ユーザ認証システムおよびその方法
【課題】高いセキュリティ性を維持しつつ、ログインに要するユーザ負荷を軽減できるユーザ認証システムを提供すること。
【解決手段】ユーザ端末、携帯電話、パスワード発行装置およびサービス提供装置から構成され、サービス提供装置は、ユーザ端末からユーザ識別情報を取得すると、登録されたものであれば、パスワード発行装置に送信し、パスワード発行装置は、受信したユーザ識別情報に対応する携帯電話の接続情報を検索し、ワンタイムパスワードを生成して、携帯電話およびサービス提供装置に送信し、携帯電話は受信したワンタイムパスワードを表示し、ユーザ端末は携帯電話に表示されたワンタイムパスワードをサービス提供装置に送信し、サービス提供装置はパスワード発行装置およびユーザ端末から送信されたワンタイムパスワードが一致した場合、ユーザ端末のアクセスを許可するユーザ認証システム。
【解決手段】ユーザ端末、携帯電話、パスワード発行装置およびサービス提供装置から構成され、サービス提供装置は、ユーザ端末からユーザ識別情報を取得すると、登録されたものであれば、パスワード発行装置に送信し、パスワード発行装置は、受信したユーザ識別情報に対応する携帯電話の接続情報を検索し、ワンタイムパスワードを生成して、携帯電話およびサービス提供装置に送信し、携帯電話は受信したワンタイムパスワードを表示し、ユーザ端末は携帯電話に表示されたワンタイムパスワードをサービス提供装置に送信し、サービス提供装置はパスワード発行装置およびユーザ端末から送信されたワンタイムパスワードが一致した場合、ユーザ端末のアクセスを許可するユーザ認証システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はインターネット上のユーザ認証技術に関し、特にセキュリティ強度を維持しつつ、ログインに要するユーザ負荷の軽減を図るユーザ認証システムおよびその方法に関する。
【背景技術】
【0002】
従来、ユーザ認証後に使用が許可されるシステムにおいて、ユーザ認証を行うための代表的な手法として、ユーザが使用する端末から、予め登録されたユーザ名及びパスワードを入力させ、当該システムにおいて照合を行い、正しい組み合わせであった場合にユーザの使用を許可するという方法がある。
前記の認証方法では、セキュリティの確保のために、例えば、パスワードを長くしたり、大小英文字を混在させたりするなどパスワードを複雑にすることで、場当たり的な英数文字の組合せ入力によるパスワードの一致を発生しにくくしている。また、有効期間を短くするなどして見破られたパスワードの再利用を防止している。
【0003】
また、USB(Universal Serial Bus)端子にハードウェアトークンを差し込むことで、このハードウェアトークンに記録されたID(Identification)を読み取って認証を行なうシステムも実現されている。
【0004】
しかしながら、前者の認証方法の場合、セキュリティを高めるために、パスワードを複雑化または定期的に変更すると、ユーザがパスワードを忘れたり、パスワードを紙などに記録して保管することでセキュリティ上の問題となることがあった。
また、後者の認証方法の場合、ハードウェアトークンを紛失したり、ハードウェアトークンに内蔵される電池を定期的に交換する必要があるなど、ハードウェアトークンの取り扱いが煩雑であった。
このような問題点に鑑み、非特許文献1には、ユーザが端末からログインを実行した際に、認証サーバが、電話回線網を介して携帯電話などにコールバックすることで別途の認証を行ない、端末および携帯電話における認証が成功した場合にのみ、システムの使用を許可するユーザ認証システムが開示されている。
【非特許文献1】“SecureCall”、サードネットワークス株式会社、[平成17年8月16日検索]、インターネット〈URL:http://www.thirdnetworks.co.jp/sc/03ser02.html〉
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、非特許文献1に記載のユーザ認証システムでは、端末において入力するユーザIDおよびパスワード、そして、さらに携帯電話から入力するパスワードの3つの組み合わせをユーザが記憶しておく必要があり、やはりユーザがパスワードを忘れてしまい、システムにログインできなくなる可能性があった。
本発明は前記の問題を解決するためになされたものであり、その目的は、高いセキュリティ性を維持しつつ、ログインに要するユーザ負荷を軽減することのできるユーザ認証システムおよびその方法を提供することにある。
【課題を解決するための手段】
【0006】
前記の課題を解決するためになされた本発明に係るユーザ認証システムは、認証に関する情報を入力するためのユーザ端末と、表示機能を有する携帯電話と、ワンタイムパスワードを生成するパスワード発行装置と、前記ユーザ端末にサービスを提供し、ユーザ認証を行なうサービス提供装置とを相互に接続して構成され、ユーザ端末は、ユーザからこのユーザを識別するユーザ識別情報を取得すると、このユーザ識別情報をサービス提供装置に送信し、携帯電話に表示されたワンタイムパスワードを取得すると、このワンタイムパスワードをサービス提供装置に送信し、前記携帯電話は、パスワード発行装置からワンタイムパスワードを受信すると、このワンタイムパスワードを表示し、パスワード発行装置は、ユーザ識別情報に対応させてこの携帯電話の接続情報である第1接続情報を予め記憶し、サービス提供装置からユーザ識別情報を取得すると、このユーザ識別情報に対応する第1接続情報を検索して、任意のワンタイムパスワードを生成してサービス提供装置に送信するとともに、第1接続情報を用いて、ワンタイムパスワードを携帯電話に送信し、サービス提供装置は、ユーザ識別情報を予め記憶し、ユーザ端末からユーザ識別情報を受信すると、サービス提供装置に記憶されたユーザ識別情報の中に、受信したユーザ識別情報と一致するものがあるか否かを判定して、一致するユーザ識別情報があると、このユーザ識別情報をパスワード発行装置に送信し、ユーザ端末およびパスワード発行装置からワンタイムパスワードを受信すると、2つのワンタイムパスワードを比較して、一致した場合は、ユーザ端末のアクセスを許可することを特徴としている。
本発明の他の形態については、実施の形態において説明する。
【発明の効果】
【0007】
本発明によると、携帯電話を用いることで、専用のハードウェアトークンなどを用いることなくセキュリティ強度を高めることができ、ユーザはユーザIDのみを記憶しておけばよく、システムへのログインに要するユーザ負荷を大幅に軽減することができる。
【発明を実施するための最良の形態】
【0008】
以下、添付した図面を参照しつつ、本発明の実施の形態を詳しく説明する。
図1は、本実施の形態に係るユーザ認証システムの概略構成図である。図1に示すように、本実施の形態に係るユーザ認証システム1は、ユーザの使用するユーザ端末2と、ユーザの使用する携帯電話3と、ユーザがログインを所望するWebサーバ4と、ユーザ端末2とWebサーバ4との認証を仲介するパスワード発行サーバ5とがインターネット6を介して相互に接続されている。
