サーバシステム、認証処理プログラム及び認証方法
【課題】ユーザが他人になりすましてシステムを利用することを防止する。
【解決手段】端末装置から移行要求情報が受信された場合に、端末装置に対応する登録情報を取得し、登録情報が所定の条件を満たす場合には、所定段階画面情報を端末装置に送信し、所定の条件を満たさない場合には、アドレス入力画面情報を端末装置に送信し、端末装置から携帯アドレスが受信された場合に、当該携帯アドレス宛てに、パスワード画面情報の所在情報が記載された電子メールを送信し、携帯通信端末装置からパスワード画面情報要求情報が受信された場合に、携帯通信端末装置に対して固有に割り当てられた識別情報を取得し、識別情報が登録されていない場合には、パスワード表示画面情報を携帯通信端末装置に送信し、登録されている場合には、移行を許否し、パスワード表示画面情報に基づいて表示されるパスワードと同一のパスワードが端末装置から受信された場合に、移行を許可する。
【解決手段】端末装置から移行要求情報が受信された場合に、端末装置に対応する登録情報を取得し、登録情報が所定の条件を満たす場合には、所定段階画面情報を端末装置に送信し、所定の条件を満たさない場合には、アドレス入力画面情報を端末装置に送信し、端末装置から携帯アドレスが受信された場合に、当該携帯アドレス宛てに、パスワード画面情報の所在情報が記載された電子メールを送信し、携帯通信端末装置からパスワード画面情報要求情報が受信された場合に、携帯通信端末装置に対して固有に割り当てられた識別情報を取得し、識別情報が登録されていない場合には、パスワード表示画面情報を携帯通信端末装置に送信し、登録されている場合には、移行を許否し、パスワード表示画面情報に基づいて表示されるパスワードと同一のパスワードが端末装置から受信された場合に、移行を許可する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークを介して端末装置に画面情報を送信し、当該画面情報に基づいて表示される画面を通じてユーザが利用するシステムに関する認証を行うサーバシステム、認証処理プログラム及び認証方法の技術分野に関する。
【背景技術】
【0002】
従来から、パーソナルコンピュータ等の端末装置を用いてインターネット等のネットワークに接続し、サーバ装置から提供されるWebページ等を通じて、各種のサービスが提供されるシステムが知られている。こうしたシステムにおいては、ユーザ認証を行うことにより、サービスの提供を受けようと者がシステムを利用可能なユーザであるかを判断し、また、そのユーザが誰であるかを特定するようになっている。このユーザ認証は、一般的には、ID(識別情報)とパスワードとをユーザにより入力させることにより行われている。
【0003】
また、このユーザ認証を強化するため、或る端末に対してIDとパスワードによる認証を行った後、この端末とは別の端末に対してワンタイムパスワードを通知し、このワンタイムパスワードをユーザに入力させることによって認証を行う方法が提案されている(例えば、特許文献1及び2)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−240806号公報
【特許文献2】特開2007−328381号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、インターネット上で行われるネットオークションにおいては、ユーザは、出品者にも入札者にもなることができる。また、こうしたネットオークションにおいては、1人のユーザが複数のIDを取得することも可能である。そうすると、1人のユーザが、或るIDを使用して商品を出品しておいて、別のIDを使用して出品者とは他人になりすましてその商品を不正に入札することも可能である。これにより、商品の入札額が不当につり上げられてしまう。
【0006】
しかしながら、上述した特許文献1及び2に記載の技術では、こうした他人のなりすましに対処することはできなかった。
【0007】
本発明は以上の点に鑑みてなされたものであり、ユーザが他人になりすましてシステムを利用することを防止することができるサーバシステム、認証処理プログラム及び認証方法を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記課題を解決するために、請求項1に記載の発明は、所定の段階へ移行させる操作により前記端末装置から送信されてきた移行の要求を示す移行要求情報が受信された場合に、当該端末装置に対応する登録情報を取得する登録情報取得手段と、前記取得された登録情報が所定の条件を満たすか否かを判定し、前記所定の条件を満たす場合には、前記所定の段階に移行したことにより表示される画面を構成する所定段階画面情報を前記端末装置に送信し、前記所定の条件を満たさない場合には、携帯通信端末装置の電子メールアドレスである携帯アドレスを入力するための画面を構成するアドレス入力画面情報を前記端末装置に送信する移行要求制御手段と、前記端末装置から前記携帯アドレスが受信された場合に、当該携帯アドレス宛てに、パスワードを表示する画面を構成するパスワード画面情報の所在を示す所在情報が記載された電子メールを送信するメール送信手段と、前記携帯通信端末装置から前記所在情報に対応する前記パスワード画面情報の要求を示すパスワード画面情報要求情報が受信された場合に、前記携帯通信端末装置に対して固有に割り当てられた識別情報を取得する識別情報取得手段と、前記取得された識別情報と同一の識別情報が登録されているか否かを判定し、登録されていない場合には、前記パスワード表示画面情報を前記携帯通信端末装置に送信し、登録されている場合には、前記所定の段階への移行を許否するパスワード画面情報要求制御手段と、前記取得された識別情報を登録する識別情報登録手段と、前記送信されたパスワード表示画面情報に基づいて表示されるパスワードと同一のパスワードが前記端末装置から受信された場合に、前記所定の段階への移行を許可する許可手段と、を備えることを特徴とする。
【0009】
この発明によれば、所定の段階に移行するために、携帯通信端末装置によりパスワードを表示させる。その際、携帯通信端末装置の識別情報が取得される。識別情報は携帯通信端末装置に対して固有に割り当てられた情報であるので、この識別情報によりユーザを一意に認識することができる。識別情報が既に登録されているという状態は、ユーザが過去に同じ携帯通信端末装置を使用して所定の段階への移行を試みていることを意味する。よって、過去に所定の段階への移行を試みたユーザがそのときとは別人になりすまして今回所定の段階に移行しようとしていることを判断することができる。そしてこの場合は、所定の段階への移行が拒否されるので、ユーザが他人になりすましてシステムを利用することを防止することができる。
【0010】
請求項2に記載の発明は、請求項1に記載のサーバシステムにおいて、前記登録情報は、前記所定の段階の完了を条件として当該サーバシステムにより登録される情報であり、前記登録情報が前記端末装置に対応付けられて登録されていることを前記所定の条件としたことを特徴とする。
【0011】
この発明によれば、所定の段階が完了することにより所定の条件が満たされるので、一度所定の段階への移行が許可されたユーザに対して携帯通信端末装置を利用した認証を省略することができ、所定の段階へスムーズに移行することができる。
【0012】
請求項3に記載の発明は、請求項1又は請求項2に記載のサーバシステムにおいて、前記パスワード画面情報要求制御手段は、前記電子メールが送信されてから所定時間が経過した後に前記パスワード画面情報要求情報が受信された場合には、前記パスワード画面情報の送信を禁止することを特徴とする。
【0013】
この発明によれば、所在情報が記載された電子メールが送信されてから所定時間が経過した後にパスワード画面情報の要求があっても、携帯通信端末装置によりパスワードが表示されないので、第3者によるシステムの不正利用を防止することができる。
【0014】
請求項4に記載の発明は、請求項1乃至3の何れか1項に記載のサーバシステムにおいて、前記許可手段は、前記パスワード画面情報が送信されてから所定時間が経過した後にパスワードが受信された場合には、前記所定の段階への移行を許否することを特徴とする。
【0015】
この発明によれば、パスワード画面情報が送信されてから所定時間が経過した後にパスワードが入力されても、所定の段階への移行が拒否されるので、第3者によるシステムの不正利用を防止することができる。
【0016】
請求項5に記載の発明は、コンピュータを、所定の段階に対応する画面が端末装置により表示されている状態でそれに所定の段階へ移行させる操作により前記端末装置から送信されてきた移行の要求を示す移行要求情報が受信された場合に、前記端末装置に対応する登録情報を取得する登録情報取得手段、前記取得された登録情報が所定の条件を満たすか否かを判定し、前記所定の条件を満たす場合には、前記所定の段階に移行したことにより表示される画面を構成する所定段階画面情報を前記端末装置に送信し、前記所定の条件を満たさない場合には、携帯通信端末装置の電子メールアドレスである携帯アドレスを入力するための画面を構成するアドレス入力画面情報を前記端末装置に送信する移行要求制御手段、前記端末装置から前記携帯アドレスが受信された場合に、当該携帯アドレス宛てに、パスワードを表示する画面を構成するパスワード画面情報の所在を示す所在情報が記載された電子メールを送信するメール送信手段、前記携帯通信端末装置から前記所在情報に対応する前記パスワード画面情報の要求を示すパスワード画面情報要求情報が受信された場合に、前記携帯通信端末装置に対して固有に割り当てられた識別情報を取得する識別情報取得手段、前記取得された識別情報と同一の識別情報が登録されているか否かを判定し、登録されていない場合には、前記パスワード表示画面情報を前記携帯通信端末装置に送信し、登録されている場合には、前記所定の段階への移行を許否するパスワード画面情報要求制御手段、前記取得された識別情報を登録する識別情報登録手段、及び、前記送信されたパスワード表示画面情報に基づいて表示されるパスワードと同一のパスワードが前記端末装置から受信された場合に、前記所定の段階への移行を許可する許可手段、として機能させることを特徴とする。
【0017】
請求項6に記載の発明は、所定の段階に対応する画面が端末装置により表示されている状態でそれに所定の段階へ移行させる操作により前記端末装置から送信されてきた移行の要求を示す移行要求情報が受信された場合に、前記端末装置に対応する登録情報を取得する登録情報取得工程と、前記取得された登録情報が所定の条件を満たすか否かを判定し、前記所定の条件を満たす場合には、前記所定の段階に移行したことにより表示される画面を構成する所定段階画面情報を前記端末装置に送信し、前記所定の条件を満たさない場合には、携帯通信端末装置の電子メールアドレスである携帯アドレスを入力するための画面を構成するアドレス入力画面情報を前記端末装置に送信する移行要求制御工程と、前記端末装置から前記携帯アドレスが受信された場合に、当該携帯アドレス宛てに、パスワードを表示する画面を構成するパスワード画面情報の所在を示す所在情報が記載された電子メールを送信するメール送信工程と、前記携帯通信端末装置から前記所在情報に対応する前記パスワード画面情報の要求を示すパスワード画面情報要求情報が受信された場合に、前記携帯通信端末装置に対して固有に割り当てられた識別情報を取得する識別情報取得工程と、前記取得された識別情報と同一の識別情報が登録されているか否かを判定し、登録されていない場合には、前記パスワード表示画面情報を前記携帯通信端末装置に送信し、登録されている場合には、前記所定の段階への移行を許否するパスワード画面情報要求制御工程と、前記取得された識別情報を登録する識別情報登録工程と、前記送信されたパスワード表示画面情報に基づいて表示されるパスワードと同一のパスワードが前記端末装置から受信された場合に、前記所定の段階への移行を許可する許可工程と、を有することを特徴とする。
【発明の効果】
【0018】
本発明によれば、所定の段階に移行するために、携帯通信端末装置によりパスワードを表示させる。その際、携帯通信端末装置の識別情報が取得される。識別情報は携帯通信端末装置に対して固有に割り当てられた情報であるので、この識別情報によりユーザを一意に認識することができる。識別情報が既に登録されているという状態は、ユーザが過去に同じ携帯通信端末装置を使用して所定の段階への移行を試みていることを意味する。よって、過去に所定の段階への移行を試みたユーザがそのときとは別人になりすまして今回所定の段階に移行しようとしていることを判断することができる。そしてこの場合は、所定の段階への移行が拒否されるので、ユーザが他人になりすましてシステムを利用することを防止することができる。
