ネットバンキングにおける認証システム及び方法
【課題】ネットバンキングの決済処理における顧客の利便性を確保しつつ、セキュリティの向上を図る。
【解決手段】ログイン後の画面からワンタイムパスワードの発行要求を行うとともに、発行されたワンタイムパスワードの通知先を携帯メール、携帯電話(音声)、固定電話の3つのうちから選んで指定可能とする。
【解決手段】ログイン後の画面からワンタイムパスワードの発行要求を行うとともに、発行されたワンタイムパスワードの通知先を携帯メール、携帯電話(音声)、固定電話の3つのうちから選んで指定可能とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネット等を利用したネットバンキングにおける認証システム及び方法に関するものであり、特に、振込み等の実行時に入力される決済用パスワード(第2暗証番号)の発行の仕方に特徴を有するものである。
【背景技術】
【0002】
従来、通信ネットワークを用いた銀行取引システム、特に、インターネットを用いたネットバンキングシステムのように、資金移動を伴う取引システムにおいては、取引の安全を確保するために、取引(例えば振込み)依頼のデータを送信した者が本人であるか否かを確認するための本人認証方法が重要な課題となっている。
例えば、インターネットを用いたネットバンキングシステムにおいては、顧客が銀行等の金融機関のホームページにアクセスし、ネットバンキング取引を選択すると、ログイン画面(図4参照)が表示され、顧客が予め決められた顧客IDとログインパスワードを入力し、ログインボタンを押すと、予め登録されている情報との照合が行われ、一致すると本人であるとみなして次のステップに進むことを許可するようになっている。
【0003】
しかしながら、顧客IDとログインパスワードによる認証のみでは、例えば、本人がログイン後に端末(パソコン)から離れたりした隙に他人が勝手に自分の口座に振込みをしてしまうおそれもある。また、通信途中で顧客IDやパスワードが盗み見られる危険性もあり、ログイン後に資金移動処理(振込みや振替え等の処理)を行う際は、改めて決済用パスワード(ATM等で入力する暗証番号に対して、第2暗証番号と呼ばれる場合がある。)の入力を求める運用が一般的になされている。この決済用パスワードは複雑なものである必要があるため、銀行によっては予めカード等に印刷して顧客に配布しているところもある。この決済用パスワードを複雑にしてカードに印刷したものが提案されている(例えば特許文献1参照)。しかしながら、いくら複雑にしたとしても、このカードを紛失したり、また処理時に携帯していなかったりすると、決済処理を行うことができないという問題がある。また、盗難等によって他人に悪用されるおそれも否定できない。
【0004】
また、上記のようなカードを用いずに、最初のログインの段階で、本人にしか入手できないワンタイムパスワードを用いてログインを行わせる方法が提案されている(例えば特許文献2参照)。これは、ログインする前に、まず自分の携帯電話から認証データベースに対してワンタイムパスワードの発行依頼を行い、携帯電話に送られてきたワンタイムパスワードをパソコンに表示されているログイン画面から入力することによって本人認証を行うものである。
【0005】
しかしながら、ログインの度にワンタイムパスワードを入力する方法だと、例えば資金移動を伴わないような処理(残高確認、入金確認、取引履歴確認など)のみを行うような場合にまで、その都度携帯電話からワンタイムパスワードを請求して入力しなければならなくなり、顧客にとっては大変煩わしいことになる。
【特許文献1】特開平9−305541号公報
【特許文献2】特開2004−240637号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
これに対して、ログイン時は顧客IDと通常の固定パスワードのみで認証を行い、決済処理時にのみ別の決済用パスワードを入力させるようにすれば、上記のような煩わしさはなくなるとともに、セキュリティも確保される。
本発明はかかる事情に鑑みなされたものであり、本発明はネットバンキングの決済処理における顧客の利便性を確保しつつ、セキュリティの向上を図るためのネットバンキングにおける認証システム及び方法を提供することを目的とするものである。
【課題を解決するための手段】
【0007】
本発明は、インターネットを利用して、振込等の決済処理を行うネットバンキングにおける認証システムに関し、本発明の上記目的は、
前記インターネットに接続され、前記ネットバンキングを運営する金融機関のサーバーと、該サーバーに接続され、少なくとも、顧客の携帯電話番号、固定電話番号、携帯メールアドレス、顧客ID、ログイン用パスワードが記憶されている顧客情報データベースと、前記インターネットを介して前記サーバーにアクセス可能な前記顧客の端末とを含み、