さらに、携帯電話3とパスワード発行サーバ5とは電話回線網7を介して接続されている。
【0009】
(ユーザ端末)
ユーザ端末2は、ユーザがインターネット6に接続してサービスの提供を受けるためのものであり、記憶装置のRAM(Random Access Memory)、ROM(Read Only Memory)およびハードディスク、演算装置のCPU(Central Processing Unit)、入力装置のマウスおよびキーボード、表示装置のディスプレイ、そして通信インタフェースのLAN(Local Area Network)カードなどを含んだ端末装置であり、例えば、パーソナルコンピュータにより具現される。
ユーザ端末2の記憶装置には、OS(Operating System)のほかに、Webブラウザソフトが記憶されており、これらのソフトウェアをRAMに展開してCPUが実行することで、インターネット6に接続可能な端末装置として動作する。
【0010】
(携帯電話)
携帯電話3は、ワンタイムパスワード取得のために利用され、記憶装置のRAMおよびROM、演算装置のCPU、入力装置のテンキー、表示装置のディスプレイ、そして通信インタフェースの通信回路を有している。
携帯電話3のROMは、携帯電話3を統括して制御するプログラムや、この携帯電話3で使用する画像データなどの他に、ウェブを閲覧するためのブラウザプログラムなどが記録されている。テンキーの操作により生成される操作情報は、CPUに入力され、CPUが生成した画像情報は、ディスプレイに出力される。
また、本実施の形態の携帯電話3のROMには、ショートメッセージを送受信するためのプログラムがさらに記憶されており、携帯電話会社が提供するショートメッセージサービスにより、携帯電話3の電話番号をアドレスとして電話回線網7を介してショートメッセージを送受信することができる。
なお、本実施の形態では、説明を容易にするために、図1において携帯電話3が直接インターネット6に接続されているように示したが、実際には、携帯電話3は電話回線網7に接続され、この電話回線網7に接続された図示しないゲートウェイを介してインターネット6に接続されている。
【0011】
(Webサーバ)
Webサーバ4は、インターネット6上でユーザに対してサービスを提供する装置であり、記憶装置のRAM、ROM、ハードディスク、演算装置のCPU、および通信インタフェースのLANカードを含んだ端末装置であり、例えば、サーバ用コンピュータにより具現される。
Webサーバ4のハードディスクにはサービス提供のためのサービスプログラム、ワンタイムパスワードを用いてユーザ認証を行なうユーザ認証プログラムおよびユーザに関する情報が含まれるユーザ管理情報41が記録されている。
【0012】
ここで、図2は、ユーザ管理情報41に含まれる情報の例を示したテーブルである。図2に示すように、ユーザ管理情報41には、Webサーバ4のサービスを利用可能なユーザについての情報が記録されており、ユーザごとに固有なユーザIDと対応付けて、ユーザ名、ユーザのプロフィールなどが含まれている。
このユーザ管理情報41は、ユーザ認証システム1を利用する前に、Webサーバ4の管理者などにより予め登録されたものである。
なお、Webサーバ4は、特許請求の範囲のサービス提供装置に相当している。また、ユーザIDは、特許請求の範囲のユーザ識別情報に相当している。
【0013】
(パスワード発行サーバ)
パスワード発行サーバ5は、Webサーバ4と同様に、記憶装置のRAM、ROM、ハードディスク、演算装置のCPU、および通信インタフェースのLANカードを含んだ端末装置であり、例えば、サーバ用コンピュータにより具現される。
パスワード発行サーバ5のハードディスクには、ユーザの使用する携帯電話3を識別する情報が含まれる携帯電話管理情報51およびランダムなワンタイムパスワードを発行するパスワード発行プログラムが記憶されている。このワンタイムパスワード発行プログラムは、ワンタイムパスワードを発行し、電話回線網7を介して携帯電話3にワンタイムパスワードを送信する。
【0014】
ここで、図3は、携帯電話管理情報51に含まれる情報の例を示したテーブルである。図3に示すように、携帯電話管理情報51には、携帯電話3のユーザごとに固有なユーザIDと対応付けて、その携帯電話3の電話番号、MAC(Media Access Control)アドレスなどが含まれている。また、この他に携帯電話3のESN(Electronic Serial Number)を含んでもよい。
この携帯電話管理情報51は、ユーザ認証システム1を利用する前に、パスワード発行サーバ5の管理者などにより予め登録されたものである。このパスワード発行サーバ5は、特許請求の範囲のパスワード発行装置に相当し、携帯電話3の電話番号は特許請求の範囲の第1接続情報に相当している。
なお、本実施の形態のユーザ認証システム1において、各構成要素間のインターネット6を介した通信は、例えば、SSL(Secure Socket Layer)を用いた暗号化通信によりなされる。
【0015】
(第1実施形態例)
以下に、前記したユーザ認証システム1において実行されるユーザ認証方法について、2つの実施形態例を説明する。
【0016】
はじめに、第1実施形態例に係るユーザ認証方法について、ユーザ認証システム1の動作を説明するシーケンス図である図4Aおよび図4Bを参照しつつ、詳しく説明する(適宜、図2、図3参照)。
本実施形態例では、ユーザIDを入力したユーザの認証を、ユーザが入力したワンタイムパスワードを照合することで行なう。
【0017】
はじめに、Webサーバ4のサービスを利用したいユーザは、ユーザ端末2からWebサーバ4にアクセスする(ステップS101)。これに応じて、Webサーバ4は、ユーザ端末2にID入力画面および、ユーザ端末2とWebサーバ4とのセッションを識別するセッションIDを送信する(ステップS102)。ここで、図5は、Webサーバ4が送信するID入力画面の例である。図5に示したID入力画面100には、ユーザ自身に割り当てられたユーザIDを入力するIDボックス101と、IDボックス101に入力されたユーザIDをWebサーバ4に送信する際に選択する送信ボタン102とが含まれて構成されている。
【0018】
次に、ユーザ端末2は、受信したID入力画面100をディスプレイに表示する(ステップS103)。そして、ユーザはこのID入力画面100のIDボックス101に自身のユーザIDを入力して、送信ボタン102を選択する。これにより、ユーザ端末2は、ユーザIDを取得して、この取得したユーザIDをWebサーバ4に送信する(ステップS104)。