【図面の簡単な説明】
【0019】
【図1】一実施形態に係るオークションシステムSの概要構成の一例を示す図である。
【図2】一実施形態に係るECサーバ1の概要構成の一例を示すブロック図である。
【図3】会員情報DB101に登録される情報の内容の一例を示す図である。
【図4】オークションDB102に登録される情報の内容の一例を示す図である。
【図5】一実施形態に係るECサーバ1及びPC端末2−iの処理例を示すフローチャートである。
【図6】一実施形態に係るECサーバ1及びPC端末2−iの処理例を示すフローチャートである。
【図7】一実施形態に係るECサーバ1、PC端末2−i及び携帯電話機3−iの処理例を示すフローチャートである。
【図8】一実施形態に係るECサーバ1、PC端末2−i及び携帯電話機3−iの処理例を示すフローチャートである。
【図9】一実施形態に係るECサーバ1及びPC端末2−iの処理例を示すフローチャートである。
【図10】携帯メールアドレス入力ページの画面表示例を示す図である。
【発明を実施するための形態】
【0020】
以下、図面を参照して本発明の最良の実施形態について詳細に説明する。なお、以下に説明する実施の形態は、オークションシステムに対して本発明を適用した場合の実施形態である。
【0021】
[1.オークションシステムの構成及び機能概要]
先ず、本実施形態に係るオークションシステムSの構成及び概要機能について、図1を用いて説明する。
【0022】
図1は、本実施形態に係るオークションシステムSの概要構成の一例を示す図である。
【0023】
図1に示すように、オークションシステムSは、会員情報DB(Data Base)101及びオークションDB102を備えるサーバシステムの一例としてのEC(Electronic Commerce)サーバ1と、端末装置の一例としての複数のPC端末2−i(i=1,2・・・n)と、携帯通信端末装置の一例としての複数の携帯電話機3−iと、を含んで構成されている。
【0024】
ECサーバ1と、PC端末2−i及び携帯電話機3−iとは、ネットワークNWを介して、例えば、通信プロトコルにTCP/IP等を用いて相互にデータの送受信が可能になっている。なお、ネットワークNWは、例えば、インターネット、専用通信回線(例えば、CATV(Community Antenna Television)回線)、移動体通信網(基地局等を含む)、及びゲートウェイ等により構築されている。
【0025】
このような構成のオークションシステムSにおいて、ECサーバ1は、例えば、ネットワークNWを通じて各種のサービスを提供するサービス提供事業者により、オークションサービスを提供するために設置されたサーバ装置である。サービス提供事業者は、オークションのほか、例えば、ネットショッピング、宿泊施設予約、ゴルフ場予約等のサービスを提供している。
【0026】
PC端末2−iのユーザは、これらのサービスを利用するため、会員登録手続を行うようになっている。(以下、サービスを利用することができるユーザを「会員」とも称する)。会員になったユーザに対しては、会員IDが付与される。ユーザは、この会員IDを用いてオークションを含む各種サービスを利用することができる。登録された会員に関する会員情報は会員情報DB101に登録されるようになっている。また、オークションサービスにおける出品に関する情報、入札に関する情報、落札に関する情報等は、オークションDB102に登録されている。
【0027】
そして、ECサーバ1は、PC端末2−iのリクエストに応じて、オークションDB102や会員情報データベース101にアクセスしつつ、PC端末2−iのユーザ間におけるオークションを成立させるための処理を行うようになっている。
【0028】
PC端末2−iは、ECサーバ1にアクセスしてWebページを取得し、画面に表示するようになっている。これにより、ユーザは、当該Webページを通じて、商品の出品や入札を行うことができるようになっている。PC端末2−iは、本実施形態においてはパーソナルコンピュータが適用されているが、例えば、PDA(Personal Digital Assistant)、STB(Set Top Box)等の携帯電話機以外の端末装置であっても良い。
【0029】
携帯電話機3−iは、PC端末2−iのユーザが所有している携帯電話機である。例えば、或るユーザはPC端末2−1と携帯電話機3−1とを所有し、また或るユーザはPC端末2−2と携帯電話機3−2とを所有している。上述したように、オークションシステムSにおいては、ユーザはPC端末2−iを用いて入札を行うことができる。しかし、ユーザは複数の会員IDを取得することができるので、或る会員IDを使用して出品しておいて、これとは別の会員IDを使用して出品者とは他人になりすまして入札することが考えられる。そこで、オークションシステムSにおいては、入札ステップへ移行する際に携帯電話機3−iを利用して認証を行うことにより、この他人のなりすましを防止するようになっている。
【0030】
なお、PC端末2−i及び携帯電話機3−iには、夫々所定のオペレーティングシステム、Webブラウザアプリケーション、電子メールアプリケーション等がインストールされている。
【0031】
[2.ECサーバの構成及び機能]
次に、ECサーバ1の構成及び機能について、図2乃至図4を用いて説明する。
【0032】
図2は、本実施形態に係るECサーバ1の概要構成の一例を示すブロック図である。また、図3は、会員情報DB101に登録される情報の内容の一例を示す図である。また、図4は、オークションDB102に登録される情報の内容の一例を示す図である。
【0033】
図2に示すように、ECサーバ1は、操作部11と、表示部12と、通信部13と、ドライブ部14と、記憶部15と、入出力インタフェース部16と、システム制御部20と、を備えている。そして、システム制御部20と入出力インタフェース部16とは、システムバス21を介して接続されている。
【0034】
なお、ECサーバ1を、例えば、データベースを管理するサーバ、各種情報を提供するWWWサーバ等の複数のサーバ装置により構成されるサーバシステムとしても良い。
【0035】
操作部11は、例えば、キーボード、マウス等により構成されており、オペレータ等からの操作指示を受け付け、その指示内容を指示信号としてシステム制御部20に出力するようになっている。表示部12は、例えば、CRT(Cathode Ray Tube)ディスプレイ、液晶ディスプレイ等により構成されており、文字や画像等の情報を表示するようになっている。通信部13は、ネットワークNW等に接続して、他のサーバ装置、PC端末2−i及び携帯電話機3−i等との通信状態を制御するようになっている。ドライブ部14は、例えば、フレキシブルディスク、CD(Compact Disc)、DVD(Digital Versatile Disc)等のディスクDKからデータ等を読み出す一方、当該ディスクDKに対してデータ等を記録するようになっている。記憶部15は、例えば、ハードディスクドライブ等により構成されており、各種プログラム及びデータ等を記憶するようになっている。入出力インタフェース部16は、操作部11〜記憶部15とシステム制御部20との間のインタフェース処理を行うようになっている。システム制御部20は、CPU(Central Processing Unit)17、ROM(Read Only Memory)18、RAM(Random Access Memory)19等により構成されている。
【0036】
記憶部15には、会員情報DB101及びオークションDB102が構築されている。
【0037】
図3に示すように、会員情報DB101には、会員に関する会員情報が、当該会員を識別するための会員IDに対応付けられて登録されている。具体的に会員情報には、例えば、会員ID、ログインするためのパスワード、会員ランク、UID(ユーザID)、会員の氏名、郵便番号、住所、電話番号、電子メールアドレス、生年月日、性別、会員の保有ポイント、クレジットカードのカード番号及びその有効期限等が設定される。
【0038】
ここで、会員ランク(登録情報の一例)には、レギュラー、シルバー、ゴールド及びプラチナの4種類が存在する。最も低い会員ランクはレギュラーである。そして、シルバー、ゴールドの順に会員ランクが高くなっていき、最も高い会員ランクがプラチナである。この会員ランクは、サービス提供事業者により提供される各種サービスの月々の利用状況に応じてユーザが獲得したポイント数及び獲得回数等によって決定される。そして、ユーザは、会員ランクが高いほどより多くの特典を受けられることができるようになっている。
【0039】
UIDは、携帯電話機3−iの識別情報又は携帯電話機3−iの契約者の識別情報である。このUIDは、移動体通信事業者によって固有に割り当てられている。会員情報に対しては、ユーザが一度入札ステップへの移行が許可されたときにそのユーザが使用した携帯電話機3−iのUIDが登録される。UIDは、携帯電話機3−iからECサーバ1に対してリクエストがあったとき、このリクエストヘッダに付加されている。リクエストヘッダに対するUIDの付加は、例えば、携帯電話機3−i自身が行っても良いし、移動体通信事業者のゲートウェイサーバが、携帯電話機3−iからのリクエストを中継する際に行っても良い。また、UIDとしては、例えば、契約者に付与されるサブスクライバーIDのほか、携帯電話機3−iの電話番号(加入者番号)、携帯電話機3−iに装着されたIDカードのカード番号、携帯電話機3−iの機体番号等が用いられても良い。
【0040】
図4に示すように、オークションDB102には、オークションに関する情報が、各会員毎に、会員IDと対応付けて登録されている。具体的に、オークションDB102には、会員ID、会員のニックネーム、出品履歴、入札履歴(登録情報の一例)、落札履歴等が登録されている。
【0041】
ここで、入札履歴は、会員による入札に関する情報であり、入札した商品毎に、会員ID及びオークションの識別情報であるオークションIDと対応付けて登録されている。具体的に、入札履歴には、会員ID、オークションID、入札されたことによって付与される入札番号、入札日時、入札個数、入札金額等が設定される。
【0042】
また、記憶部15には、Webページを構成するHTMLデータ、画像データ、音声データ、テキストデータ等が記憶されている。
【0043】
更に、記憶部15には、所定のオペレーティングシステムのほか、HTTP(Hyper Text Transfer Protocol)プロトコルを用いて、PC端末2−i及び携帯電話機3−i等から送信されたリクエストに応じて、当該記憶部15に記憶されている各種のデータに基づきWebページを生成し、当該WebページをPC端末2−i及び携帯電話機3−i等に送信するためのWWW(World Wide Web)サーバプログラム、SMTP(Simple Mail Transfer Protocol)プロトコルを用いて、他のメールサーバから送信された電子メールを受信する一方、サーバ自らが作成した電子メールを、他のメールサーバに送信するためのメールサーバプログラム、各データベースを管理するデータベース管理プログラム等が記憶されている。
【0044】
また更に、記憶部15には、会員情報DB101に登録されている各種情報を管理する会員情報管理プログラム、オークションDB102に登録されている各種情報を管理するオークション情報管理プログラム、オークションサイトにおける出品、入札、落札、出品者と落札者との間の連絡等に関する処理を行うオークション処理プログラム等が記憶されている。
【0045】
なお、各種プログラム等は、例えば、他のサーバ装置等からネットワークNWを介して取得されるようにしても良いし、CD−ROM等のディスクDKに記録されてドライブ部14を介して読み込まれるようにしても良い。
【0046】
システム制御部20は、登録情報取得手段、移行要求制御手段、メール送信手段、識別情報取得手段、パスワード画面情報要求制御手段、識別情報登録手段及び許可手段の一例を構成している。
【0047】
そして、制御部20は、CPU17が、ROM18や記憶部15に記憶された各種プログラムを読み出し実行することによりショッピングサーバ1−1の各部を制御するとともに、上述した各手段等として機能するようになっている。
【0048】
例えば、システム制御部20は、ユーザが入札操作をすることによってPC端末2−iから送信されてきた入札リクエストを受信する。そして、登録情報取得手段としてのシステム制御部20は、入札リクエストを送信してきたPC端末2−iに対応する会員ランク及び入札履歴を取得する。システム制御部20は、会員IDとパスワードとを用いた事前のユーザ認証によって、ユーザがどの会員であるかを特定し、このユーザ認証によってPC端末2−iと会員IDとを対応付けている。従って、システム制御部20は、この会員IDにより、PC端末2−iと会員ランク及び入札履歴を対応付けることができる。