前記サーバーは、前記端末から入力された顧客ID及びログイン用パスワードが前記顧客データベースに記憶されている顧客ID及びログイン用パスワードと一致するか否かをチェックし、一致した場合はログインを許可する第1の認証手段と、前記ログイン後に前記端末から送信された決済処理用のワンタイムパスワード発行要求信号を受信してワンタイムパスワードを発行し、前記顧客IDと関連付けて前記顧客情報データベースに格納すると共に、前記端末にて指定された通知先に前記発行したワンタイムパスワードを送信するワンタイムパスワード発行手段と、前記指定された宛先に送信されたワンタイムパスワードを受信した顧客によって前記端末から入力されたワンタイムパスワードを受信して、前記顧客情報データベースに記憶されている前記ワンタイムパスワードと一致するか否かをチェックし、一致した場合に前記決済処理の実行を許可するとともに前記顧客情報データベース内にある前記ワンタイムパスワードを無効化する第2の認証手段とを備えるものであり、
前記ワンタイムパスワード発行手段は、前記顧客が前記端末にて指定する通知先を、前記顧客の携帯メールアドレス、携帯電話、または固定電話のいずれかから選択可能なように構成されていることを特徴とするネットバンキングにおける認証システムによって達成される。
【0008】
また、本発明の上記目的は、前記第2の認証手段が、所定時間内に前記端末からワンタイムパスワードが送信されなかった場合に、前記顧客情報データベース内にあるワンタイムパスワードを無効化することによって効果的に達成される。
【0009】
さらに、本発明は、インターネットに接続されたネットバンキングを運営する金融機関のサーバーと、該サーバーに接続され、少なくとも、顧客の携帯電話番号、固定電話番号、携帯メールアドレス、顧客ID、ログイン用パスワードが記憶されている顧客情報データベースと、前記インターネットを介して前記サーバーにアクセス可能な前記顧客の端末とを含む、インターネットを利用して振込等の決済処理を行うネットバンキングシステムにおける認証方法に関し、本発明の上記目的は、
前記サーバーが、前記端末から入力された顧客ID及びログイン用パスワードが前記顧客データベースに記憶されている顧客ID及びログイン用パスワードと一致するか否かをチェックし、一致した場合はログインを許可する第1の認証ステップと、
前記ログイン許可後に前記端末から送信された決済処理用のワンタイムパスワード発行要求信号を受信してワンタイムパスワードを発行し、前記顧客IDと関連付けて前記顧客情報データベースに格納すると共に、前記端末にて指定された通知先に前記発行したワンタイムパスワードを送信するワンタイムパスワード発行ステップと、
前記指定された宛先に送信されたワンタイムパスワードを受信した顧客によって前記端末から入力されたワンタイムパスワードを受信して、前記顧客情報データベースに記憶されている前記ワンタイムパスワードと一致するか否かをチェックし、一致した場合に前記決済処理の実行を許可するとともに前記顧客情報データベース内にある前記ワンタイムパスワードを無効化する第2の認証ステップとを備えるものであり、
前記顧客が前記端末にて指定する通知先が、前記顧客の携帯メールアドレス、携帯電話、または固定電話のいずれかから選択可能なように構成されていることを特徴とするネットバンキングにおける認証方法によって達成される。
【発明の効果】
【0010】
本発明に係るネットバンキングにおける認証システム又は方法によれば、顧客がログインした後の決済処理画面から通知先を選択指定した上で決済用ワンタイムパスワードの発行を要求できるので、ワンタイムパスワードが確実に本人にのみ通知されるとともに、ワンタイムパスワードの入力/認証を条件として決済処理が行われるので、ネットバンキングにおけるセキュリティ性がさらに向上する。
【発明を実施するための最良の形態】
【0011】
本発明に係るネットバンキングにおける認証システム及び方法の実施の形態について、図面を参照して詳細に説明する。
【0012】
図1は本発明に係るネットバンキングにおける認証システムの構成例を示す概略図である。図1において、顧客がネットバンキングを行うための端末1と、ネットバンキングのアプリケーションが格納され顧客にネットバンキングサービスを提供する金融機関の運営するサーバー2と、サーバー2に接続され顧客情報が格納された顧客情報データベース3とがインターネット4等の通信ネットワークを介して相互に通信可能に接続されている。
また、サーバー2とインターネット4を介して接続されている携帯電話通信システム5によって携帯電話6とサーバー2の通信が可能になっている。さらに、サーバー2にはIVR(Interactive Voice Response)サーバー7、すなわち、対話型音声応答を行うサーバーが接続されており、サーバー2からのデータを音声信号に変換して電話局8を通じて携帯電話6又は固定電話(加入電話ともいう。)9に送信するものである。
【0013】