そして、ユーザIDを受信したWebサーバ4は、ユーザ管理情報41を参照して、ユーザ管理情報41に受信したユーザIDと一致するユーザIDがあるか否かを判定する(ステップS105)。ここで、一致するユーザIDがない場合は(ステップS105で‘No’の場合)、ステップS102に戻って、ユーザIDの入力を促す。また、一致するユーザIDがある場合は(ステップS105で‘Yes’の場合)、ワンタイムパスワードの入力を促すパスワード入力画面をユーザ端末2に送信する(ステップS106)。ここで、図6はパスワード入力画面の例を示す図面である。図6に示すように、パスワード入力画面200は、後記する手順により携帯電話3のディスプレイに表示されるワンタイムパスワードを入力するパスワードボックス201と、パスワードボックス201に入力したワンタイムパスワードをWebサーバ4に送信する際に選択する認証ボタン202から構成されている。
【0019】
次に、Webサーバ4は、パスワード発行サーバ5に、ユーザ端末2とWebサーバ4とのセッションIDおよび受信したユーザIDを送信する(ステップS107)。
そして、パスワード発行サーバ5は、受信したユーザIDをキー情報として、携帯電話管理情報51から当該ユーザIDに対応する携帯電話3の電話番号を検索する(ステップS108)。
【0020】
次に、図4Bに移って、パスワード発行サーバ5は、ランダムにワンタイムパスワードを生成して(ステップS109)、このワンタイムパスワードと、ステップS107で受信したセッションIDとをWebサーバ4に送信する(ステップS110)。
そして、パスワード発行サーバ5は、ステップS109で生成したワンタイムパスワードを携帯電話3に送信する(ステップS111)。このとき、携帯電話3へのワンタイムパスワードの送信は、携帯電話会社が提供している電話回線網7を介したショートメッセージサービスを利用して送信することが望ましい。これは、クッキー情報に含まれる電話番号を確認することができるためである。また、パスワード発行サーバ5に音声合成手段を備えて、電話回線網7を介して携帯電話3にコールバックを行い、音声合成によりワンタイムパスワードを送信する構成としても同様の効果が得られる。
なお、インターネット6を介して、ワンタイムパスワードを携帯電話3に送信することももちろん可能である。
【0021】
次に、携帯電話3は受信したワンタイムパスワードをディスプレイに表示する(ステップS112)。そしてユーザは、図6に示したパスワード入力画面200のパスワードボックス201に、携帯電話3のディスプレイに表示されたワンタイムパスワードを入力して、認証ボタン202を選択する。これにより、ユーザ端末2は、ワンタイムパスワードを取得し(ステップS113)、このワンタイムパスワードと、ステップS102で取得したWebサーバ4のセッションIDとをWebサーバ4に送信する(ステップS114)。
そして、ワンタイムパスワードおよびセッションIDを受信したWebサーバ4は、ステップS110で取得したパスワード発行サーバ5から送信されたワンタイムパスワードおよびセッションIDとステップS114で取得したユーザ端末2から送信されたワンタイムパスワードおよびセッションIDとを比較して一致するか否かを判定する(ステップS115)。
【0022】
ステップS115の判定の結果、ワンタイムパスワードおよびセッションIDが一致しない場合は(ステップS115で‘No’の場合)、ステップS102に戻って(ステップS116)認証をやり直す。
また、ワンタイムパスワードおよびセッションIDが一致する場合は(ステップS115で‘Yes’の場合)、認証に成功したとして、ユーザ端末2のアクセスを許可する(ステップS117)。その後、ユーザは、ユーザ端末2を介して、Webサーバ4から所望のサービスを受けることになる。
【0023】
以上、説明したように、本実施形態例のユーザ認証方法によると、予め登録された携帯電話3にパスワード発行サーバ5が発行したワンタイムパスワードを送信し、このワンタイムパスワードを用いて、Webサーバ4において、ユーザの認証を行なう。これにより、たとえ他人のユーザIDを用いて、第三者がWebサーバ4へのアクセスを試みた場合であっても、パスワードを入力することはできず、ハードウェアトークンを用いた場合と同様の高いセキュリティが確保できる。また、携帯電話3のディスプレイに表示されるワンタイムパスワードをパスワード入力画面200に入力することで、認証が行なえるため、複雑なパスワードを覚える必要がなく、ログインに要するユーザ負荷が著しく軽減される。
【0024】
(第2実施形態例)
次に、第2実施形態例に係るユーザ認証方法について、ユーザ認証システム1の動作を説明するシーケンス図である図7Aないし図7Cを参照しつつ、詳しく説明する(適宜、図2、図3参照)。
本実施形態例は、ショートメッセージサービスを用いて、携帯電話3にパスワード発行サーバ5のアドレスおよびワンタイムパスワードを送信し、携帯電話3とパスワード発行サーバ5との間で認証を行い、Webサーバ4において、ワンタイムパスワードを照合することでユーザ認証を行なう。
【0025】
本実施形態例において、図7Aに示したステップS201ないしステップS208に係る動作は、第1実施形態例のステップS101ないしステップS108(図4A参照)と同様であるため、その説明は省略する。
次に、図7Bに移って、ステップS208において電話番号を検索したパスワード発行サーバ5は、この電話番号を用いて、携帯電話3に、ショートメッセージサービスにより、パスワード発行サーバ5のアドレスを送信する(ステップS209)。
そして、パスワード発行サーバ5のアドレスを受信した携帯電話3は、このアドレスを用いて、パスワード発行サーバ5にアクセスする(ステップS210)。
なお、パスワード発行サーバのアドレスは特許請求の範囲の第2接続情報に相当している。
【0026】
次に、携帯電話3からのアクセスを受けたパスワード発行サーバ5は、携帯電話3にクッキー情報の送信を要求する(ステップS211)。
そしてクッキー情報の送信を要求された携帯電話3は、パスワード発行サーバ5にクッキー情報を送信する(ステップS212)。ここで、携帯電話3が送信するクッキー情報には、その携帯電話3のMACアドレス、電話番号およびESNなどが含まれている。
なお、MACアドレス、電話番号およびESNは、特許請求の範囲の携帯電話識別情報に相当している。
【0027】
携帯電話3からクッキー情報を受信したパスワード発行サーバ5は、携帯電話管理情報51に登録された携帯電話3のMACアドレス、電話番号およびESNなどと照合することで、携帯電話管理情報51に、該当するユーザIDがあるか否かを判定する(ステップS213)。
ここで、携帯電話管理情報51に該当するユーザIDがない場合は(ステップS213で‘No’の場合)、携帯電話管理情報51に登録された携帯電話3からのアクセスを受け付けるために、ステップS209に戻る。
【0028】
一方、図7Cに移って、携帯電話管理情報51に該当するユーザIDがある場合は(ステップS213で‘Yes’の場合)、パスワード発行サーバ5は、ランダムにワンタイムパスワードを生成して(ステップS214)、このワンタイムパスワードと、ステップS207で受信したWebサーバ4のセッションIDとをWebサーバ4に送信する(ステップS215)。