【0049】
移行要求制御手段としてのシステム制御部20は、所定の条件を満たすか否かを判定する。具体的に、システム制御部20は、PC端末2−iに対応する入札履歴が登録されているか否かを判定する。また、システム制御部20は、PC端末2−iに対応する会員ランクがプラチナ、ゴールド又はシルバーであるか否かを判定する。そして、システム制御部20は、入札履歴が登録されている場合、あるいは、会員ランクがプラチナ、ゴールド又はシルバーである場合には、ユーザが入札ステップへ移行することを許可し、入札ページ(所定段階画面情報の一例)をPC端末2−iに送信する。一方、システム制御部20は、入札履歴が登録されておらず、且つ、会員ランクがレギュラーである場合には、更なる認証を行うため、携帯メールアドレス入力ページ(アドレス入力画面情報の一例)をPC端末2−iに送信する。
【0050】
入札履歴が登録されているということは、これから入札しようとしているユーザが、過去に既に入札が許可されているユーザであるということである。従って、一度入札が許可されたユーザに対しては、その後は更なる認証無くして入札が許可される。また、会員ランクがプラチナ、ゴールド又はシルバーであるユーザは、サービス提供事業者によって提供されるサービスの利用実績が或る程度あり、信用のおけるユーザであるとみなされる。従って、このようなユーザに対しても更なる認証無くして入札が許可される。その一方で、会員ランクがレギュラーであるユーザは、信用のおけるユーザとはみなされていない。そこで、このようなユーザが初めて入札を行おうとする場合には、更なる認証が行われる。なお、入札ステップへの移行を許可するランクとしては、例えば、ゴールド以上としても良いし、プラチナのみとしても良い。
【0051】
システム制御部20は、携帯メールアドレス入力ページに対してユーザが入力した携帯電話機3−iの電子メールアドレス(以下、「携帯メールアドレス」という)がPC端末2−iから送信されてきたとき、これを受信する。そして、システム制御部20は、ワンタイムパスワードとしての暗証番号を生成し、PC端末2−iに対応付けられている会員IDに対応付けてRAM19等に保存する。また、メール送信手段としてのシステム制御部20は、受信した携帯メールアドレス宛てに、認証用URL(所在情報の一例)を記載した電子メール(以下、「認証メール」という)を送信する。この認証用URLは、生成された暗証番号を表示する暗証番号表示ページ(パスワード画面情報の一例)のURL(Uniform Resource Locator)である。この認証用URLには、例えば、PC端末2−iに対応付けられている会員IDが暗号化されて設定されている。更に、システム制御部20は、PC端末2−iに対しては、暗証番号を入力するための暗証番号入力ページを送信する。
【0052】
識別情報取得手段としてのシステム制御部20は、携帯電話機3−iから認証用URLを含む暗証番号表示ページを受信すると、当該リクエストのヘッダからUIDを取得する。
【0053】
パスワード画面情報要求制御手段としてのシステム制御部20は、取得したUIDが全会員の会員情報のうち何れかの会員情報中に既に登録されているか否かを判定する。そして、システム制御部20は、取得したUIDが既に登録されている場合には、エラー表示ページを携帯電話機3−iに送信する。一方、システム制御部20は、取得したUIDが登録されていない場合には、暗証番号表示ページを携帯電話機3−iに送信する。このとき、システム制御部20は、認証用URLから会員IDを復元し、この会員IDに対応する暗証番号を取得する。そして、システム制御部20は、取得した暗証番号を表示する暗証番号表示ページを生成する。また、識別情報登録手段としてのシステム制御部20は、取得したUIDを、復元した会員IDに対応する会員情報中に登録する。
【0054】
UIDが既に登録されているということは、ユーザが今回の認証と同じ携帯電話機3−iを使用して別の会員IDで過去に入札を試みたことがあることを意味している。換言すると、ユーザは、過去に入札を試みた会員IDとは異なる会員IDを使用して今回入札をしようとしているのである。つまり、ユーザは他人になりすまそうというのである。従って、この場合は、入札ステップへの移行が許否され、携帯電話機3−iには、暗証番号は表示されない。
【0055】
システム制御部20は、暗証番号入力ページに対してユーザが入力した暗証番号をPC端末2−iから受信する。そして許可手段としてのシステム制御部20は、受信した暗証番号が、生成し保存しておいた暗証番号と一致する場合には、ユーザが入札ステップへ移行することを許可し、入札ページをPC端末2−iに送信する。
【0056】
[3.オークションシステムの動作]
次に、オークションシステムSの動作について、図5乃至図10を用いて説明する。
【0057】
図5乃至図9は、本実施形態に係るECサーバ1、PC端末2−i及び携帯電話機3−iの処理例を示すフローチャートである。また、図10は、携帯メールアドレス入力ページの画面表示例を示す図である。
【0058】
図5に示すように、PC端末2−iは、オークションページを表示するため、ユーザ操作によりページリクエストをECサーバ1に送信する(ステップS101)。ECサーバ1のシステム制御部20は、ページリクエストを受信すると(ステップS111)、ログインページをPC端末2−iに送信する(ステップS112)。PC端末2−iは、ログインページを受信して、これを画面に表示する(ステップS102)。
【0059】
ここでユーザは、自身が会員登録されている場合には会員ID及びパスワードを入力し、自身が会員登録されていない場合には、会員登録に必要な個人情報(パスワード、氏名、郵便番号、電話番号、電子メールアドレス等)を入力する(ステップS103)。すると、PC端末2−iは、入力された会員ID及びパスワード、又は、個人情報をECサーバ1に送信する(ステップS104)。
【0060】
ECサーバ1のシステム制御部20は、会員ID及びパスワードか、個人情報を受信すると(ステップS113)、受信した情報が会員ID及びパスワードであるか否かを判定する(ステップS114)。このとき、システム制御部20は、受信した情報が個人情報である場合には(ステップS114:NO)、新しい会員IDを発行し、受信した個人情報を会員情報として新しい会員IDに対応付けて会員情報DB101に登録する(ステップS115)。
【0061】
一方、システム制御部20は、受信した情報が会員ID及びパスワードである場合には、この会員ID及びパスワードでユーザ認証を行い、当該認証が成功したか否かを判定する(ステップS116)。このとき、システム制御部20は、ユーザ認証に成功しなかった場合には(ステップS116:NO)、エラー表示ページをPC端末2−iに送信し(ステップS117)、処理を終了させる。
【0062】
システム制御部20は、会員情報を登録した場合(ステップS115)、又は、ユーザ認証に成功した場合には(ステップS116:YES)、発行又は受信した会員IDをセッション管理によってPC端末2−iに対応付け、ログイン後ページをPC端末2−iに送信に送信する(ステップS118)。PC端末2−iは、ログイン後ページを受信して、これを画面に表示する(ステップS105)。ログイン後ページは、例えば、オークションサイトのトップページである。
【0063】
その後、ユーザによる商品の検索操作や選択操作に応じて、ECサーバ1のシステム制御部20は、図6に示すように、選択された商品のオークション商品詳細ページをPC端末2−iに送信に送信する(ステップS211)。PC端末2−iは、オークション商品詳細ページを受信して、これを画面に表示する(ステップS201)。オークション商品詳細ページには、ユーザにより選択された商品の商品名、詳細説明及び画像等が表示される。また、オークション商品詳細ページには、商品の入札に移行するための入札ボタンが表示される。
【0064】
オークション商品詳細ページが表示されている状態で、ユーザが入札ボタンを選択すると(ステップS202)、PC端末2−iは、入札リクエストをECサーバ1に送信する(ステップS203)。ECサーバ1のシステム制御部20は、入札リクエストを受信すると(ステップS212)、オークションDB102から、PC端末2−iに対応付けられている会員IDに対応する入札履歴の取得を試み、入札履歴が登録されているか否かを判定する(ステップS213)。このとき、システム制御部20は、入札履歴が登録されている場合には(ステップS213:YES)、入札ページをPC端末2−iに送信して(ステップS214)、図9を用いて後述するステップS514に移行する。
【0065】
一方、システム制御部20は、入札履歴が登録されていない場合には(ステップS213:NO)、PC端末2−iに対応付けられている会員IDに対応する会員情報から会員ランクを取得し、当該会員ランクがプラチナ、ゴールド又はシルバーであるか否かを判定する(ステップS215)。このとき、システム制御部20は、会員ランクがプラチナ、ゴールド又はシルバーである場合には(ステップS215:YES)、入札ページをPC端末2−iに送信する(ステップS214)。
【0066】
一方、システム制御部20は、会員IDがレギュラーである場合には(ステップS215:NO)、携帯メールアドレス入力ページをPC端末2−iに送信する(ステップS216)。PC端末2−iは、携帯メールアドレス入力ページを受信して、これを画面に表示する(ステップ204)。
【0067】
図10に示すように、携帯メールアドレス入力ページには、説明文201、ユーザ名入力欄202、ドメイン選択メニュー203及び次ボタン204等が表示される。説明文201には、オークションで初めて入札する場合に、ユーザが所有する携帯電話機3−iを確認する必要正等の説明が記載される。ユーザ名入力欄202は、携帯メールアドレスのユーザ名部分を入力するための入力欄である。また、ドメイン選択メニュー203は、携帯メールアドレスのドメイン名部分を選択するためのプルダウンメニューである。このドメイン選択メニュー203が存在することにより、携帯電話機3−iに対して付与された電子メールアドレスのみをユーザに入力されることができる。
【0068】
ここで、ユーザが、ユーザ名部分を入力しドメイン名部分を選択することによって携帯メールアドレスの入力を行い、次ボタン204を選択すると(ステップS205)、PC端末2−iは、入力された携帯メールアドレスをECサーバ1に送信する(ステップS206)。
【0069】
ECサーバ1のシステム制御部20は、携帯メールアドレスを受信すると(ステップS217)、図7に示すように、暗証番号を生成し、これをPC端末2−iに対応付けられている会員IDに対応付けてRAM19に保存する(ステップS311)。次いで、システム制御部20は、認証用URLを生成する(ステップS312)。このとき、システム制御部20は、PC端末2−iに対応付けられている会員IDを暗号化し、暗号化した会員IDを、認証用URLの文字列の一部として当該認証用URLに含める。次いで、システム制御部20は、生成した認証用URLを本文中に埋め込んだ認証メールを生成し、この認証メールを、受信した携帯メールアドレス宛てに送信する(ステップS313)。次いで、システム制御部20は、暗証番号入力ページをPC端末2−iに送信する(ステップS314)。
【0070】
PC端末2−iは、暗証番号入力ページを受信し、これを画面に表示する(ステップS301)。一方、携帯電話機3−iは、ユーザ操作に基づいて所定のサーバ装置から認証メールを受信する(ステップS321)。そして、ユーザが認証メールの本文に記載された認証用URLを選択すると(ステップS322)、携帯電話機3−iは、選択された認証用URLをリクエストヘッダに含む暗証番号表示ページリクエストをECサーバ1に送信する(ステップS323)。
【0071】
ECサーバ1のシステム制御部20は、暗証番号表示ページリクエストを受信すると、これに含まれる認証用URLから会員IDを復元し、これによって認証メールの送信時期を特定する(ステップS316)。次いで、システム制御部20は、認証メールの送信から一定時間内に暗証番号表示ページリクエストを受信したか否かを判定する(ステップS317)。このとき、システム制御部20は、認証メールの送信から一定時間を超えて暗証番号表示ページリクエストを受信した場合には(ステップS317:NO)、エラー表示ページを携帯電話機3−iに送信し(ステップS318)、処理を終了させる。一定時間を超えて暗証番号表示ページがリクエストされた場合には、第3者が認証用URLを盗みこれを使用した場合が考えられる。そこで、第3者による不正入札を防止するため、暗証番号表示ページリクエストの受信は一定時間内に限られている。