図2は、サーバー2及び顧客情報データベース3の構成を示すブロック図である。サーバー2は、顧客が端末1のログイン画面(図4)から入力した顧客ID(お客様番号)とログインパスワード(PW)が顧客情報データベース3に記憶されている顧客ID及びログインPWと一致するか否かをチェックする第1認証手段と、認証OKでログイン後の処理メニュー画面(図5)からパスワード発行依頼を受けてワンタイムパスワード(OTP)を発行し、指定された通知先にOTPを送信するとともに、そのOTPを顧客IDと関連付けて顧客情報データベース3に登録するOTP発行手段と、顧客の指定した通知先に通知されたOTPが顧客によって端末1の決済用画面(図8)から入力されて送信されたときに、それを受信して顧客情報データベース3内にある決済OTPと比較し、一致するか否かをチェックし、一致する場合に決済処理を許可する第2認証手段と、第2認証手段からの決済処理許可を受けて、振込処理実行を行う決済手段とを備えている。なお、決済手段は必ずしもこのサーバーにある必要はなく、外部のホストコンピュータに設けてもよい。
また、ネットバンキング用のアプリケーションプログラムを記憶しているアプリケーション記憶部も備えている。OTP発行手段で発行されたOTPは通信I/Fを介して電子メールにて顧客の携帯メールに送信されるか、IVRサーバー7を介して音声信号として携帯電話か固定電話に送信される。
これらの各手段等は制御部(CPU,ROM、RAMを有する)によって制御される。
なお、本実施形態において、認証手段をその機能の違いから2つに分けているが、一つの認証手段で2つの機能を持たせるようにしてもよいことは言うまでもない。
【0014】
顧客情報データベース3には発行されたOTPを通知するための通知先の携帯メールアドレス、携帯電話番号及び固定電話番号が顧客IDと関連付けられて記憶されている。また、その他にネットバンキングのユーザー登録の際に入力した住所、氏名、年齢、職業などの属性情報も記憶されている。
【0015】
上述の構成において、本発明に係るネットバンキングにおける認証システムの動作の流れについて、図3のフローチャートに基づいて説明する。
顧客は、端末1からインターネットを経由してサーバー2にアクセスし、ネットバンキングのログイン画面(図4)を表示させ、顧客ID(お客様番号)及びログインパスワードを入力し、ログインボタンをクリックする(ステップS1)。入力されたIDとログインパスワードはサーバーに送信され、第1の認証手段において認証が行われる(ステップS2)。
【0016】
認証がOKになると、端末1の画面には図5のメインメニュー画面が表示される。ここで、顧客が資金移動を伴う処理メニュー(例えば振込み)を選択すると、図6の画面が表示され、決済処理(振込)用のOTPが必要になることを顧客に告知する。そこで、顧客が図6の画面で「パスワード発行依頼」のタブメニューをクリックすると、図7のパスワード発行依頼画面が表示されるので、顧客が希望する通知先を選択して送信ボタンをクリックすると(ステップS3)、IDとOTP発行要求信号がサーバー2に送られる(ステップS4)。
【0017】
次に、サーバー2のOTP発行手段がOTPを生成するとともに、そのOTPをIDと関連付けて顧客情報データベース3に登録する(ステップS5)。
発行されたOTPは顧客の希望する通知先に通知される(ステップS6)。その際、顧客IDを手掛かりとして顧客情報データベース内の携帯メールアドレス等が検索される。
【0018】
顧客は図6の振込み画面に戻り、振込先金融機関名、口座番号、振込金額等を入力し、「次へ」ボタンをクリックすると、図8の確認画面が表示されるので、既に受信してあるOTPをキーボードから入力し、振込実行ボタンを押す(ステップS7)。すると、サーバー2にIDと入力されたOTPが送信され、第2の認証手段が顧客情報データベース3に登録されているOTPと照合を行い(ステップS8)、一致すれば振込処理実行を許可するとともに、結果を顧客画面(図9)に表示する(ステップS10)。もし、一致しない場合は入力ミスが考えられるので、再入力を促すメッセージを表示し(図示せず)、顧客はステップS7に戻ってOTPを再入力する。2回以上連続して一致しない場合、システムはセキュリティを考慮し、再度パスワード発行依頼を求める図6の画面に戻るように処理する。
【0019】
正常に振込処理が終了すると(すなわち第2認証手段における認証がOKの場合)、第2認証手段は顧客データベース内のOTPを無効化する(ステップS11)。これによってOTPは一度しか使用できなくなる。また、OTPの通知から所定の時間内(例えば5分以内)に第2認証手段において認証が行われなかった場合には自動的に顧客情報データベース3内のOTPを無効化するようにしてもよい。振込を中止する場合もあることを考慮し、使用されないOTPを残しておく必要がないからである。
【0020】
なお、携帯電話においてはインターネットを使った電子メールのほかに、また、携帯電話やPHS間でごく短い文字メッセージ(メール)をやりとりする、ショートメッセージサービス(SMS)も広義の電子メールに含まれる。多くの携帯電話事業者が、他の事業者へのSMSのゲートウェイを持っており、外国の事業者も含めた他の事業者の携帯電話へもメッセージをやりとりできるようになっている。事業者によってはインターネットへのメールの送受信も可能になっている。
従って、本発明における携帯メールアドレスとは、インターネットを使った電子メールのメールアドレスに限らず、SMSを利用したメールアドレスを含むものを意味する。