そして、パスワード発行サーバ5は、ステップS214で生成したワンタイムパスワードを携帯電話3に送信する(ステップS216)。このとき、携帯電話3へのワンタイムパスワードの送信は、携帯電話会社が提供している電話回線網7を介したショートメッセージサービスを利用して送信することが望ましい。
【0029】
次に、携帯電話3は受信したワンタイムパスワードをディスプレイに表示する(ステップS217)。そしてユーザは、図6に示したパスワード入力画面200のパスワードボックス201に、携帯電話3のディスプレイに表示されたワンタイムパスワードを入力して、認証ボタン202を選択する。これにより、ユーザ端末2は、ワンタイムパスワードを取得し(ステップS218)、このワンタイムパスワードと、ステップS202で取得したWebサーバ4のセッションIDとをWebサーバ4に送信する(ステップS219)。
そして、ワンタイムパスワードおよびセッションIDを受信したWebサーバ4は、ユーザ管理情報41を参照して、取得したユーザIDからユーザを特定して、ステップS215で取得したパスワード発行サーバ5から送信されたワンタイムパスワードおよびセッションIDとステップS219で取得したユーザ端末2から送信されたワンタイムパスワードおよびセッションIDとを比較して一致するか否かを判定する(ステップS220)。
【0030】
ステップS220の判定の結果、ワンタイムパスワードおよびセッションIDが一致しない場合は(ステップS220で‘No’の場合)、エラーと判断して、ステップS202に戻って(ステップS221)認証をやり直す。
また、ワンタイムパスワードおよびセッションIDが一致する場合は(ステップS220で‘Yes’の場合)、認証に成功したとして、ユーザ端末2のアクセスを許可する(ステップS222)。その後、ユーザは、ユーザ端末2を介して、Webサーバ4から所望のサービスを受けることになる。
【0031】
以上、説明したように、本実施形態例のユーザ認証方法によると、パスワード発行サーバ5において、携帯電話3からクッキー情報を取得し、予め登録された携帯電話3であるか否かを判定するため、ワンタイムパスワードを送信する携帯電話3の素性を確認することで、高いセキュリティが実現される。
また、パスワード発行サーバ5が発行するワンタイムパスワードを照合することで認証を行うため、ユーザはユーザIDのみを記憶しておけばよく、認証に係るユーザの負担を大幅に軽減することができる。
【0032】
なお、本実施の形態では、Webサーバ4およびパスワード発行サーバ5を動作させる各プログラムを、ハードディスクに記憶させることとしたが、それらのプログラムは、プログラムが記憶されたCD―ROMから読み出してハードディスクにインストールされる。また、CD―ROM以外に、フレキシブルディスク、ICカード等のプログラムをコンピュータ可読の記録媒体からインストールすることもできる。さらに、通信回線を用いてプログラムをダウンロードするようにすることもできる。
【0033】
以上、本発明の実施の形態を説明したが、本発明は、前記した実施の形態に限定されることなく、本発明の趣旨を逸脱しない範囲内で様々に変形して実施可能である。
例えば、本実施の形態ではWebサーバ4とパスワード発行サーバ5とを異なるサーバとして示したが、Webサーバ4にパスワード発行サーバ5の機能を持たせて、1台のサーバとすることも可能である。
また、例えば、さらに高いセキュリティが必要となる場合には、本発明に従来技術のパスワードによる認証を組み合わせて実行することも可能である。
【図面の簡単な説明】
【0034】
【図1】ユーザ認証システムの概略構成図である。
【図2】ユーザ管理情報に含まれる情報の例である。
【図3】携帯電話管理情報に含まれる情報の例である。
【図4A】第1実施形態例によるユーザ認証システムの動作を説明するシーケンス図である。
【図4B】第1実施形態例によるユーザ認証システムの動作を説明するシーケンス図である。
【図5】ID入力画面の例を示す図面である。
【図6】パスワード入力画面の例を示す図面である。
【図7A】第2実施形態例によるユーザ認証システムの動作を説明するシーケンス図である。
【図7B】第2実施形態例によるユーザ認証システムの動作を説明するシーケンス図である。
【図7C】第2実施形態例によるユーザ認証システムの動作を説明するシーケンス図である。
【符号の説明】
【0035】
1 ユーザ認証システム
2 ユーザ端末
3 携帯電話
4 Webサーバ
5 パスワード発行サーバ
6 インターネット
7 電話回線網
41 ユーザ管理情報
51 携帯電話管理情報
【技術分野】
【0001】
本発明はインターネット上のユーザ認証技術に関し、特にセキュリティ強度を維持しつつ、ログインに要するユーザ負荷の軽減を図るユーザ認証システムおよびその方法に関する。
【背景技術】
【0002】
従来、ユーザ認証後に使用が許可されるシステムにおいて、ユーザ認証を行うための代表的な手法として、ユーザが使用する端末から、予め登録されたユーザ名及びパスワードを入力させ、当該システムにおいて照合を行い、正しい組み合わせであった場合にユーザの使用を許可するという方法がある。
前記の認証方法では、セキュリティの確保のために、例えば、パスワードを長くしたり、大小英文字を混在させたりするなどパスワードを複雑にすることで、場当たり的な英数文字の組合せ入力によるパスワードの一致を発生しにくくしている。また、有効期間を短くするなどして見破られたパスワードの再利用を防止している。
【0003】
また、USB(Universal Serial Bus)端子にハードウェアトークンを差し込むことで、このハードウェアトークンに記録されたID(Identification)を読み取って認証を行なうシステムも実現されている。
【0004】
しかしながら、前者の認証方法の場合、セキュリティを高めるために、パスワードを複雑化または定期的に変更すると、ユーザがパスワードを忘れたり、パスワードを紙などに記録して保管することでセキュリティ上の問題となることがあった。
また、後者の認証方法の場合、ハードウェアトークンを紛失したり、ハードウェアトークンに内蔵される電池を定期的に交換する必要があるなど、ハードウェアトークンの取り扱いが煩雑であった。
このような問題点に鑑み、非特許文献1には、ユーザが端末からログインを実行した際に、認証サーバが、電話回線網を介して携帯電話などにコールバックすることで別途の認証を行ない、端末および携帯電話における認証が成功した場合にのみ、システムの使用を許可するユーザ認証システムが開示されている。
【非特許文献1】“SecureCall”、サードネットワークス株式会社、[平成17年8月16日検索]、インターネット〈URL:http://www.thirdnetworks.co.jp/sc/03ser02.html〉