【0072】
一方、システム制御部20は、認証メールの送信から一定時間内に暗証番号表示ページリクエストを受信した場合には(ステップS317:YES)、図8に示すように、暗証番号表示ページリクエストのリクエストヘッダから携帯電話機3−iのUIDを取得する(ステップS411)。次いで、システム制御部20は、取得したUIDが全会員の会員情報の何れかの会員情報中に既に登録されているか否かを判定する(ステップS412)。このとき、システム制御部20は、取得したUIDが既に登録されている場合には(ステップS412:YES)、エラー表示ページを携帯電話機3−iに送信し(ステップS413)、処理を終了させる。
【0073】
一方、システム制御部20は、取得したUIDが登録されていない場合には(ステップS412:NO)、このUIDを、復元した会員IDに対応する会員情報中に登録する(ステップS414)。次いで、システム制御部20は、復元した会員IDに対応する暗証番号をRAM19から取得し、この暗証番号を表示する暗証番号表示ページを生成してこれを携帯電話機3−iに送信する(ステップS415)。なお、暗証番号の生成はこの時点で行われるようにしても良い。携帯電話機3−iは、暗証番号表示ページを受信し、これを画面に表示する(ステップ421)。PC端末2−iの画面には、暗証番号入力ページが表示されているので、ユーザが、携帯電話機3−iの画面に表示されている暗証番号を暗証番号入力ページに入力すると(ステップS401)、PC端末2−iは、入力された暗証番号をECサーバ1に送信する(ステップS402)。
【0074】
暗証番号を受信したECサーバ1のシステム制御部20は、暗証番号表示ページの送信から一定時間内に暗証番号を受信したか否かを判定する(ステップS417)。このとき、システム制御部20は、暗証番号表示ページの送信から一定時間を超えて暗証番号を受信した倍には(ステップS417:NO)、エラー表示ページをPC端末2−iに送信し(ステップS418)、処理を終了させる。一定時間を超えてパスワードが入力された場合には、第3者が暗証番号を盗みこれを使用した場合が考えられる。そこで、第3者による不正入札を防止するため、暗証番号の受信は一定時間内に限られている。
【0075】
一方、システム制御部20は、暗証番号表示ページの送信から一定時間内に暗証番号を受信した場合には(ステップS417:YES)、図9に示すように、受信した暗証番号は正しい暗証番号であるか否かを判定する(ステップS511)。つまり、システム制御部20は、PC端末2−iに対応付けられている会員IDにより、RAM19保存されている暗証番号を特定し、受信した暗証番号が、保存されている暗証番号と一致するか否かを判定する。このとき、システム制御部20は、暗証番号が正しくない場合には(ステップS511:NO)、エラー表示ページをPC端末2−iに送信して(ステップS512)、処理を終了させる。
【0076】
一方、システム制御部20は、暗証番号が正しい場合には(ステップS512:YES)、入札ページをPC端末2−iに送信する(ステップS513)。PC端末2−iは、入札ページを受信し、これを画面に表示させる(ステップS501)。入札ページには、現在の入札額の最高額、入札金額を入力するための入力欄及び入札ボタン等が表示される。
【0077】
ここで、ユーザが、入札金額を入力して入札ボタンを選択すると(ステップS502)、PC端末2−iは、入力された入札金額をECサーバ1に送信する(ステップS503)。ECサーバ1のシステム制御部20は、入札金額を受信すると(ステップS514)、この入札金額、PC端末2−iに対応付けられている会員ID、ユーザにより選択された商品のオークションID等の情報に基づいて入札履歴を生成し、この入札履歴をオークションDB102に登録する(ステップS515)。これによって入札ステップが完了する。なお、UIDの登録はこの時点で行われるようにしても良い。
【0078】
以上説明したように、本実施形態によれば、ECサーバ1のシステム制御部20が、ユーザにより入札ボタンが選択されたことによりPC端末2−iから送信されてきた入札リクエストが受信された場合に、当該PC端末2−iに対応付けられた会員ランク及び入札履歴を取得し、この会員ランク又は入札履歴が所定の条件を満たす場合には、入札ページをPC端末2−iに送信し、所定の条件を満たさない場合には、携帯メールアドレス入力ページをPC端末2−iに送信し、PC端末2−iから携帯メールアドレスが受信された場合に、当該携帯メールアドレス宛てに、認証用URLが記載された認証メールを送信し、携帯電話機3−iから認証用URLを含む暗証番号表示ページリクエストが受信された場合に、当該携帯電話機3−iに割り当てられたUIDを取得し、当該UIDが登録されていない場合には、暗証番号表示ページを携帯電話機3−iに送信し、当該UIDが登録されている場合には、エラー表示ページを携帯電話機3−iに送信し、取得したUIDを登録し、生成したパスワードと同一のパスワードがPC端末2−iから受信された場合には、入札ページを当該PC端末2−iに送信する。
【0079】
従って、携帯電話機3−iのUIDによりユーザを一意に認識することができるので、過去に入札ステップへの移行を試みたユーザがそのときとは別人になりすまして今回入札ステップに移行しようとしていることを判断することができる。よって、ユーザが出品者とは他人になりすまして入札することを防止することができる。
【0080】
また、ECサーバ1のシステム制御部20が、既に入札履歴が登録されているユーザに対しては、入札ステップへ移行することを許可するので、携帯電話機3−iを利用した認証を省略することができ、入札ステップへスムーズに移行することができる。
【0081】
また、ECサーバ1のシステム制御部20が、認証メールを送信してから一定時間が経過した後に暗証番号表示ページリクエストを受信しても、暗証番号表示ページリクエストを送信しないので、第3者による不正入札を防止することができる。
【0082】
また、ECサーバ1のシステム制御部20が、暗証番号表示ページを送信してから一定時間が経過した後に暗証番号が入力されても、入札ページを送信しないので、第3者による不正入札を防止することができる。
【0083】
なお、上記実施形態においては、ネットオークションにおいて入札ステップに移行する場合に本発明を適用したが、本発明の適用はこのケースに限られるものではない。本発明は、ユーザが他人になりすましてシステムを利用し得る様々なケースに対して適用することができる。
【符号の説明】
【0084】
1 ECサーバ
2―i PC端末
3−i 携帯電話機
11 操作部
12 表示部
13 通信部
14 ドライブ部
15 記憶部
16 入出力インタフェース部
17 CPU
18 ROM
19 RAM
20 システム制御部
21 システムバス
101 会員情報DB
102 オークションDB
NW ネットワーク
S オークションシステム
【技術分野】
【0001】
本発明は、ネットワークを介して端末装置に画面情報を送信し、当該画面情報に基づいて表示される画面を通じてユーザが利用するシステムに関する認証を行うサーバシステム、認証処理プログラム及び認証方法の技術分野に関する。
【背景技術】
【0002】
従来から、パーソナルコンピュータ等の端末装置を用いてインターネット等のネットワークに接続し、サーバ装置から提供されるWebページ等を通じて、各種のサービスが提供されるシステムが知られている。こうしたシステムにおいては、ユーザ認証を行うことにより、サービスの提供を受けようと者がシステムを利用可能なユーザであるかを判断し、また、そのユーザが誰であるかを特定するようになっている。このユーザ認証は、一般的には、ID(識別情報)とパスワードとをユーザにより入力させることにより行われている。
【0003】
また、このユーザ認証を強化するため、或る端末に対してIDとパスワードによる認証を行った後、この端末とは別の端末に対してワンタイムパスワードを通知し、このワンタイムパスワードをユーザに入力させることによって認証を行う方法が提案されている(例えば、特許文献1及び2)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−240806号公報
【特許文献2】特開2007−328381号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、インターネット上で行われるネットオークションにおいては、ユーザは、出品者にも入札者にもなることができる。また、こうしたネットオークションにおいては、1人のユーザが複数のIDを取得することも可能である。そうすると、1人のユーザが、或るIDを使用して商品を出品しておいて、別のIDを使用して出品者とは他人になりすましてその商品を不正に入札することも可能である。これにより、商品の入札額が不当につり上げられてしまう。
【0006】
しかしながら、上述した特許文献1及び2に記載の技術では、こうした他人のなりすましに対処することはできなかった。
【0007】
本発明は以上の点に鑑みてなされたものであり、ユーザが他人になりすましてシステムを利用することを防止することができるサーバシステム、認証処理プログラム及び認証方法を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記課題を解決するために、請求項1に記載の発明は、所定の段階へ移行させる操作により前記端末装置から送信されてきた移行の要求を示す移行要求情報が受信された場合に、当該端末装置に対応する登録情報を取得する登録情報取得手段と、前記取得された登録情報が所定の条件を満たすか否かを判定し、前記所定の条件を満たす場合には、前記所定の段階に移行したことにより表示される画面を構成する所定段階画面情報を前記端末装置に送信し、前記所定の条件を満たさない場合には、携帯通信端末装置の電子メールアドレスである携帯アドレスを入力するための画面を構成するアドレス入力画面情報を前記端末装置に送信する移行要求制御手段と、前記端末装置から前記携帯アドレスが受信された場合に、当該携帯アドレス宛てに、パスワードを表示する画面を構成するパスワード画面情報の所在を示す所在情報が記載された電子メールを送信するメール送信手段と、前記携帯通信端末装置から前記所在情報に対応する前記パスワード画面情報の要求を示すパスワード画面情報要求情報が受信された場合に、前記携帯通信端末装置に対して固有に割り当てられた識別情報を取得する識別情報取得手段と、前記取得された識別情報と同一の識別情報が登録されているか否かを判定し、登録されていない場合には、前記パスワード表示画面情報を前記携帯通信端末装置に送信し、登録されている場合には、前記所定の段階への移行を許否するパスワード画面情報要求制御手段と、前記取得された識別情報を登録する識別情報登録手段と、前記送信されたパスワード表示画面情報に基づいて表示されるパスワードと同一のパスワードが前記端末装置から受信された場合に、前記所定の段階への移行を許可する許可手段と、を備えることを特徴とする。
【0009】
この発明によれば、所定の段階に移行するために、携帯通信端末装置によりパスワードを表示させる。その際、携帯通信端末装置の識別情報が取得される。識別情報は携帯通信端末装置に対して固有に割り当てられた情報であるので、この識別情報によりユーザを一意に認識することができる。識別情報が既に登録されているという状態は、ユーザが過去に同じ携帯通信端末装置を使用して所定の段階への移行を試みていることを意味する。よって、過去に所定の段階への移行を試みたユーザがそのときとは別人になりすまして今回所定の段階に移行しようとしていることを判断することができる。そしてこの場合は、所定の段階への移行が拒否されるので、ユーザが他人になりすましてシステムを利用することを防止することができる。
【0010】
請求項2に記載の発明は、請求項1に記載のサーバシステムにおいて、前記登録情報は、前記所定の段階の完了を条件として当該サーバシステムにより登録される情報であり、前記登録情報が前記端末装置に対応付けられて登録されていることを前記所定の条件としたことを特徴とする。
【0011】
この発明によれば、所定の段階が完了することにより所定の条件が満たされるので、一度所定の段階への移行が許可されたユーザに対して携帯通信端末装置を利用した認証を省略することができ、所定の段階へスムーズに移行することができる。
【0012】