【図面の簡単な説明】
【0021】
【図1】本発明に係るネットバンキングにおける認証システムの構成例を示す概略図である。
【図2】サーバー及び顧客情報データベースの構成を示すブロック図である。
【図3】本発明に係るネットバンキングにおける認証システムの動作の流れを示すフローチャートの一例である。
【図4】ログイン画面の一例である。
【図5】ネットバンキングのメインメニュー画面の一例である。
【図6】ネットバンキングの振込み画面の一例である。
【図7】パスワード発行依頼画面の一例である。
【図8】ワンタイムパスワードの入力画面の一例である。
【図9】振込完了報知画面の一例である。
【符号の説明】
【0022】
1 顧客の端末
2 サーバー
3 顧客情報データベース
4 インターネット
6 携帯電話
7 IVRサーバー
9 固定電話
【技術分野】
【0001】
本発明は、インターネット等を利用したネットバンキングにおける認証システム及び方法に関するものであり、特に、振込み等の実行時に入力される決済用パスワード(第2暗証番号)の発行の仕方に特徴を有するものである。
【背景技術】
【0002】
従来、通信ネットワークを用いた銀行取引システム、特に、インターネットを用いたネットバンキングシステムのように、資金移動を伴う取引システムにおいては、取引の安全を確保するために、取引(例えば振込み)依頼のデータを送信した者が本人であるか否かを確認するための本人認証方法が重要な課題となっている。
例えば、インターネットを用いたネットバンキングシステムにおいては、顧客が銀行等の金融機関のホームページにアクセスし、ネットバンキング取引を選択すると、ログイン画面(図4参照)が表示され、顧客が予め決められた顧客IDとログインパスワードを入力し、ログインボタンを押すと、予め登録されている情報との照合が行われ、一致すると本人であるとみなして次のステップに進むことを許可するようになっている。
【0003】
しかしながら、顧客IDとログインパスワードによる認証のみでは、例えば、本人がログイン後に端末(パソコン)から離れたりした隙に他人が勝手に自分の口座に振込みをしてしまうおそれもある。また、通信途中で顧客IDやパスワードが盗み見られる危険性もあり、ログイン後に資金移動処理(振込みや振替え等の処理)を行う際は、改めて決済用パスワード(ATM等で入力する暗証番号に対して、第2暗証番号と呼ばれる場合がある。)の入力を求める運用が一般的になされている。この決済用パスワードは複雑なものである必要があるため、銀行によっては予めカード等に印刷して顧客に配布しているところもある。この決済用パスワードを複雑にしてカードに印刷したものが提案されている(例えば特許文献1参照)。しかしながら、いくら複雑にしたとしても、このカードを紛失したり、また処理時に携帯していなかったりすると、決済処理を行うことができないという問題がある。また、盗難等によって他人に悪用されるおそれも否定できない。
【0004】
また、上記のようなカードを用いずに、最初のログインの段階で、本人にしか入手できないワンタイムパスワードを用いてログインを行わせる方法が提案されている(例えば特許文献2参照)。これは、ログインする前に、まず自分の携帯電話から認証データベースに対してワンタイムパスワードの発行依頼を行い、携帯電話に送られてきたワンタイムパスワードをパソコンに表示されているログイン画面から入力することによって本人認証を行うものである。
【0005】
しかしながら、ログインの度にワンタイムパスワードを入力する方法だと、例えば資金移動を伴わないような処理(残高確認、入金確認、取引履歴確認など)のみを行うような場合にまで、その都度携帯電話からワンタイムパスワードを請求して入力しなければならなくなり、顧客にとっては大変煩わしいことになる。
【特許文献1】特開平9−305541号公報
【特許文献2】特開2004−240637号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
これに対して、ログイン時は顧客IDと通常の固定パスワードのみで認証を行い、決済処理時にのみ別の決済用パスワードを入力させるようにすれば、上記のような煩わしさはなくなるとともに、セキュリティも確保される。
本発明はかかる事情に鑑みなされたものであり、本発明はネットバンキングの決済処理における顧客の利便性を確保しつつ、セキュリティの向上を図るためのネットバンキングにおける認証システム及び方法を提供することを目的とするものである。
【課題を解決するための手段】
【0007】
本発明は、インターネットを利用して、振込等の決済処理を行うネットバンキングにおける認証システムに関し、本発明の上記目的は、
前記インターネットに接続され、前記ネットバンキングを運営する金融機関のサーバーと、該サーバーに接続され、少なくとも、顧客の携帯電話番号、固定電話番号、携帯メールアドレス、顧客ID、ログイン用パスワードが記憶されている顧客情報データベースと、前記インターネットを介して前記サーバーにアクセス可能な前記顧客の端末とを含み、