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、非特許文献1に記載のユーザ認証システムでは、端末において入力するユーザIDおよびパスワード、そして、さらに携帯電話から入力するパスワードの3つの組み合わせをユーザが記憶しておく必要があり、やはりユーザがパスワードを忘れてしまい、システムにログインできなくなる可能性があった。
本発明は前記の問題を解決するためになされたものであり、その目的は、高いセキュリティ性を維持しつつ、ログインに要するユーザ負荷を軽減することのできるユーザ認証システムおよびその方法を提供することにある。
【課題を解決するための手段】
【0006】
前記の課題を解決するためになされた本発明に係るユーザ認証システムは、認証に関する情報を入力するためのユーザ端末と、表示機能を有する携帯電話と、ワンタイムパスワードを生成するパスワード発行装置と、前記ユーザ端末にサービスを提供し、ユーザ認証を行なうサービス提供装置とを相互に接続して構成され、ユーザ端末は、ユーザからこのユーザを識別するユーザ識別情報を取得すると、このユーザ識別情報をサービス提供装置に送信し、携帯電話に表示されたワンタイムパスワードを取得すると、このワンタイムパスワードをサービス提供装置に送信し、前記携帯電話は、パスワード発行装置からワンタイムパスワードを受信すると、このワンタイムパスワードを表示し、パスワード発行装置は、ユーザ識別情報に対応させてこの携帯電話の接続情報である第1接続情報を予め記憶し、サービス提供装置からユーザ識別情報を取得すると、このユーザ識別情報に対応する第1接続情報を検索して、任意のワンタイムパスワードを生成してサービス提供装置に送信するとともに、第1接続情報を用いて、ワンタイムパスワードを携帯電話に送信し、サービス提供装置は、ユーザ識別情報を予め記憶し、ユーザ端末からユーザ識別情報を受信すると、サービス提供装置に記憶されたユーザ識別情報の中に、受信したユーザ識別情報と一致するものがあるか否かを判定して、一致するユーザ識別情報があると、このユーザ識別情報をパスワード発行装置に送信し、ユーザ端末およびパスワード発行装置からワンタイムパスワードを受信すると、2つのワンタイムパスワードを比較して、一致した場合は、ユーザ端末のアクセスを許可することを特徴としている。
本発明の他の形態については、実施の形態において説明する。
【発明の効果】
【0007】
本発明によると、携帯電話を用いることで、専用のハードウェアトークンなどを用いることなくセキュリティ強度を高めることができ、ユーザはユーザIDのみを記憶しておけばよく、システムへのログインに要するユーザ負荷を大幅に軽減することができる。
【発明を実施するための最良の形態】
【0008】
以下、添付した図面を参照しつつ、本発明の実施の形態を詳しく説明する。
図1は、本実施の形態に係るユーザ認証システムの概略構成図である。図1に示すように、本実施の形態に係るユーザ認証システム1は、ユーザの使用するユーザ端末2と、ユーザの使用する携帯電話3と、ユーザがログインを所望するWebサーバ4と、ユーザ端末2とWebサーバ4との認証を仲介するパスワード発行サーバ5とがインターネット6を介して相互に接続されている。
さらに、携帯電話3とパスワード発行サーバ5とは電話回線網7を介して接続されている。
【0009】
(ユーザ端末)
ユーザ端末2は、ユーザがインターネット6に接続してサービスの提供を受けるためのものであり、記憶装置のRAM(Random Access Memory)、ROM(Read Only Memory)およびハードディスク、演算装置のCPU(Central Processing Unit)、入力装置のマウスおよびキーボード、表示装置のディスプレイ、そして通信インタフェースのLAN(Local Area Network)カードなどを含んだ端末装置であり、例えば、パーソナルコンピュータにより具現される。
ユーザ端末2の記憶装置には、OS(Operating System)のほかに、Webブラウザソフトが記憶されており、これらのソフトウェアをRAMに展開してCPUが実行することで、インターネット6に接続可能な端末装置として動作する。
【0010】
(携帯電話)
携帯電話3は、ワンタイムパスワード取得のために利用され、記憶装置のRAMおよびROM、演算装置のCPU、入力装置のテンキー、表示装置のディスプレイ、そして通信インタフェースの通信回路を有している。
携帯電話3のROMは、携帯電話3を統括して制御するプログラムや、この携帯電話3で使用する画像データなどの他に、ウェブを閲覧するためのブラウザプログラムなどが記録されている。テンキーの操作により生成される操作情報は、CPUに入力され、CPUが生成した画像情報は、ディスプレイに出力される。
また、本実施の形態の携帯電話3のROMには、ショートメッセージを送受信するためのプログラムがさらに記憶されており、携帯電話会社が提供するショートメッセージサービスにより、携帯電話3の電話番号をアドレスとして電話回線網7を介してショートメッセージを送受信することができる。
なお、本実施の形態では、説明を容易にするために、図1において携帯電話3が直接インターネット6に接続されているように示したが、実際には、携帯電話3は電話回線網7に接続され、この電話回線網7に接続された図示しないゲートウェイを介してインターネット6に接続されている。
【0011】
(Webサーバ)
Webサーバ4は、インターネット6上でユーザに対してサービスを提供する装置であり、記憶装置のRAM、ROM、ハードディスク、演算装置のCPU、および通信インタフェースのLANカードを含んだ端末装置であり、例えば、サーバ用コンピュータにより具現される。
Webサーバ4のハードディスクにはサービス提供のためのサービスプログラム、ワンタイムパスワードを用いてユーザ認証を行なうユーザ認証プログラムおよびユーザに関する情報が含まれるユーザ管理情報41が記録されている。
【0012】
ここで、図2は、ユーザ管理情報41に含まれる情報の例を示したテーブルである。図2に示すように、ユーザ管理情報41には、Webサーバ4のサービスを利用可能なユーザについての情報が記録されており、ユーザごとに固有なユーザIDと対応付けて、ユーザ名、ユーザのプロフィールなどが含まれている。
このユーザ管理情報41は、ユーザ認証システム1を利用する前に、Webサーバ4の管理者などにより予め登録されたものである。
なお、Webサーバ4は、特許請求の範囲のサービス提供装置に相当している。また、ユーザIDは、特許請求の範囲のユーザ識別情報に相当している。
【0013】
(パスワード発行サーバ)
パスワード発行サーバ5は、Webサーバ4と同様に、記憶装置のRAM、ROM、ハードディスク、演算装置のCPU、および通信インタフェースのLANカードを含んだ端末装置であり、例えば、サーバ用コンピュータにより具現される。