請求項3に記載の発明は、請求項1又は請求項2に記載のサーバシステムにおいて、前記パスワード画面情報要求制御手段は、前記電子メールが送信されてから所定時間が経過した後に前記パスワード画面情報要求情報が受信された場合には、前記パスワード画面情報の送信を禁止することを特徴とする。
【0013】
この発明によれば、所在情報が記載された電子メールが送信されてから所定時間が経過した後にパスワード画面情報の要求があっても、携帯通信端末装置によりパスワードが表示されないので、第3者によるシステムの不正利用を防止することができる。
【0014】
請求項4に記載の発明は、請求項1乃至3の何れか1項に記載のサーバシステムにおいて、前記許可手段は、前記パスワード画面情報が送信されてから所定時間が経過した後にパスワードが受信された場合には、前記所定の段階への移行を許否することを特徴とする。
【0015】
この発明によれば、パスワード画面情報が送信されてから所定時間が経過した後にパスワードが入力されても、所定の段階への移行が拒否されるので、第3者によるシステムの不正利用を防止することができる。
【0016】
請求項5に記載の発明は、コンピュータを、所定の段階に対応する画面が端末装置により表示されている状態でそれに所定の段階へ移行させる操作により前記端末装置から送信されてきた移行の要求を示す移行要求情報が受信された場合に、前記端末装置に対応する登録情報を取得する登録情報取得手段、前記取得された登録情報が所定の条件を満たすか否かを判定し、前記所定の条件を満たす場合には、前記所定の段階に移行したことにより表示される画面を構成する所定段階画面情報を前記端末装置に送信し、前記所定の条件を満たさない場合には、携帯通信端末装置の電子メールアドレスである携帯アドレスを入力するための画面を構成するアドレス入力画面情報を前記端末装置に送信する移行要求制御手段、前記端末装置から前記携帯アドレスが受信された場合に、当該携帯アドレス宛てに、パスワードを表示する画面を構成するパスワード画面情報の所在を示す所在情報が記載された電子メールを送信するメール送信手段、前記携帯通信端末装置から前記所在情報に対応する前記パスワード画面情報の要求を示すパスワード画面情報要求情報が受信された場合に、前記携帯通信端末装置に対して固有に割り当てられた識別情報を取得する識別情報取得手段、前記取得された識別情報と同一の識別情報が登録されているか否かを判定し、登録されていない場合には、前記パスワード表示画面情報を前記携帯通信端末装置に送信し、登録されている場合には、前記所定の段階への移行を許否するパスワード画面情報要求制御手段、前記取得された識別情報を登録する識別情報登録手段、及び、前記送信されたパスワード表示画面情報に基づいて表示されるパスワードと同一のパスワードが前記端末装置から受信された場合に、前記所定の段階への移行を許可する許可手段、として機能させることを特徴とする。
【0017】
請求項6に記載の発明は、所定の段階に対応する画面が端末装置により表示されている状態でそれに所定の段階へ移行させる操作により前記端末装置から送信されてきた移行の要求を示す移行要求情報が受信された場合に、前記端末装置に対応する登録情報を取得する登録情報取得工程と、前記取得された登録情報が所定の条件を満たすか否かを判定し、前記所定の条件を満たす場合には、前記所定の段階に移行したことにより表示される画面を構成する所定段階画面情報を前記端末装置に送信し、前記所定の条件を満たさない場合には、携帯通信端末装置の電子メールアドレスである携帯アドレスを入力するための画面を構成するアドレス入力画面情報を前記端末装置に送信する移行要求制御工程と、前記端末装置から前記携帯アドレスが受信された場合に、当該携帯アドレス宛てに、パスワードを表示する画面を構成するパスワード画面情報の所在を示す所在情報が記載された電子メールを送信するメール送信工程と、前記携帯通信端末装置から前記所在情報に対応する前記パスワード画面情報の要求を示すパスワード画面情報要求情報が受信された場合に、前記携帯通信端末装置に対して固有に割り当てられた識別情報を取得する識別情報取得工程と、前記取得された識別情報と同一の識別情報が登録されているか否かを判定し、登録されていない場合には、前記パスワード表示画面情報を前記携帯通信端末装置に送信し、登録されている場合には、前記所定の段階への移行を許否するパスワード画面情報要求制御工程と、前記取得された識別情報を登録する識別情報登録工程と、前記送信されたパスワード表示画面情報に基づいて表示されるパスワードと同一のパスワードが前記端末装置から受信された場合に、前記所定の段階への移行を許可する許可工程と、を有することを特徴とする。
【発明の効果】
【0018】
本発明によれば、所定の段階に移行するために、携帯通信端末装置によりパスワードを表示させる。その際、携帯通信端末装置の識別情報が取得される。識別情報は携帯通信端末装置に対して固有に割り当てられた情報であるので、この識別情報によりユーザを一意に認識することができる。識別情報が既に登録されているという状態は、ユーザが過去に同じ携帯通信端末装置を使用して所定の段階への移行を試みていることを意味する。よって、過去に所定の段階への移行を試みたユーザがそのときとは別人になりすまして今回所定の段階に移行しようとしていることを判断することができる。そしてこの場合は、所定の段階への移行が拒否されるので、ユーザが他人になりすましてシステムを利用することを防止することができる。
【図面の簡単な説明】
【0019】
【図1】一実施形態に係るオークションシステムSの概要構成の一例を示す図である。
【図2】一実施形態に係るECサーバ1の概要構成の一例を示すブロック図である。
【図3】会員情報DB101に登録される情報の内容の一例を示す図である。
【図4】オークションDB102に登録される情報の内容の一例を示す図である。
【図5】一実施形態に係るECサーバ1及びPC端末2−iの処理例を示すフローチャートである。
【図6】一実施形態に係るECサーバ1及びPC端末2−iの処理例を示すフローチャートである。
【図7】一実施形態に係るECサーバ1、PC端末2−i及び携帯電話機3−iの処理例を示すフローチャートである。
【図8】一実施形態に係るECサーバ1、PC端末2−i及び携帯電話機3−iの処理例を示すフローチャートである。
【図9】一実施形態に係るECサーバ1及びPC端末2−iの処理例を示すフローチャートである。
【図10】携帯メールアドレス入力ページの画面表示例を示す図である。
【発明を実施するための形態】
【0020】
以下、図面を参照して本発明の最良の実施形態について詳細に説明する。なお、以下に説明する実施の形態は、オークションシステムに対して本発明を適用した場合の実施形態である。
【0021】
[1.オークションシステムの構成及び機能概要]
先ず、本実施形態に係るオークションシステムSの構成及び概要機能について、図1を用いて説明する。
【0022】
図1は、本実施形態に係るオークションシステムSの概要構成の一例を示す図である。
【0023】
図1に示すように、オークションシステムSは、会員情報DB(Data Base)101及びオークションDB102を備えるサーバシステムの一例としてのEC(Electronic Commerce)サーバ1と、端末装置の一例としての複数のPC端末2−i(i=1,2・・・n)と、携帯通信端末装置の一例としての複数の携帯電話機3−iと、を含んで構成されている。
【0024】
ECサーバ1と、PC端末2−i及び携帯電話機3−iとは、ネットワークNWを介して、例えば、通信プロトコルにTCP/IP等を用いて相互にデータの送受信が可能になっている。なお、ネットワークNWは、例えば、インターネット、専用通信回線(例えば、CATV(Community Antenna Television)回線)、移動体通信網(基地局等を含む)、及びゲートウェイ等により構築されている。
【0025】
このような構成のオークションシステムSにおいて、ECサーバ1は、例えば、ネットワークNWを通じて各種のサービスを提供するサービス提供事業者により、オークションサービスを提供するために設置されたサーバ装置である。サービス提供事業者は、オークションのほか、例えば、ネットショッピング、宿泊施設予約、ゴルフ場予約等のサービスを提供している。
【0026】
PC端末2−iのユーザは、これらのサービスを利用するため、会員登録手続を行うようになっている。(以下、サービスを利用することができるユーザを「会員」とも称する)。会員になったユーザに対しては、会員IDが付与される。ユーザは、この会員IDを用いてオークションを含む各種サービスを利用することができる。登録された会員に関する会員情報は会員情報DB101に登録されるようになっている。また、オークションサービスにおける出品に関する情報、入札に関する情報、落札に関する情報等は、オークションDB102に登録されている。
【0027】
そして、ECサーバ1は、PC端末2−iのリクエストに応じて、オークションDB102や会員情報データベース101にアクセスしつつ、PC端末2−iのユーザ間におけるオークションを成立させるための処理を行うようになっている。
【0028】
PC端末2−iは、ECサーバ1にアクセスしてWebページを取得し、画面に表示するようになっている。これにより、ユーザは、当該Webページを通じて、商品の出品や入札を行うことができるようになっている。PC端末2−iは、本実施形態においてはパーソナルコンピュータが適用されているが、例えば、PDA(Personal Digital Assistant)、STB(Set Top Box)等の携帯電話機以外の端末装置であっても良い。
【0029】
携帯電話機3−iは、PC端末2−iのユーザが所有している携帯電話機である。例えば、或るユーザはPC端末2−1と携帯電話機3−1とを所有し、また或るユーザはPC端末2−2と携帯電話機3−2とを所有している。上述したように、オークションシステムSにおいては、ユーザはPC端末2−iを用いて入札を行うことができる。しかし、ユーザは複数の会員IDを取得することができるので、或る会員IDを使用して出品しておいて、これとは別の会員IDを使用して出品者とは他人になりすまして入札することが考えられる。そこで、オークションシステムSにおいては、入札ステップへ移行する際に携帯電話機3−iを利用して認証を行うことにより、この他人のなりすましを防止するようになっている。
【0030】
なお、PC端末2−i及び携帯電話機3−iには、夫々所定のオペレーティングシステム、Webブラウザアプリケーション、電子メールアプリケーション等がインストールされている。
【0031】
[2.ECサーバの構成及び機能]
次に、ECサーバ1の構成及び機能について、図2乃至図4を用いて説明する。
【0032】
図2は、本実施形態に係るECサーバ1の概要構成の一例を示すブロック図である。また、図3は、会員情報DB101に登録される情報の内容の一例を示す図である。また、図4は、オークションDB102に登録される情報の内容の一例を示す図である。
【0033】
図2に示すように、ECサーバ1は、操作部11と、表示部12と、通信部13と、ドライブ部14と、記憶部15と、入出力インタフェース部16と、システム制御部20と、を備えている。そして、システム制御部20と入出力インタフェース部16とは、システムバス21を介して接続されている。
【0034】
なお、ECサーバ1を、例えば、データベースを管理するサーバ、各種情報を提供するWWWサーバ等の複数のサーバ装置により構成されるサーバシステムとしても良い。
【0035】
操作部11は、例えば、キーボード、マウス等により構成されており、オペレータ等からの操作指示を受け付け、その指示内容を指示信号としてシステム制御部20に出力するようになっている。表示部12は、例えば、CRT(Cathode Ray Tube)ディスプレイ、液晶ディスプレイ等により構成されており、文字や画像等の情報を表示するようになっている。通信部13は、ネットワークNW等に接続して、他のサーバ装置、PC端末2−i及び携帯電話機3−i等との通信状態を制御するようになっている。ドライブ部14は、例えば、フレキシブルディスク、CD(Compact Disc)、DVD(Digital Versatile Disc)等のディスクDKからデータ等を読み出す一方、当該ディスクDKに対してデータ等を記録するようになっている。記憶部15は、例えば、ハードディスクドライブ等により構成されており、各種プログラム及びデータ等を記憶するようになっている。入出力インタフェース部16は、操作部11〜記憶部15とシステム制御部20との間のインタフェース処理を行うようになっている。システム制御部20は、CPU(Central Processing Unit)17、ROM(Read Only Memory)18、RAM(Random Access Memory)19等により構成されている。