前記サーバーは、前記端末から入力された顧客ID及びログイン用パスワードが前記顧客データベースに記憶されている顧客ID及びログイン用パスワードと一致するか否かをチェックし、一致した場合はログインを許可する第1の認証手段と、前記ログイン後に前記端末から送信された決済処理用のワンタイムパスワード発行要求信号を受信してワンタイムパスワードを発行し、前記顧客IDと関連付けて前記顧客情報データベースに格納すると共に、前記端末にて指定された通知先に前記発行したワンタイムパスワードを送信するワンタイムパスワード発行手段と、前記指定された宛先に送信されたワンタイムパスワードを受信した顧客によって前記端末から入力されたワンタイムパスワードを受信して、前記顧客情報データベースに記憶されている前記ワンタイムパスワードと一致するか否かをチェックし、一致した場合に前記決済処理の実行を許可するとともに前記顧客情報データベース内にある前記ワンタイムパスワードを無効化する第2の認証手段とを備えるものであり、
前記ワンタイムパスワード発行手段は、前記顧客が前記端末にて指定する通知先を、前記顧客の携帯メールアドレス、携帯電話、または固定電話のいずれかから選択可能なように構成されていることを特徴とするネットバンキングにおける認証システムによって達成される。
【0008】
また、本発明の上記目的は、前記第2の認証手段が、所定時間内に前記端末からワンタイムパスワードが送信されなかった場合に、前記顧客情報データベース内にあるワンタイムパスワードを無効化することによって効果的に達成される。
【0009】
さらに、本発明は、インターネットに接続されたネットバンキングを運営する金融機関のサーバーと、該サーバーに接続され、少なくとも、顧客の携帯電話番号、固定電話番号、携帯メールアドレス、顧客ID、ログイン用パスワードが記憶されている顧客情報データベースと、前記インターネットを介して前記サーバーにアクセス可能な前記顧客の端末とを含む、インターネットを利用して振込等の決済処理を行うネットバンキングシステムにおける認証方法に関し、本発明の上記目的は、
前記サーバーが、前記端末から入力された顧客ID及びログイン用パスワードが前記顧客データベースに記憶されている顧客ID及びログイン用パスワードと一致するか否かをチェックし、一致した場合はログインを許可する第1の認証ステップと、
前記ログイン許可後に前記端末から送信された決済処理用のワンタイムパスワード発行要求信号を受信してワンタイムパスワードを発行し、前記顧客IDと関連付けて前記顧客情報データベースに格納すると共に、前記端末にて指定された通知先に前記発行したワンタイムパスワードを送信するワンタイムパスワード発行ステップと、
前記指定された宛先に送信されたワンタイムパスワードを受信した顧客によって前記端末から入力されたワンタイムパスワードを受信して、前記顧客情報データベースに記憶されている前記ワンタイムパスワードと一致するか否かをチェックし、一致した場合に前記決済処理の実行を許可するとともに前記顧客情報データベース内にある前記ワンタイムパスワードを無効化する第2の認証ステップとを備えるものであり、
前記顧客が前記端末にて指定する通知先が、前記顧客の携帯メールアドレス、携帯電話、または固定電話のいずれかから選択可能なように構成されていることを特徴とするネットバンキングにおける認証方法によって達成される。
【発明の効果】
【0010】
本発明に係るネットバンキングにおける認証システム又は方法によれば、顧客がログインした後の決済処理画面から通知先を選択指定した上で決済用ワンタイムパスワードの発行を要求できるので、ワンタイムパスワードが確実に本人にのみ通知されるとともに、ワンタイムパスワードの入力/認証を条件として決済処理が行われるので、ネットバンキングにおけるセキュリティ性がさらに向上する。
【発明を実施するための最良の形態】
【0011】
本発明に係るネットバンキングにおける認証システム及び方法の実施の形態について、図面を参照して詳細に説明する。
【0012】
図1は本発明に係るネットバンキングにおける認証システムの構成例を示す概略図である。図1において、顧客がネットバンキングを行うための端末1と、ネットバンキングのアプリケーションが格納され顧客にネットバンキングサービスを提供する金融機関の運営するサーバー2と、サーバー2に接続され顧客情報が格納された顧客情報データベース3とがインターネット4等の通信ネットワークを介して相互に通信可能に接続されている。
また、サーバー2とインターネット4を介して接続されている携帯電話通信システム5によって携帯電話6とサーバー2の通信が可能になっている。さらに、サーバー2にはIVR(Interactive Voice Response)サーバー7、すなわち、対話型音声応答を行うサーバーが接続されており、サーバー2からのデータを音声信号に変換して電話局8を通じて携帯電話6又は固定電話(加入電話ともいう。)9に送信するものである。
【0013】