パスワード発行サーバ5のハードディスクには、ユーザの使用する携帯電話3を識別する情報が含まれる携帯電話管理情報51およびランダムなワンタイムパスワードを発行するパスワード発行プログラムが記憶されている。このワンタイムパスワード発行プログラムは、ワンタイムパスワードを発行し、電話回線網7を介して携帯電話3にワンタイムパスワードを送信する。
【0014】
ここで、図3は、携帯電話管理情報51に含まれる情報の例を示したテーブルである。図3に示すように、携帯電話管理情報51には、携帯電話3のユーザごとに固有なユーザIDと対応付けて、その携帯電話3の電話番号、MAC(Media Access Control)アドレスなどが含まれている。また、この他に携帯電話3のESN(Electronic Serial Number)を含んでもよい。
この携帯電話管理情報51は、ユーザ認証システム1を利用する前に、パスワード発行サーバ5の管理者などにより予め登録されたものである。このパスワード発行サーバ5は、特許請求の範囲のパスワード発行装置に相当し、携帯電話3の電話番号は特許請求の範囲の第1接続情報に相当している。
なお、本実施の形態のユーザ認証システム1において、各構成要素間のインターネット6を介した通信は、例えば、SSL(Secure Socket Layer)を用いた暗号化通信によりなされる。
【0015】
(第1実施形態例)
以下に、前記したユーザ認証システム1において実行されるユーザ認証方法について、2つの実施形態例を説明する。
【0016】
はじめに、第1実施形態例に係るユーザ認証方法について、ユーザ認証システム1の動作を説明するシーケンス図である図4Aおよび図4Bを参照しつつ、詳しく説明する(適宜、図2、図3参照)。
本実施形態例では、ユーザIDを入力したユーザの認証を、ユーザが入力したワンタイムパスワードを照合することで行なう。
【0017】
はじめに、Webサーバ4のサービスを利用したいユーザは、ユーザ端末2からWebサーバ4にアクセスする(ステップS101)。これに応じて、Webサーバ4は、ユーザ端末2にID入力画面および、ユーザ端末2とWebサーバ4とのセッションを識別するセッションIDを送信する(ステップS102)。ここで、図5は、Webサーバ4が送信するID入力画面の例である。図5に示したID入力画面100には、ユーザ自身に割り当てられたユーザIDを入力するIDボックス101と、IDボックス101に入力されたユーザIDをWebサーバ4に送信する際に選択する送信ボタン102とが含まれて構成されている。
【0018】
次に、ユーザ端末2は、受信したID入力画面100をディスプレイに表示する(ステップS103)。そして、ユーザはこのID入力画面100のIDボックス101に自身のユーザIDを入力して、送信ボタン102を選択する。これにより、ユーザ端末2は、ユーザIDを取得して、この取得したユーザIDをWebサーバ4に送信する(ステップS104)。
そして、ユーザIDを受信したWebサーバ4は、ユーザ管理情報41を参照して、ユーザ管理情報41に受信したユーザIDと一致するユーザIDがあるか否かを判定する(ステップS105)。ここで、一致するユーザIDがない場合は(ステップS105で‘No’の場合)、ステップS102に戻って、ユーザIDの入力を促す。また、一致するユーザIDがある場合は(ステップS105で‘Yes’の場合)、ワンタイムパスワードの入力を促すパスワード入力画面をユーザ端末2に送信する(ステップS106)。ここで、図6はパスワード入力画面の例を示す図面である。図6に示すように、パスワード入力画面200は、後記する手順により携帯電話3のディスプレイに表示されるワンタイムパスワードを入力するパスワードボックス201と、パスワードボックス201に入力したワンタイムパスワードをWebサーバ4に送信する際に選択する認証ボタン202から構成されている。
【0019】
次に、Webサーバ4は、パスワード発行サーバ5に、ユーザ端末2とWebサーバ4とのセッションIDおよび受信したユーザIDを送信する(ステップS107)。
そして、パスワード発行サーバ5は、受信したユーザIDをキー情報として、携帯電話管理情報51から当該ユーザIDに対応する携帯電話3の電話番号を検索する(ステップS108)。
【0020】
次に、図4Bに移って、パスワード発行サーバ5は、ランダムにワンタイムパスワードを生成して(ステップS109)、このワンタイムパスワードと、ステップS107で受信したセッションIDとをWebサーバ4に送信する(ステップS110)。
そして、パスワード発行サーバ5は、ステップS109で生成したワンタイムパスワードを携帯電話3に送信する(ステップS111)。このとき、携帯電話3へのワンタイムパスワードの送信は、携帯電話会社が提供している電話回線網7を介したショートメッセージサービスを利用して送信することが望ましい。これは、クッキー情報に含まれる電話番号を確認することができるためである。また、パスワード発行サーバ5に音声合成手段を備えて、電話回線網7を介して携帯電話3にコールバックを行い、音声合成によりワンタイムパスワードを送信する構成としても同様の効果が得られる。
なお、インターネット6を介して、ワンタイムパスワードを携帯電話3に送信することももちろん可能である。
【0021】
次に、携帯電話3は受信したワンタイムパスワードをディスプレイに表示する(ステップS112)。そしてユーザは、図6に示したパスワード入力画面200のパスワードボックス201に、携帯電話3のディスプレイに表示されたワンタイムパスワードを入力して、認証ボタン202を選択する。これにより、ユーザ端末2は、ワンタイムパスワードを取得し(ステップS113)、このワンタイムパスワードと、ステップS102で取得したWebサーバ4のセッションIDとをWebサーバ4に送信する(ステップS114)。
そして、ワンタイムパスワードおよびセッションIDを受信したWebサーバ4は、ステップS110で取得したパスワード発行サーバ5から送信されたワンタイムパスワードおよびセッションIDとステップS114で取得したユーザ端末2から送信されたワンタイムパスワードおよびセッションIDとを比較して一致するか否かを判定する(ステップS115)。
【0022】
ステップS115の判定の結果、ワンタイムパスワードおよびセッションIDが一致しない場合は(ステップS115で‘No’の場合)、ステップS102に戻って(ステップS116)認証をやり直す。
また、ワンタイムパスワードおよびセッションIDが一致する場合は(ステップS115で‘Yes’の場合)、認証に成功したとして、ユーザ端末2のアクセスを許可する(ステップS117)。その後、ユーザは、ユーザ端末2を介して、Webサーバ4から所望のサービスを受けることになる。
【0023】