【0036】
記憶部15には、会員情報DB101及びオークションDB102が構築されている。
【0037】
図3に示すように、会員情報DB101には、会員に関する会員情報が、当該会員を識別するための会員IDに対応付けられて登録されている。具体的に会員情報には、例えば、会員ID、ログインするためのパスワード、会員ランク、UID(ユーザID)、会員の氏名、郵便番号、住所、電話番号、電子メールアドレス、生年月日、性別、会員の保有ポイント、クレジットカードのカード番号及びその有効期限等が設定される。
【0038】
ここで、会員ランク(登録情報の一例)には、レギュラー、シルバー、ゴールド及びプラチナの4種類が存在する。最も低い会員ランクはレギュラーである。そして、シルバー、ゴールドの順に会員ランクが高くなっていき、最も高い会員ランクがプラチナである。この会員ランクは、サービス提供事業者により提供される各種サービスの月々の利用状況に応じてユーザが獲得したポイント数及び獲得回数等によって決定される。そして、ユーザは、会員ランクが高いほどより多くの特典を受けられることができるようになっている。
【0039】
UIDは、携帯電話機3−iの識別情報又は携帯電話機3−iの契約者の識別情報である。このUIDは、移動体通信事業者によって固有に割り当てられている。会員情報に対しては、ユーザが一度入札ステップへの移行が許可されたときにそのユーザが使用した携帯電話機3−iのUIDが登録される。UIDは、携帯電話機3−iからECサーバ1に対してリクエストがあったとき、このリクエストヘッダに付加されている。リクエストヘッダに対するUIDの付加は、例えば、携帯電話機3−i自身が行っても良いし、移動体通信事業者のゲートウェイサーバが、携帯電話機3−iからのリクエストを中継する際に行っても良い。また、UIDとしては、例えば、契約者に付与されるサブスクライバーIDのほか、携帯電話機3−iの電話番号(加入者番号)、携帯電話機3−iに装着されたIDカードのカード番号、携帯電話機3−iの機体番号等が用いられても良い。
【0040】
図4に示すように、オークションDB102には、オークションに関する情報が、各会員毎に、会員IDと対応付けて登録されている。具体的に、オークションDB102には、会員ID、会員のニックネーム、出品履歴、入札履歴(登録情報の一例)、落札履歴等が登録されている。
【0041】
ここで、入札履歴は、会員による入札に関する情報であり、入札した商品毎に、会員ID及びオークションの識別情報であるオークションIDと対応付けて登録されている。具体的に、入札履歴には、会員ID、オークションID、入札されたことによって付与される入札番号、入札日時、入札個数、入札金額等が設定される。
【0042】
また、記憶部15には、Webページを構成するHTMLデータ、画像データ、音声データ、テキストデータ等が記憶されている。
【0043】
更に、記憶部15には、所定のオペレーティングシステムのほか、HTTP(Hyper Text Transfer Protocol)プロトコルを用いて、PC端末2−i及び携帯電話機3−i等から送信されたリクエストに応じて、当該記憶部15に記憶されている各種のデータに基づきWebページを生成し、当該WebページをPC端末2−i及び携帯電話機3−i等に送信するためのWWW(World Wide Web)サーバプログラム、SMTP(Simple Mail Transfer Protocol)プロトコルを用いて、他のメールサーバから送信された電子メールを受信する一方、サーバ自らが作成した電子メールを、他のメールサーバに送信するためのメールサーバプログラム、各データベースを管理するデータベース管理プログラム等が記憶されている。
【0044】
また更に、記憶部15には、会員情報DB101に登録されている各種情報を管理する会員情報管理プログラム、オークションDB102に登録されている各種情報を管理するオークション情報管理プログラム、オークションサイトにおける出品、入札、落札、出品者と落札者との間の連絡等に関する処理を行うオークション処理プログラム等が記憶されている。
【0045】
なお、各種プログラム等は、例えば、他のサーバ装置等からネットワークNWを介して取得されるようにしても良いし、CD−ROM等のディスクDKに記録されてドライブ部14を介して読み込まれるようにしても良い。
【0046】
システム制御部20は、登録情報取得手段、移行要求制御手段、メール送信手段、識別情報取得手段、パスワード画面情報要求制御手段、識別情報登録手段及び許可手段の一例を構成している。
【0047】
そして、制御部20は、CPU17が、ROM18や記憶部15に記憶された各種プログラムを読み出し実行することによりショッピングサーバ1−1の各部を制御するとともに、上述した各手段等として機能するようになっている。
【0048】
例えば、システム制御部20は、ユーザが入札操作をすることによってPC端末2−iから送信されてきた入札リクエストを受信する。そして、登録情報取得手段としてのシステム制御部20は、入札リクエストを送信してきたPC端末2−iに対応する会員ランク及び入札履歴を取得する。システム制御部20は、会員IDとパスワードとを用いた事前のユーザ認証によって、ユーザがどの会員であるかを特定し、このユーザ認証によってPC端末2−iと会員IDとを対応付けている。従って、システム制御部20は、この会員IDにより、PC端末2−iと会員ランク及び入札履歴を対応付けることができる。
【0049】
移行要求制御手段としてのシステム制御部20は、所定の条件を満たすか否かを判定する。具体的に、システム制御部20は、PC端末2−iに対応する入札履歴が登録されているか否かを判定する。また、システム制御部20は、PC端末2−iに対応する会員ランクがプラチナ、ゴールド又はシルバーであるか否かを判定する。そして、システム制御部20は、入札履歴が登録されている場合、あるいは、会員ランクがプラチナ、ゴールド又はシルバーである場合には、ユーザが入札ステップへ移行することを許可し、入札ページ(所定段階画面情報の一例)をPC端末2−iに送信する。一方、システム制御部20は、入札履歴が登録されておらず、且つ、会員ランクがレギュラーである場合には、更なる認証を行うため、携帯メールアドレス入力ページ(アドレス入力画面情報の一例)をPC端末2−iに送信する。
【0050】
入札履歴が登録されているということは、これから入札しようとしているユーザが、過去に既に入札が許可されているユーザであるということである。従って、一度入札が許可されたユーザに対しては、その後は更なる認証無くして入札が許可される。また、会員ランクがプラチナ、ゴールド又はシルバーであるユーザは、サービス提供事業者によって提供されるサービスの利用実績が或る程度あり、信用のおけるユーザであるとみなされる。従って、このようなユーザに対しても更なる認証無くして入札が許可される。その一方で、会員ランクがレギュラーであるユーザは、信用のおけるユーザとはみなされていない。そこで、このようなユーザが初めて入札を行おうとする場合には、更なる認証が行われる。なお、入札ステップへの移行を許可するランクとしては、例えば、ゴールド以上としても良いし、プラチナのみとしても良い。
【0051】
システム制御部20は、携帯メールアドレス入力ページに対してユーザが入力した携帯電話機3−iの電子メールアドレス(以下、「携帯メールアドレス」という)がPC端末2−iから送信されてきたとき、これを受信する。そして、システム制御部20は、ワンタイムパスワードとしての暗証番号を生成し、PC端末2−iに対応付けられている会員IDに対応付けてRAM19等に保存する。また、メール送信手段としてのシステム制御部20は、受信した携帯メールアドレス宛てに、認証用URL(所在情報の一例)を記載した電子メール(以下、「認証メール」という)を送信する。この認証用URLは、生成された暗証番号を表示する暗証番号表示ページ(パスワード画面情報の一例)のURL(Uniform Resource Locator)である。この認証用URLには、例えば、PC端末2−iに対応付けられている会員IDが暗号化されて設定されている。更に、システム制御部20は、PC端末2−iに対しては、暗証番号を入力するための暗証番号入力ページを送信する。
【0052】
識別情報取得手段としてのシステム制御部20は、携帯電話機3−iから認証用URLを含む暗証番号表示ページを受信すると、当該リクエストのヘッダからUIDを取得する。
【0053】
パスワード画面情報要求制御手段としてのシステム制御部20は、取得したUIDが全会員の会員情報のうち何れかの会員情報中に既に登録されているか否かを判定する。そして、システム制御部20は、取得したUIDが既に登録されている場合には、エラー表示ページを携帯電話機3−iに送信する。一方、システム制御部20は、取得したUIDが登録されていない場合には、暗証番号表示ページを携帯電話機3−iに送信する。このとき、システム制御部20は、認証用URLから会員IDを復元し、この会員IDに対応する暗証番号を取得する。そして、システム制御部20は、取得した暗証番号を表示する暗証番号表示ページを生成する。また、識別情報登録手段としてのシステム制御部20は、取得したUIDを、復元した会員IDに対応する会員情報中に登録する。
【0054】
UIDが既に登録されているということは、ユーザが今回の認証と同じ携帯電話機3−iを使用して別の会員IDで過去に入札を試みたことがあることを意味している。換言すると、ユーザは、過去に入札を試みた会員IDとは異なる会員IDを使用して今回入札をしようとしているのである。つまり、ユーザは他人になりすまそうというのである。従って、この場合は、入札ステップへの移行が許否され、携帯電話機3−iには、暗証番号は表示されない。
【0055】
システム制御部20は、暗証番号入力ページに対してユーザが入力した暗証番号をPC端末2−iから受信する。そして許可手段としてのシステム制御部20は、受信した暗証番号が、生成し保存しておいた暗証番号と一致する場合には、ユーザが入札ステップへ移行することを許可し、入札ページをPC端末2−iに送信する。
【0056】
[3.オークションシステムの動作]
次に、オークションシステムSの動作について、図5乃至図10を用いて説明する。
【0057】
図5乃至図9は、本実施形態に係るECサーバ1、PC端末2−i及び携帯電話機3−iの処理例を示すフローチャートである。また、図10は、携帯メールアドレス入力ページの画面表示例を示す図である。
【0058】
図5に示すように、PC端末2−iは、オークションページを表示するため、ユーザ操作によりページリクエストをECサーバ1に送信する(ステップS101)。ECサーバ1のシステム制御部20は、ページリクエストを受信すると(ステップS111)、ログインページをPC端末2−iに送信する(ステップS112)。PC端末2−iは、ログインページを受信して、これを画面に表示する(ステップS102)。
【0059】
ここでユーザは、自身が会員登録されている場合には会員ID及びパスワードを入力し、自身が会員登録されていない場合には、会員登録に必要な個人情報(パスワード、氏名、郵便番号、電話番号、電子メールアドレス等)を入力する(ステップS103)。すると、PC端末2−iは、入力された会員ID及びパスワード、又は、個人情報をECサーバ1に送信する(ステップS104)。
【0060】
ECサーバ1のシステム制御部20は、会員ID及びパスワードか、個人情報を受信すると(ステップS113)、受信した情報が会員ID及びパスワードであるか否かを判定する(ステップS114)。このとき、システム制御部20は、受信した情報が個人情報である場合には(ステップS114:NO)、新しい会員IDを発行し、受信した個人情報を会員情報として新しい会員IDに対応付けて会員情報DB101に登録する(ステップS115)。
【0061】
一方、システム制御部20は、受信した情報が会員ID及びパスワードである場合には、この会員ID及びパスワードでユーザ認証を行い、当該認証が成功したか否かを判定する(ステップS116)。このとき、システム制御部20は、ユーザ認証に成功しなかった場合には(ステップS116:NO)、エラー表示ページをPC端末2−iに送信し(ステップS117)、処理を終了させる。
【0062】
システム制御部20は、会員情報を登録した場合(ステップS115)、又は、ユーザ認証に成功した場合には(ステップS116:YES)、発行又は受信した会員IDをセッション管理によってPC端末2−iに対応付け、ログイン後ページをPC端末2−iに送信に送信する(ステップS118)。PC端末2−iは、ログイン後ページを受信して、これを画面に表示する(ステップS105)。ログイン後ページは、例えば、オークションサイトのトップページである。
