとともに、当該識別子をパラメータとして含む前記認証用ホストコンピュータのURLをQRコードに変換して、当該QRコードのイメージデータを前記メッセージ送信元の利用者コンピュータへ送信し、
前記認証用ホストコンピュータは、前記URL及び固体識別情報を含む認証要求メッセージを受信すると、当該認証要求メッセージに含まれる固体識別情報が前記データベースに記憶されている場合に限り、当該認証要求メッセージに含まれるURLのパラメータである識別子について当該データベースにおいて当該固体識別情報に関連付けて記憶されている個人識別情報により認証された旨の認証情報を、前記サービス用ホストコンピュータに通知し、
前記サービス用ホストコンピュータは、前記認証用ホストコンピュータから前記メモリに記憶した識別子についての認証情報を受信すると、当該認証情報に含まれる個人識別情報が示す利用者に対するサービスとして、当該サービスを前記利用者PCをに対して供給する
ことを特徴とするコンピュータネットワークにおける認証方法。
【請求項1】
複数の利用者コンピュータとサービス用ホストコンピュータとを互にデータ通信可能に接続してなるコンピュータネットワークにおいて、データベース装置に記憶した情報に基づいて、前記サーバ装置にアクセスした利用者コンピュータを操作するユーザを認証用ホストコンピュータによって認証するための認証方法であって、
予め、個々のユーザ毎に、当該ユーザが所有する携帯電話の固体識別情報を、前記データベース装置に記憶しておき、
前記サービス用ホストコンピュータは、何れかの利用者コンピュータから何れかのサービスについての要求メッセージを受信すると、一意の識別子を生成してメモリに記憶するとともに、当該識別子をパラメータとして含む前記認証用ホストコンピュータのURLをQRコードに変換して、当該QRコードのイメージデータを前記メッセージ送信元の利用者コンピュータへ送信し、
前記認証用ホストコンピュータは、前記URL及び固体識別情報を含む認証要求メッセージを受信すると、当該認証要求メッセージに含まれる固体識別情報が前記データベースに記憶されている場合に限り、当該認証要求メッセージに含まれるURLのパラメータである識別子について認証された旨の認証情報を、前記サービス用ホストコンピュータに通知し、
前記サービス用ホストコンピュータは、前記認証用ホストコンピュータから前記メモリに記憶した識別子についての認証情報を受信すると、前記サービスを前記利用者コンピュータに対して供給する
ことを特徴とするコンピュータネットワークにおける認証方法。
【請求項2】
複数の利用者コンピュータとサービス用ホストコンピュータとを互にデータ通信可能に接続してなるコンピュータネットワークにおいて、データベース装置に記憶した情報に基づいて、前記サーバ装置にアクセスした利用者コンピュータを操作するユーザを認証用ホストコンピュータによって認証するための認証方法であって、
予め、個々のユーザ毎に、ユーザに一意に付与された個人識別情報を当該ユーザが所有する携帯電話の固体識別情報に関連付けて、前記データベース装置に記憶しておき、
前記サービス用ホストコンピュータは、何れかの利用者コンピュータから何れかのサービスについての要求メッセージを受信すると、一意の識別子を生成してメモリに記憶するとともに、当該識別子をパラメータとして含む前記認証用ホストコンピュータのURLをQRコードに変換して、当該QRコードのイメージデータを前記メッセージ送信元の利用者コンピュータへ送信し、
前記認証用ホストコンピュータは、前記URL及び固体識別情報を含む認証要求メッセージを受信すると、当該認証要求メッセージに含まれる固体識別情報が前記データベースに記憶されている場合に限り、当該認証要求メッセージに含まれるURLのパラメータである識別子について当該データベースにおいて当該固体識別情報に関連付けて記憶されている個人識別情報により認証された旨の認証情報を、前記サービス用ホストコンピュータに通知し、
前記サービス用ホストコンピュータは、前記認証用ホストコンピュータから前記メモリに記憶した識別子についての認証情報を受信すると、当該認証情報に含まれる個人識別情報が示す利用者に対するサービスとして、当該サービスを前記利用者PCをに対して供給する
ことを特徴とするコンピュータネットワークにおける認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2008−146363(P2008−146363A)
【公開日】平成20年6月26日(2008.6.26)
【国際特許分類】
【出願番号】特願2006−332927(P2006−332927)
【出願日】平成18年12月11日(2006.12.11)
【出願人】(591117192)ニフティ株式会社 (144)
【Fターム(参考)】
【公開日】平成20年6月26日(2008.6.26)
【国際特許分類】
【出願日】平成18年12月11日(2006.12.11)
【出願人】(591117192)ニフティ株式会社 (144)
【Fターム(参考)】
[ Back to top ]