以上、説明したように、本実施形態例のユーザ認証方法によると、予め登録された携帯電話3にパスワード発行サーバ5が発行したワンタイムパスワードを送信し、このワンタイムパスワードを用いて、Webサーバ4において、ユーザの認証を行なう。これにより、たとえ他人のユーザIDを用いて、第三者がWebサーバ4へのアクセスを試みた場合であっても、パスワードを入力することはできず、ハードウェアトークンを用いた場合と同様の高いセキュリティが確保できる。また、携帯電話3のディスプレイに表示されるワンタイムパスワードをパスワード入力画面200に入力することで、認証が行なえるため、複雑なパスワードを覚える必要がなく、ログインに要するユーザ負荷が著しく軽減される。
【0024】
(第2実施形態例)
次に、第2実施形態例に係るユーザ認証方法について、ユーザ認証システム1の動作を説明するシーケンス図である図7Aないし図7Cを参照しつつ、詳しく説明する(適宜、図2、図3参照)。
本実施形態例は、ショートメッセージサービスを用いて、携帯電話3にパスワード発行サーバ5のアドレスおよびワンタイムパスワードを送信し、携帯電話3とパスワード発行サーバ5との間で認証を行い、Webサーバ4において、ワンタイムパスワードを照合することでユーザ認証を行なう。
【0025】
本実施形態例において、図7Aに示したステップS201ないしステップS208に係る動作は、第1実施形態例のステップS101ないしステップS108(図4A参照)と同様であるため、その説明は省略する。
次に、図7Bに移って、ステップS208において電話番号を検索したパスワード発行サーバ5は、この電話番号を用いて、携帯電話3に、ショートメッセージサービスにより、パスワード発行サーバ5のアドレスを送信する(ステップS209)。
そして、パスワード発行サーバ5のアドレスを受信した携帯電話3は、このアドレスを用いて、パスワード発行サーバ5にアクセスする(ステップS210)。
なお、パスワード発行サーバのアドレスは特許請求の範囲の第2接続情報に相当している。
【0026】
次に、携帯電話3からのアクセスを受けたパスワード発行サーバ5は、携帯電話3にクッキー情報の送信を要求する(ステップS211)。
そしてクッキー情報の送信を要求された携帯電話3は、パスワード発行サーバ5にクッキー情報を送信する(ステップS212)。ここで、携帯電話3が送信するクッキー情報には、その携帯電話3のMACアドレス、電話番号およびESNなどが含まれている。
なお、MACアドレス、電話番号およびESNは、特許請求の範囲の携帯電話識別情報に相当している。
【0027】
携帯電話3からクッキー情報を受信したパスワード発行サーバ5は、携帯電話管理情報51に登録された携帯電話3のMACアドレス、電話番号およびESNなどと照合することで、携帯電話管理情報51に、該当するユーザIDがあるか否かを判定する(ステップS213)。
ここで、携帯電話管理情報51に該当するユーザIDがない場合は(ステップS213で‘No’の場合)、携帯電話管理情報51に登録された携帯電話3からのアクセスを受け付けるために、ステップS209に戻る。
【0028】
一方、図7Cに移って、携帯電話管理情報51に該当するユーザIDがある場合は(ステップS213で‘Yes’の場合)、パスワード発行サーバ5は、ランダムにワンタイムパスワードを生成して(ステップS214)、このワンタイムパスワードと、ステップS207で受信したWebサーバ4のセッションIDとをWebサーバ4に送信する(ステップS215)。
そして、パスワード発行サーバ5は、ステップS214で生成したワンタイムパスワードを携帯電話3に送信する(ステップS216)。このとき、携帯電話3へのワンタイムパスワードの送信は、携帯電話会社が提供している電話回線網7を介したショートメッセージサービスを利用して送信することが望ましい。
【0029】
次に、携帯電話3は受信したワンタイムパスワードをディスプレイに表示する(ステップS217)。そしてユーザは、図6に示したパスワード入力画面200のパスワードボックス201に、携帯電話3のディスプレイに表示されたワンタイムパスワードを入力して、認証ボタン202を選択する。これにより、ユーザ端末2は、ワンタイムパスワードを取得し(ステップS218)、このワンタイムパスワードと、ステップS202で取得したWebサーバ4のセッションIDとをWebサーバ4に送信する(ステップS219)。
そして、ワンタイムパスワードおよびセッションIDを受信したWebサーバ4は、ユーザ管理情報41を参照して、取得したユーザIDからユーザを特定して、ステップS215で取得したパスワード発行サーバ5から送信されたワンタイムパスワードおよびセッションIDとステップS219で取得したユーザ端末2から送信されたワンタイムパスワードおよびセッションIDとを比較して一致するか否かを判定する(ステップS220)。
【0030】
ステップS220の判定の結果、ワンタイムパスワードおよびセッションIDが一致しない場合は(ステップS220で‘No’の場合)、エラーと判断して、ステップS202に戻って(ステップS221)認証をやり直す。
また、ワンタイムパスワードおよびセッションIDが一致する場合は(ステップS220で‘Yes’の場合)、認証に成功したとして、ユーザ端末2のアクセスを許可する(ステップS222)。その後、ユーザは、ユーザ端末2を介して、Webサーバ4から所望のサービスを受けることになる。
【0031】
以上、説明したように、本実施形態例のユーザ認証方法によると、パスワード発行サーバ5において、携帯電話3からクッキー情報を取得し、予め登録された携帯電話3であるか否かを判定するため、ワンタイムパスワードを送信する携帯電話3の素性を確認することで、高いセキュリティが実現される。
また、パスワード発行サーバ5が発行するワンタイムパスワードを照合することで認証を行うため、ユーザはユーザIDのみを記憶しておけばよく、認証に係るユーザの負担を大幅に軽減することができる。
【0032】
なお、本実施の形態では、Webサーバ4およびパスワード発行サーバ5を動作させる各プログラムを、ハードディスクに記憶させることとしたが、それらのプログラムは、プログラムが記憶されたCD―ROMから読み出してハードディスクにインストールされる。また、CD―ROM以外に、フレキシブルディスク、ICカード等のプログラムをコンピュータ可読の記録媒体からインストールすることもできる。さらに、通信回線を用いてプログラムをダウンロードするようにすることもできる。
【0033】
以上、本発明の実施の形態を説明したが、本発明は、前記した実施の形態に限定されることなく、本発明の趣旨を逸脱しない範囲内で様々に変形して実施可能である。
例えば、本実施の形態ではWebサーバ4とパスワード発行サーバ5とを異なるサーバとして示したが、Webサーバ4にパスワード発行サーバ5の機能を持たせて、1台のサーバとすることも可能である。
また、例えば、さらに高いセキュリティが必要となる場合には、本発明に従来技術のパスワードによる認証を組み合わせて実行することも可能である。
【図面の簡単な説明】
【0034】
【図1】ユーザ認証システムの概略構成図である。
【図2】ユーザ管理情報に含まれる情報の例である。
【図3】携帯電話管理情報に含まれる情報の例である。
【図4A】第1実施形態例によるユーザ認証システムの動作を説明するシーケンス図である。