【0063】
その後、ユーザによる商品の検索操作や選択操作に応じて、ECサーバ1のシステム制御部20は、図6に示すように、選択された商品のオークション商品詳細ページをPC端末2−iに送信に送信する(ステップS211)。PC端末2−iは、オークション商品詳細ページを受信して、これを画面に表示する(ステップS201)。オークション商品詳細ページには、ユーザにより選択された商品の商品名、詳細説明及び画像等が表示される。また、オークション商品詳細ページには、商品の入札に移行するための入札ボタンが表示される。
【0064】
オークション商品詳細ページが表示されている状態で、ユーザが入札ボタンを選択すると(ステップS202)、PC端末2−iは、入札リクエストをECサーバ1に送信する(ステップS203)。ECサーバ1のシステム制御部20は、入札リクエストを受信すると(ステップS212)、オークションDB102から、PC端末2−iに対応付けられている会員IDに対応する入札履歴の取得を試み、入札履歴が登録されているか否かを判定する(ステップS213)。このとき、システム制御部20は、入札履歴が登録されている場合には(ステップS213:YES)、入札ページをPC端末2−iに送信して(ステップS214)、図9を用いて後述するステップS514に移行する。
【0065】
一方、システム制御部20は、入札履歴が登録されていない場合には(ステップS213:NO)、PC端末2−iに対応付けられている会員IDに対応する会員情報から会員ランクを取得し、当該会員ランクがプラチナ、ゴールド又はシルバーであるか否かを判定する(ステップS215)。このとき、システム制御部20は、会員ランクがプラチナ、ゴールド又はシルバーである場合には(ステップS215:YES)、入札ページをPC端末2−iに送信する(ステップS214)。
【0066】
一方、システム制御部20は、会員IDがレギュラーである場合には(ステップS215:NO)、携帯メールアドレス入力ページをPC端末2−iに送信する(ステップS216)。PC端末2−iは、携帯メールアドレス入力ページを受信して、これを画面に表示する(ステップ204)。
【0067】
図10に示すように、携帯メールアドレス入力ページには、説明文201、ユーザ名入力欄202、ドメイン選択メニュー203及び次ボタン204等が表示される。説明文201には、オークションで初めて入札する場合に、ユーザが所有する携帯電話機3−iを確認する必要正等の説明が記載される。ユーザ名入力欄202は、携帯メールアドレスのユーザ名部分を入力するための入力欄である。また、ドメイン選択メニュー203は、携帯メールアドレスのドメイン名部分を選択するためのプルダウンメニューである。このドメイン選択メニュー203が存在することにより、携帯電話機3−iに対して付与された電子メールアドレスのみをユーザに入力されることができる。
【0068】
ここで、ユーザが、ユーザ名部分を入力しドメイン名部分を選択することによって携帯メールアドレスの入力を行い、次ボタン204を選択すると(ステップS205)、PC端末2−iは、入力された携帯メールアドレスをECサーバ1に送信する(ステップS206)。
【0069】
ECサーバ1のシステム制御部20は、携帯メールアドレスを受信すると(ステップS217)、図7に示すように、暗証番号を生成し、これをPC端末2−iに対応付けられている会員IDに対応付けてRAM19に保存する(ステップS311)。次いで、システム制御部20は、認証用URLを生成する(ステップS312)。このとき、システム制御部20は、PC端末2−iに対応付けられている会員IDを暗号化し、暗号化した会員IDを、認証用URLの文字列の一部として当該認証用URLに含める。次いで、システム制御部20は、生成した認証用URLを本文中に埋め込んだ認証メールを生成し、この認証メールを、受信した携帯メールアドレス宛てに送信する(ステップS313)。次いで、システム制御部20は、暗証番号入力ページをPC端末2−iに送信する(ステップS314)。
【0070】
PC端末2−iは、暗証番号入力ページを受信し、これを画面に表示する(ステップS301)。一方、携帯電話機3−iは、ユーザ操作に基づいて所定のサーバ装置から認証メールを受信する(ステップS321)。そして、ユーザが認証メールの本文に記載された認証用URLを選択すると(ステップS322)、携帯電話機3−iは、選択された認証用URLをリクエストヘッダに含む暗証番号表示ページリクエストをECサーバ1に送信する(ステップS323)。
【0071】
ECサーバ1のシステム制御部20は、暗証番号表示ページリクエストを受信すると、これに含まれる認証用URLから会員IDを復元し、これによって認証メールの送信時期を特定する(ステップS316)。次いで、システム制御部20は、認証メールの送信から一定時間内に暗証番号表示ページリクエストを受信したか否かを判定する(ステップS317)。このとき、システム制御部20は、認証メールの送信から一定時間を超えて暗証番号表示ページリクエストを受信した場合には(ステップS317:NO)、エラー表示ページを携帯電話機3−iに送信し(ステップS318)、処理を終了させる。一定時間を超えて暗証番号表示ページがリクエストされた場合には、第3者が認証用URLを盗みこれを使用した場合が考えられる。そこで、第3者による不正入札を防止するため、暗証番号表示ページリクエストの受信は一定時間内に限られている。
【0072】
一方、システム制御部20は、認証メールの送信から一定時間内に暗証番号表示ページリクエストを受信した場合には(ステップS317:YES)、図8に示すように、暗証番号表示ページリクエストのリクエストヘッダから携帯電話機3−iのUIDを取得する(ステップS411)。次いで、システム制御部20は、取得したUIDが全会員の会員情報の何れかの会員情報中に既に登録されているか否かを判定する(ステップS412)。このとき、システム制御部20は、取得したUIDが既に登録されている場合には(ステップS412:YES)、エラー表示ページを携帯電話機3−iに送信し(ステップS413)、処理を終了させる。
【0073】
一方、システム制御部20は、取得したUIDが登録されていない場合には(ステップS412:NO)、このUIDを、復元した会員IDに対応する会員情報中に登録する(ステップS414)。次いで、システム制御部20は、復元した会員IDに対応する暗証番号をRAM19から取得し、この暗証番号を表示する暗証番号表示ページを生成してこれを携帯電話機3−iに送信する(ステップS415)。なお、暗証番号の生成はこの時点で行われるようにしても良い。携帯電話機3−iは、暗証番号表示ページを受信し、これを画面に表示する(ステップ421)。PC端末2−iの画面には、暗証番号入力ページが表示されているので、ユーザが、携帯電話機3−iの画面に表示されている暗証番号を暗証番号入力ページに入力すると(ステップS401)、PC端末2−iは、入力された暗証番号をECサーバ1に送信する(ステップS402)。
【0074】
暗証番号を受信したECサーバ1のシステム制御部20は、暗証番号表示ページの送信から一定時間内に暗証番号を受信したか否かを判定する(ステップS417)。このとき、システム制御部20は、暗証番号表示ページの送信から一定時間を超えて暗証番号を受信した倍には(ステップS417:NO)、エラー表示ページをPC端末2−iに送信し(ステップS418)、処理を終了させる。一定時間を超えてパスワードが入力された場合には、第3者が暗証番号を盗みこれを使用した場合が考えられる。そこで、第3者による不正入札を防止するため、暗証番号の受信は一定時間内に限られている。
【0075】
一方、システム制御部20は、暗証番号表示ページの送信から一定時間内に暗証番号を受信した場合には(ステップS417:YES)、図9に示すように、受信した暗証番号は正しい暗証番号であるか否かを判定する(ステップS511)。つまり、システム制御部20は、PC端末2−iに対応付けられている会員IDにより、RAM19保存されている暗証番号を特定し、受信した暗証番号が、保存されている暗証番号と一致するか否かを判定する。このとき、システム制御部20は、暗証番号が正しくない場合には(ステップS511:NO)、エラー表示ページをPC端末2−iに送信して(ステップS512)、処理を終了させる。
【0076】
一方、システム制御部20は、暗証番号が正しい場合には(ステップS512:YES)、入札ページをPC端末2−iに送信する(ステップS513)。PC端末2−iは、入札ページを受信し、これを画面に表示させる(ステップS501)。入札ページには、現在の入札額の最高額、入札金額を入力するための入力欄及び入札ボタン等が表示される。
【0077】
ここで、ユーザが、入札金額を入力して入札ボタンを選択すると(ステップS502)、PC端末2−iは、入力された入札金額をECサーバ1に送信する(ステップS503)。ECサーバ1のシステム制御部20は、入札金額を受信すると(ステップS514)、この入札金額、PC端末2−iに対応付けられている会員ID、ユーザにより選択された商品のオークションID等の情報に基づいて入札履歴を生成し、この入札履歴をオークションDB102に登録する(ステップS515)。これによって入札ステップが完了する。なお、UIDの登録はこの時点で行われるようにしても良い。
【0078】
以上説明したように、本実施形態によれば、ECサーバ1のシステム制御部20が、ユーザにより入札ボタンが選択されたことによりPC端末2−iから送信されてきた入札リクエストが受信された場合に、当該PC端末2−iに対応付けられた会員ランク及び入札履歴を取得し、この会員ランク又は入札履歴が所定の条件を満たす場合には、入札ページをPC端末2−iに送信し、所定の条件を満たさない場合には、携帯メールアドレス入力ページをPC端末2−iに送信し、PC端末2−iから携帯メールアドレスが受信された場合に、当該携帯メールアドレス宛てに、認証用URLが記載された認証メールを送信し、携帯電話機3−iから認証用URLを含む暗証番号表示ページリクエストが受信された場合に、当該携帯電話機3−iに割り当てられたUIDを取得し、当該UIDが登録されていない場合には、暗証番号表示ページを携帯電話機3−iに送信し、当該UIDが登録されている場合には、エラー表示ページを携帯電話機3−iに送信し、取得したUIDを登録し、生成したパスワードと同一のパスワードがPC端末2−iから受信された場合には、入札ページを当該PC端末2−iに送信する。
【0079】
従って、携帯電話機3−iのUIDによりユーザを一意に認識することができるので、過去に入札ステップへの移行を試みたユーザがそのときとは別人になりすまして今回入札ステップに移行しようとしていることを判断することができる。よって、ユーザが出品者とは他人になりすまして入札することを防止することができる。
【0080】
また、ECサーバ1のシステム制御部20が、既に入札履歴が登録されているユーザに対しては、入札ステップへ移行することを許可するので、携帯電話機3−iを利用した認証を省略することができ、入札ステップへスムーズに移行することができる。
【0081】
また、ECサーバ1のシステム制御部20が、認証メールを送信してから一定時間が経過した後に暗証番号表示ページリクエストを受信しても、暗証番号表示ページリクエストを送信しないので、第3者による不正入札を防止することができる。
【0082】
また、ECサーバ1のシステム制御部20が、暗証番号表示ページを送信してから一定時間が経過した後に暗証番号が入力されても、入札ページを送信しないので、第3者による不正入札を防止することができる。
【0083】
なお、上記実施形態においては、ネットオークションにおいて入札ステップに移行する場合に本発明を適用したが、本発明の適用はこのケースに限られるものではない。本発明は、ユーザが他人になりすましてシステムを利用し得る様々なケースに対して適用することができる。
【符号の説明】
【0084】
1 ECサーバ
2―i PC端末
3−i 携帯電話機
11 操作部
12 表示部
13 通信部
14 ドライブ部
15 記憶部
16 入出力インタフェース部
17 CPU
18 ROM
19 RAM
20 システム制御部
21 システムバス
101 会員情報DB
102 オークションDB
NW ネットワーク
S オークションシステム
【特許請求の範囲】
【請求項1】
所定の段階へ移行させる操作により前記端末装置から送信されてきた移行の要求を示す移行要求情報が受信された場合に、当該端末装置に対応する登録情報を取得する登録情報取得手段と、