図2は、サーバー2及び顧客情報データベース3の構成を示すブロック図である。サーバー2は、顧客が端末1のログイン画面(図4)から入力した顧客ID(お客様番号)とログインパスワード(PW)が顧客情報データベース3に記憶されている顧客ID及びログインPWと一致するか否かをチェックする第1認証手段と、認証OKでログイン後の処理メニュー画面(図5)からパスワード発行依頼を受けてワンタイムパスワード(OTP)を発行し、指定された通知先にOTPを送信するとともに、そのOTPを顧客IDと関連付けて顧客情報データベース3に登録するOTP発行手段と、顧客の指定した通知先に通知されたOTPが顧客によって端末1の決済用画面(図8)から入力されて送信されたときに、それを受信して顧客情報データベース3内にある決済OTPと比較し、一致するか否かをチェックし、一致する場合に決済処理を許可する第2認証手段と、第2認証手段からの決済処理許可を受けて、振込処理実行を行う決済手段とを備えている。なお、決済手段は必ずしもこのサーバーにある必要はなく、外部のホストコンピュータに設けてもよい。
また、ネットバンキング用のアプリケーションプログラムを記憶しているアプリケーション記憶部も備えている。OTP発行手段で発行されたOTPは通信I/Fを介して電子メールにて顧客の携帯メールに送信されるか、IVRサーバー7を介して音声信号として携帯電話か固定電話に送信される。
これらの各手段等は制御部(CPU,ROM、RAMを有する)によって制御される。
なお、本実施形態において、認証手段をその機能の違いから2つに分けているが、一つの認証手段で2つの機能を持たせるようにしてもよいことは言うまでもない。
【0014】
顧客情報データベース3には発行されたOTPを通知するための通知先の携帯メールアドレス、携帯電話番号及び固定電話番号が顧客IDと関連付けられて記憶されている。また、その他にネットバンキングのユーザー登録の際に入力した住所、氏名、年齢、職業などの属性情報も記憶されている。
【0015】
上述の構成において、本発明に係るネットバンキングにおける認証システムの動作の流れについて、図3のフローチャートに基づいて説明する。
顧客は、端末1からインターネットを経由してサーバー2にアクセスし、ネットバンキングのログイン画面(図4)を表示させ、顧客ID(お客様番号)及びログインパスワードを入力し、ログインボタンをクリックする(ステップS1)。入力されたIDとログインパスワードはサーバーに送信され、第1の認証手段において認証が行われる(ステップS2)。
【0016】
認証がOKになると、端末1の画面には図5のメインメニュー画面が表示される。ここで、顧客が資金移動を伴う処理メニュー(例えば振込み)を選択すると、図6の画面が表示され、決済処理(振込)用のOTPが必要になることを顧客に告知する。そこで、顧客が図6の画面で「パスワード発行依頼」のタブメニューをクリックすると、図7のパスワード発行依頼画面が表示されるので、顧客が希望する通知先を選択して送信ボタンをクリックすると(ステップS3)、IDとOTP発行要求信号がサーバー2に送られる(ステップS4)。
【0017】
次に、サーバー2のOTP発行手段がOTPを生成するとともに、そのOTPをIDと関連付けて顧客情報データベース3に登録する(ステップS5)。
発行されたOTPは顧客の希望する通知先に通知される(ステップS6)。その際、顧客IDを手掛かりとして顧客情報データベース内の携帯メールアドレス等が検索される。
【0018】
顧客は図6の振込み画面に戻り、振込先金融機関名、口座番号、振込金額等を入力し、「次へ」ボタンをクリックすると、図8の確認画面が表示されるので、既に受信してあるOTPをキーボードから入力し、振込実行ボタンを押す(ステップS7)。すると、サーバー2にIDと入力されたOTPが送信され、第2の認証手段が顧客情報データベース3に登録されているOTPと照合を行い(ステップS8)、一致すれば振込処理実行を許可するとともに、結果を顧客画面(図9)に表示する(ステップS10)。もし、一致しない場合は入力ミスが考えられるので、再入力を促すメッセージを表示し(図示せず)、顧客はステップS7に戻ってOTPを再入力する。2回以上連続して一致しない場合、システムはセキュリティを考慮し、再度パスワード発行依頼を求める図6の画面に戻るように処理する。
【0019】
正常に振込処理が終了すると(すなわち第2認証手段における認証がOKの場合)、第2認証手段は顧客データベース内のOTPを無効化する(ステップS11)。これによってOTPは一度しか使用できなくなる。また、OTPの通知から所定の時間内(例えば5分以内)に第2認証手段において認証が行われなかった場合には自動的に顧客情報データベース3内のOTPを無効化するようにしてもよい。振込を中止する場合もあることを考慮し、使用されないOTPを残しておく必要がないからである。
【0020】
なお、携帯電話においてはインターネットを使った電子メールのほかに、また、携帯電話やPHS間でごく短い文字メッセージ(メール)をやりとりする、ショートメッセージサービス(SMS)も広義の電子メールに含まれる。多くの携帯電話事業者が、他の事業者へのSMSのゲートウェイを持っており、外国の事業者も含めた他の事業者の携帯電話へもメッセージをやりとりできるようになっている。事業者によってはインターネットへのメールの送受信も可能になっている。