前記取得された登録情報が所定の条件を満たすか否かを判定し、前記所定の条件を満たす場合には、前記所定の段階に移行したことにより表示される画面を構成する所定段階画面情報を前記端末装置に送信し、前記所定の条件を満たさない場合には、携帯通信端末装置の電子メールアドレスである携帯アドレスを入力するための画面を構成するアドレス入力画面情報を前記端末装置に送信する移行要求制御手段と、
前記端末装置から前記携帯アドレスが受信された場合に、当該携帯アドレス宛てに、パスワードを表示する画面を構成するパスワード画面情報の所在を示す所在情報が記載された電子メールを送信するメール送信手段と、
前記携帯通信端末装置から前記所在情報に対応する前記パスワード画面情報の要求を示すパスワード画面情報要求情報が受信された場合に、前記携帯通信端末装置に対して固有に割り当てられた識別情報を取得する識別情報取得手段と、
前記取得された識別情報と同一の識別情報が登録されているか否かを判定し、登録されていない場合には、前記パスワード表示画面情報を前記携帯通信端末装置に送信し、登録されている場合には、前記所定の段階への移行を許否するパスワード画面情報要求制御手段と、
前記取得された識別情報を登録する識別情報登録手段と、
前記送信されたパスワード表示画面情報に基づいて表示されるパスワードと同一のパスワードが前記端末装置から受信された場合に、前記所定の段階への移行を許可する許可手段と、
を備えることを特徴とするサーバシステム。
【請求項2】
請求項1に記載のサーバシステムにおいて、
前記登録情報は、前記所定の段階の完了を条件として当該サーバシステムにより登録される情報であり、
前記登録情報が前記端末装置に対応付けられて登録されていることを前記所定の条件としたことを特徴とするサーバシステム。
【請求項3】
請求項1又は請求項2に記載のサーバシステムにおいて、
前記パスワード画面情報要求制御手段は、前記電子メールが送信されてから所定時間が経過した後に前記パスワード画面情報要求情報が受信された場合には、前記パスワード画面情報の送信を禁止することを特徴とするサーバシステム。
【請求項4】
請求項1乃至3の何れか1項に記載のサーバシステムにおいて、
前記許可手段は、前記パスワード画面情報が送信されてから所定時間が経過した後にパスワードが受信された場合には、前記所定の段階への移行を許否することを特徴とするサーバシステム。
【請求項5】
コンピュータを、
所定の段階に対応する画面が端末装置により表示されている状態でそれに所定の段階へ移行させる操作により前記端末装置から送信されてきた移行の要求を示す移行要求情報が受信された場合に、前記端末装置に対応する登録情報を取得する登録情報取得手段、
前記取得された登録情報が所定の条件を満たすか否かを判定し、前記所定の条件を満たす場合には、前記所定の段階に移行したことにより表示される画面を構成する所定段階画面情報を前記端末装置に送信し、前記所定の条件を満たさない場合には、携帯通信端末装置の電子メールアドレスである携帯アドレスを入力するための画面を構成するアドレス入力画面情報を前記端末装置に送信する移行要求制御手段、
前記端末装置から前記携帯アドレスが受信された場合に、当該携帯アドレス宛てに、パスワードを表示する画面を構成するパスワード画面情報の所在を示す所在情報が記載された電子メールを送信するメール送信手段、
前記携帯通信端末装置から前記所在情報に対応する前記パスワード画面情報の要求を示すパスワード画面情報要求情報が受信された場合に、前記携帯通信端末装置に対して固有に割り当てられた識別情報を取得する識別情報取得手段、
前記取得された識別情報と同一の識別情報が登録されているか否かを判定し、登録されていない場合には、前記パスワード表示画面情報を前記携帯通信端末装置に送信し、登録されている場合には、前記所定の段階への移行を許否するパスワード画面情報要求制御手段、
前記取得された識別情報を登録する識別情報登録手段、及び、
前記送信されたパスワード表示画面情報に基づいて表示されるパスワードと同一のパスワードが前記端末装置から受信された場合に、前記所定の段階への移行を許可する許可手段、
として機能させることを特徴とする認証処理プログラム。
【請求項6】
所定の段階に対応する画面が端末装置により表示されている状態でそれに所定の段階へ移行させる操作により前記端末装置から送信されてきた移行の要求を示す移行要求情報が受信された場合に、前記端末装置に対応する登録情報を取得する登録情報取得工程と、
前記取得された登録情報が所定の条件を満たすか否かを判定し、前記所定の条件を満たす場合には、前記所定の段階に移行したことにより表示される画面を構成する所定段階画面情報を前記端末装置に送信し、前記所定の条件を満たさない場合には、携帯通信端末装置の電子メールアドレスである携帯アドレスを入力するための画面を構成するアドレス入力画面情報を前記端末装置に送信する移行要求制御工程と、
前記端末装置から前記携帯アドレスが受信された場合に、当該携帯アドレス宛てに、パスワードを表示する画面を構成するパスワード画面情報の所在を示す所在情報が記載された電子メールを送信するメール送信工程と、
前記携帯通信端末装置から前記所在情報に対応する前記パスワード画面情報の要求を示すパスワード画面情報要求情報が受信された場合に、前記携帯通信端末装置に対して固有に割り当てられた識別情報を取得する識別情報取得工程と、
前記取得された識別情報と同一の識別情報が登録されているか否かを判定し、登録されていない場合には、前記パスワード表示画面情報を前記携帯通信端末装置に送信し、登録されている場合には、前記所定の段階への移行を許否するパスワード画面情報要求制御工程と、
前記取得された識別情報を登録する識別情報登録工程と、
前記送信されたパスワード表示画面情報に基づいて表示されるパスワードと同一のパスワードが前記端末装置から受信された場合に、前記所定の段階への移行を許可する許可工程と、
を有することを特徴とする認証方法。
【請求項1】
所定の段階へ移行させる操作により前記端末装置から送信されてきた移行の要求を示す移行要求情報が受信された場合に、当該端末装置に対応する登録情報を取得する登録情報取得手段と、
前記取得された登録情報が所定の条件を満たすか否かを判定し、前記所定の条件を満たす場合には、前記所定の段階に移行したことにより表示される画面を構成する所定段階画面情報を前記端末装置に送信し、前記所定の条件を満たさない場合には、携帯通信端末装置の電子メールアドレスである携帯アドレスを入力するための画面を構成するアドレス入力画面情報を前記端末装置に送信する移行要求制御手段と、
前記端末装置から前記携帯アドレスが受信された場合に、当該携帯アドレス宛てに、パスワードを表示する画面を構成するパスワード画面情報の所在を示す所在情報が記載された電子メールを送信するメール送信手段と、
前記携帯通信端末装置から前記所在情報に対応する前記パスワード画面情報の要求を示すパスワード画面情報要求情報が受信された場合に、前記携帯通信端末装置に対して固有に割り当てられた識別情報を取得する識別情報取得手段と、
前記取得された識別情報と同一の識別情報が登録されているか否かを判定し、登録されていない場合には、前記パスワード表示画面情報を前記携帯通信端末装置に送信し、登録されている場合には、前記所定の段階への移行を許否するパスワード画面情報要求制御手段と、
前記取得された識別情報を登録する識別情報登録手段と、
前記送信されたパスワード表示画面情報に基づいて表示されるパスワードと同一のパスワードが前記端末装置から受信された場合に、前記所定の段階への移行を許可する許可手段と、
を備えることを特徴とするサーバシステム。
【請求項2】
請求項1に記載のサーバシステムにおいて、
前記登録情報は、前記所定の段階の完了を条件として当該サーバシステムにより登録される情報であり、
前記登録情報が前記端末装置に対応付けられて登録されていることを前記所定の条件としたことを特徴とするサーバシステム。
【請求項3】
請求項1又は請求項2に記載のサーバシステムにおいて、
前記パスワード画面情報要求制御手段は、前記電子メールが送信されてから所定時間が経過した後に前記パスワード画面情報要求情報が受信された場合には、前記パスワード画面情報の送信を禁止することを特徴とするサーバシステム。
【請求項4】
請求項1乃至3の何れか1項に記載のサーバシステムにおいて、
前記許可手段は、前記パスワード画面情報が送信されてから所定時間が経過した後にパスワードが受信された場合には、前記所定の段階への移行を許否することを特徴とするサーバシステム。
【請求項5】
コンピュータを、
所定の段階に対応する画面が端末装置により表示されている状態でそれに所定の段階へ移行させる操作により前記端末装置から送信されてきた移行の要求を示す移行要求情報が受信された場合に、前記端末装置に対応する登録情報を取得する登録情報取得手段、
前記取得された登録情報が所定の条件を満たすか否かを判定し、前記所定の条件を満たす場合には、前記所定の段階に移行したことにより表示される画面を構成する所定段階画面情報を前記端末装置に送信し、前記所定の条件を満たさない場合には、携帯通信端末装置の電子メールアドレスである携帯アドレスを入力するための画面を構成するアドレス入力画面情報を前記端末装置に送信する移行要求制御手段、
前記端末装置から前記携帯アドレスが受信された場合に、当該携帯アドレス宛てに、パスワードを表示する画面を構成するパスワード画面情報の所在を示す所在情報が記載された電子メールを送信するメール送信手段、
前記携帯通信端末装置から前記所在情報に対応する前記パスワード画面情報の要求を示すパスワード画面情報要求情報が受信された場合に、前記携帯通信端末装置に対して固有に割り当てられた識別情報を取得する識別情報取得手段、
前記取得された識別情報と同一の識別情報が登録されているか否かを判定し、登録されていない場合には、前記パスワード表示画面情報を前記携帯通信端末装置に送信し、登録されている場合には、前記所定の段階への移行を許否するパスワード画面情報要求制御手段、
前記取得された識別情報を登録する識別情報登録手段、及び、
前記送信されたパスワード表示画面情報に基づいて表示されるパスワードと同一のパスワードが前記端末装置から受信された場合に、前記所定の段階への移行を許可する許可手段、
として機能させることを特徴とする認証処理プログラム。
【請求項6】
所定の段階に対応する画面が端末装置により表示されている状態でそれに所定の段階へ移行させる操作により前記端末装置から送信されてきた移行の要求を示す移行要求情報が受信された場合に、前記端末装置に対応する登録情報を取得する登録情報取得工程と、
前記取得された登録情報が所定の条件を満たすか否かを判定し、前記所定の条件を満たす場合には、前記所定の段階に移行したことにより表示される画面を構成する所定段階画面情報を前記端末装置に送信し、前記所定の条件を満たさない場合には、携帯通信端末装置の電子メールアドレスである携帯アドレスを入力するための画面を構成するアドレス入力画面情報を前記端末装置に送信する移行要求制御工程と、
前記端末装置から前記携帯アドレスが受信された場合に、当該携帯アドレス宛てに、パスワードを表示する画面を構成するパスワード画面情報の所在を示す所在情報が記載された電子メールを送信するメール送信工程と、
前記携帯通信端末装置から前記所在情報に対応する前記パスワード画面情報の要求を示すパスワード画面情報要求情報が受信された場合に、前記携帯通信端末装置に対して固有に割り当てられた識別情報を取得する識別情報取得工程と、
前記取得された識別情報と同一の識別情報が登録されているか否かを判定し、登録されていない場合には、前記パスワード表示画面情報を前記携帯通信端末装置に送信し、登録されている場合には、前記所定の段階への移行を許否するパスワード画面情報要求制御工程と、
前記取得された識別情報を登録する識別情報登録工程と、
前記送信されたパスワード表示画面情報に基づいて表示されるパスワードと同一のパスワードが前記端末装置から受信された場合に、前記所定の段階への移行を許可する許可工程と、
を有することを特徴とする認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2010−244250(P2010−244250A)
【公開日】平成22年10月28日(2010.10.28)
【国際特許分類】
【出願番号】特願2009−91270(P2009−91270)
【出願日】平成21年4月3日(2009.4.3)
【出願人】(399037405)楽天株式会社 (416)
【Fターム(参考)】
【公開日】平成22年10月28日(2010.10.28)
【国際特許分類】
【出願日】平成21年4月3日(2009.4.3)
【出願人】(399037405)楽天株式会社 (416)
【Fターム(参考)】
[ Back to top ]