従って、本発明における携帯メールアドレスとは、インターネットを使った電子メールのメールアドレスに限らず、SMSを利用したメールアドレスを含むものを意味する。
【図面の簡単な説明】
【0021】
【図1】本発明に係るネットバンキングにおける認証システムの構成例を示す概略図である。
【図2】サーバー及び顧客情報データベースの構成を示すブロック図である。
【図3】本発明に係るネットバンキングにおける認証システムの動作の流れを示すフローチャートの一例である。
【図4】ログイン画面の一例である。
【図5】ネットバンキングのメインメニュー画面の一例である。
【図6】ネットバンキングの振込み画面の一例である。
【図7】パスワード発行依頼画面の一例である。
【図8】ワンタイムパスワードの入力画面の一例である。
【図9】振込完了報知画面の一例である。
【符号の説明】
【0022】
1 顧客の端末
2 サーバー
3 顧客情報データベース
4 インターネット
6 携帯電話
7 IVRサーバー
9 固定電話
【特許請求の範囲】
【請求項1】
インターネットを利用して、振込等の決済処理を行うネットバンキングにおける認証システムであって、該システムは、
前記インターネットに接続され、前記ネットバンキングを運営する金融機関のサーバーと、
該サーバーに接続され、少なくとも、顧客の携帯電話番号、固定電話番号、携帯メールアドレス、顧客ID、ログイン用パスワードが記憶されている顧客情報データベースと、
前記インターネットを介して前記サーバーにアクセス可能な前記顧客の端末とを含み、
前記サーバーは、
前記端末から入力された顧客ID及びログイン用パスワードが前記顧客データベースに記憶されている顧客ID及びログイン用パスワードと一致するか否かをチェックし、一致した場合はログインを許可する第1の認証手段と、
前記ログイン後に前記端末から送信された決済処理用のワンタイムパスワード発行要求信号を受信してワンタイムパスワードを発行し、前記顧客IDと関連付けて前記顧客情報データベースに格納すると共に、前記端末にて指定された通知先に前記発行したワンタイムパスワードを送信するワンタイムパスワード発行手段と、
前記指定された宛先に送信されたワンタイムパスワードを受信した顧客によって前記端末から入力されたワンタイムパスワードを受信して、前記顧客情報データベースに記憶されている前記ワンタイムパスワードと一致するか否かをチェックし、一致した場合に前記決済処理の実行を許可するとともに前記顧客情報データベース内にある前記ワンタイムパスワードを無効化する第2の認証手段とを備えるものであり、
前記ワンタイムパスワード発行手段は、前記顧客が前記端末にて指定する通知先を、前記顧客の携帯メールアドレス、携帯電話、または固定電話のいずれかから選択可能なように構成されていることを特徴とするネットバンキングにおける認証システム。
【請求項2】
前記第2の認証手段は、所定時間内に前記端末からワンタイムパスワードが送信されなかった場合に、前記顧客情報データベース内にあるワンタイムパスワードを無効化することを特徴とする請求項1に記載のネットバンキングにおける認証システム。
【請求項3】
インターネットに接続されたネットバンキングを運営する金融機関のサーバーと、
該サーバーに接続され、少なくとも、顧客の携帯電話番号、固定電話番号、携帯メールアドレス、顧客ID、ログイン用パスワードが記憶されている顧客情報データベースと、
前記インターネットを介して前記サーバーにアクセス可能な前記顧客の端末とを含む、
インターネットを利用して振込等の決済処理を行うネットバンキングシステムにおける認証方法であって、該方法は、
前記サーバーが、前記端末から入力された顧客ID及びログイン用パスワードが前記顧客データベースに記憶されている顧客ID及びログイン用パスワードと一致するか否かをチェックし、一致した場合はログインを許可する第1の認証ステップと、
前記ログイン許可後に前記端末から送信された決済処理用のワンタイムパスワード発行要求信号を受信してワンタイムパスワードを発行し、前記顧客IDと関連付けて前記顧客情報データベースに格納すると共に、前記端末にて指定された通知先に前記発行したワンタイムパスワードを送信するワンタイムパスワード発行ステップと、
前記指定された宛先に送信されたワンタイムパスワードを受信した顧客によって前記端末から入力されたワンタイムパスワードを受信して、前記顧客情報データベースに記憶されている前記ワンタイムパスワードと一致するか否かをチェックし、一致した場合に前記決済処理の実行を許可するとともに前記顧客情報データベース内にある前記ワンタイムパスワードを無効化する第2の認証ステップとを備えるものであり、
前記顧客が前記端末にて指定する通知先が、前記顧客の携帯メールアドレス、携帯電話、または固定電話のいずれかから選択可能なように構成されていることを特徴とするネットバンキングにおける認証方法。
【請求項4】
前記携帯メールアドレスが、ショートメッセージサービス(SMS)のメールアドレスを含むものである請求項1又は2に記載のネットバンキングにおける認証システム。
【請求項5】
前記携帯メールアドレスが、ショートメッセージサービス(SMS)のメールアドレスを含むものである請求項3に記載のネットバンキングにおける認証方法。
【請求項1】
インターネットを利用して、振込等の決済処理を行うネットバンキングにおける認証システムであって、該システムは、
前記インターネットに接続され、前記ネットバンキングを運営する金融機関のサーバーと、
該サーバーに接続され、少なくとも、顧客の携帯電話番号、固定電話番号、携帯メールアドレス、顧客ID、ログイン用パスワードが記憶されている顧客情報データベースと、
前記インターネットを介して前記サーバーにアクセス可能な前記顧客の端末とを含み、
前記サーバーは、
前記端末から入力された顧客ID及びログイン用パスワードが前記顧客データベースに記憶されている顧客ID及びログイン用パスワードと一致するか否かをチェックし、一致した場合はログインを許可する第1の認証手段と、
前記ログイン後に前記端末から送信された決済処理用のワンタイムパスワード発行要求信号を受信してワンタイムパスワードを発行し、前記顧客IDと関連付けて前記顧客情報データベースに格納すると共に、前記端末にて指定された通知先に前記発行したワンタイムパスワードを送信するワンタイムパスワード発行手段と、
前記指定された宛先に送信されたワンタイムパスワードを受信した顧客によって前記端末から入力されたワンタイムパスワードを受信して、前記顧客情報データベースに記憶されている前記ワンタイムパスワードと一致するか否かをチェックし、一致した場合に前記決済処理の実行を許可するとともに前記顧客情報データベース内にある前記ワンタイムパスワードを無効化する第2の認証手段とを備えるものであり、
前記ワンタイムパスワード発行手段は、前記顧客が前記端末にて指定する通知先を、前記顧客の携帯メールアドレス、携帯電話、または固定電話のいずれかから選択可能なように構成されていることを特徴とするネットバンキングにおける認証システム。
【請求項2】
前記第2の認証手段は、所定時間内に前記端末からワンタイムパスワードが送信されなかった場合に、前記顧客情報データベース内にあるワンタイムパスワードを無効化することを特徴とする請求項1に記載のネットバンキングにおける認証システム。
【請求項3】
インターネットに接続されたネットバンキングを運営する金融機関のサーバーと、
該サーバーに接続され、少なくとも、顧客の携帯電話番号、固定電話番号、携帯メールアドレス、顧客ID、ログイン用パスワードが記憶されている顧客情報データベースと、
前記インターネットを介して前記サーバーにアクセス可能な前記顧客の端末とを含む、
インターネットを利用して振込等の決済処理を行うネットバンキングシステムにおける認証方法であって、該方法は、
前記サーバーが、前記端末から入力された顧客ID及びログイン用パスワードが前記顧客データベースに記憶されている顧客ID及びログイン用パスワードと一致するか否かをチェックし、一致した場合はログインを許可する第1の認証ステップと、
前記ログイン許可後に前記端末から送信された決済処理用のワンタイムパスワード発行要求信号を受信してワンタイムパスワードを発行し、前記顧客IDと関連付けて前記顧客情報データベースに格納すると共に、前記端末にて指定された通知先に前記発行したワンタイムパスワードを送信するワンタイムパスワード発行ステップと、
前記指定された宛先に送信されたワンタイムパスワードを受信した顧客によって前記端末から入力されたワンタイムパスワードを受信して、前記顧客情報データベースに記憶されている前記ワンタイムパスワードと一致するか否かをチェックし、一致した場合に前記決済処理の実行を許可するとともに前記顧客情報データベース内にある前記ワンタイムパスワードを無効化する第2の認証ステップとを備えるものであり、
前記顧客が前記端末にて指定する通知先が、前記顧客の携帯メールアドレス、携帯電話、または固定電話のいずれかから選択可能なように構成されていることを特徴とするネットバンキングにおける認証方法。
【請求項4】
前記携帯メールアドレスが、ショートメッセージサービス(SMS)のメールアドレスを含むものである請求項1又は2に記載のネットバンキングにおける認証システム。
【請求項5】
前記携帯メールアドレスが、ショートメッセージサービス(SMS)のメールアドレスを含むものである請求項3に記載のネットバンキングにおける認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2007−328381(P2007−328381A)
【公開日】平成19年12月20日(2007.12.20)
【国際特許分類】
【出願番号】特願2006−134619(P2006−134619)
【出願日】平成18年5月15日(2006.5.15)
【出願人】(500205242)株式会社アイディーエス (7)
【Fターム(参考)】
【公開日】平成19年12月20日(2007.12.20)
【国際特許分類】
【出願日】平成18年5月15日(2006.5.15)
【出願人】(500205242)株式会社アイディーエス (7)
【Fターム(参考)】
[ Back to top ]