【図4B】第1実施形態例によるユーザ認証システムの動作を説明するシーケンス図である。
【図5】ID入力画面の例を示す図面である。
【図6】パスワード入力画面の例を示す図面である。
【図7A】第2実施形態例によるユーザ認証システムの動作を説明するシーケンス図である。
【図7B】第2実施形態例によるユーザ認証システムの動作を説明するシーケンス図である。
【図7C】第2実施形態例によるユーザ認証システムの動作を説明するシーケンス図である。
【符号の説明】
【0035】
1 ユーザ認証システム
2 ユーザ端末
3 携帯電話
4 Webサーバ
5 パスワード発行サーバ
6 インターネット
7 電話回線網
41 ユーザ管理情報
51 携帯電話管理情報
【特許請求の範囲】
【請求項1】
認証に関する情報を入力するためのユーザ端末と、表示機能を有する携帯電話と、ワンタイムパスワードを生成するパスワード発行装置と、前記ユーザ端末にサービスを提供し、ユーザ認証を行なうサービス提供装置とを相互に接続して構成されるユーザ認証システムであって、
前記ユーザ端末は、ユーザからこのユーザを識別するユーザ識別情報を取得すると、このユーザ識別情報を前記サービス提供装置に送信し、前記携帯電話に表示された前記ワンタイムパスワードを取得すると、このワンタイムパスワードを前記サービス提供装置に送信し、
前記携帯電話は、前記パスワード発行装置から前記ワンタイムパスワードを受信すると、このワンタイムパスワードを表示し、
前記パスワード発行装置は、前記ユーザ識別情報に対応させて前記携帯電話の接続情報である第1接続情報を予め記憶し、前記サービス提供装置から前記ユーザ識別情報を取得すると、このユーザ識別情報に対応する前記第1接続情報を検索して、任意のワンタイムパスワードを生成して前記サービス提供装置に送信するとともに、前記第1接続情報を用いて、前記ワンタイムパスワードを前記携帯電話に送信し、
前記サービス提供装置は、前記ユーザ識別情報を予め記憶し、前記ユーザ端末から前記ユーザ識別情報を受信すると、前記サービス提供装置に記憶された前記ユーザ識別情報の中に、受信した前記ユーザ識別情報と一致するものがあるか否かを判定して、一致する前記ユーザ識別情報があると、このユーザ識別情報を前記パスワード発行装置に送信し、前記ユーザ端末および前記パスワード発行装置から前記ワンタイムパスワードを受信すると、2つの前記ワンタイムパスワードを比較して、一致した場合は、前記ユーザ端末のアクセスを許可すること、
を特徴とするユーザ認証システム。
【請求項2】
認証に関する情報を入力するためのユーザ端末と、ブラウザ機能を有する携帯電話と、ワンタイムパスワードを生成するパスワード発行装置と、前記ユーザ端末にサービスを提供し、ユーザ認証を行なうサービス提供装置とを相互に接続して構成されるユーザ認証システムであって、
前記ユーザ端末は、ユーザからこのユーザを識別するユーザ識別情報を取得すると、このユーザ識別情報を前記サービス提供装置に送信し、前記携帯電話に表示された前記ワンタイムパスワードを取得すると、このワンタイムパスワードを前記サービス提供装置に送信し、
前記パスワード発行装置は、前記ユーザ識別情報に対応させて、前記携帯電話の接続情報である第1接続情報を予め記憶し、前記サービス提供装置から前記ユーザ識別情報を取得すると、このユーザ識別情報に対応する前記第1接続情報を検索して、この第1接続情報を用いて前記携帯電話に、前記パスワード発行装置の接続情報である第2接続情報を送信し、前記携帯電話からのアクセスがあると、任意のワンタイムパスワードを生成して、このワンタイムパスワードを前記サービス提供装置に送信するとともに、前記ワンタイムパスワードを前記携帯電話に送信し、
前記携帯電話は、前記パスワード発行装置から前記第2接続情報を受信すると、この第2接続情報を用いて、前記パスワード発行装置にアクセスし、前記パスワード発行装置から前記ワンタイムパスワードを取得すると、このワンタイムパスワードを表示し、
前記サービス提供装置は、前記ユーザ識別情報が予め記憶され、前記ユーザ端末から前記ユーザ識別情報を受信すると、前記サービス提供装置に記憶された前記ユーザ識別情報の中に、取得した前記ユーザ識別情報と一致するものがあるか否かを判定して、一致する前記ユーザ識別情報がある場合に、この前記ユーザ識別情報を前記パスワード発行装置に送信し、前記ユーザ端末および前記パスワード発行装置から前記ワンタイムパスワードを受信すると、2つの前記ワンタイムパスワードを比較して、一致した場合は、前記ユーザ端末のアクセスを許可すること、
を特徴とするユーザ認証システム。
【請求項3】
前記携帯電話は、この携帯電話を識別する携帯電話識別情報を記憶し、
前記パスワード発行装置は、前記ユーザ識別情報に対応させて前記携帯電話識別情報が予め記憶され、前記携帯電話からのアクセスがあった場合に、前記携帯電話に前記携帯電話識別情報の送信を要求し、これに応じて前記携帯電話から前記携帯電話識別情報を受信すると、受信した前記携帯電話識別情報と、前記パスワード発行装置が記憶している前記携帯電話識別情報とを比較して、一致する前記携帯電話識別情報がある場合に、前記ワンタイムパスワードを前記携帯電話に送信すること、
を特徴とする請求項2に記載のユーザ認証システム。
【請求項4】
前記携帯電話識別情報はこの携帯電話の電話番号であり、
前記パスワード発行装置が前記携帯電話に前記ワンタイムパスワードを送信する際に、電話回線網を介して送信すること、
を特徴とする請求項3に記載のユーザ認証システム。
【請求項5】
認証に関する情報を入力するためのユーザ端末と、表示機能を有する携帯電話と、ワンタイムパスワードを生成するパスワード発行装置と、前記ユーザ端末にサービスを提供し、ユーザ認証を行なうサービス提供装置とを相互に接続して構成されるユーザ認証システムにおけるユーザ認証方法であって、
a)前記ユーザ端末が、ユーザからこのユーザを識別するユーザ識別情報を取得すると、このユーザ識別情報を前記サービス提供装置に送信する手順と、
b)前記ユーザ識別情報を予め記憶した前記サービス提供装置が、前記ユーザ端末から前記ユーザ識別情報を受信すると、前記サービス提供装置に記憶された前記ユーザ識別情報の中に、受信した前記ユーザ識別情報と一致するものがあるか否かを判定して、一致する前記ユーザ識別情報があると、このユーザ識別情報を前記パスワード発行装置に送信する手順と、
c)前記ユーザ識別情報に対応させて前記携帯電話の接続情報である第1接続情報が予め記憶された前記パスワード発行装置が、前記サービス提供装置から前記ユーザ識別情報を取得すると、このユーザ識別情報に対応する前記第1接続情報を検索して、任意のワンタイムパスワードを生成して前記サービス提供装置に送信するとともに、前記第1接続情報を用いて、前記ワンタイムパスワードを前記携帯電話に送信する手順と、
d)前記携帯電話が、前記パスワード発行装置から前記ワンタイムパスワードを受信すると、このワンタイムパスワードを表示する手順と、
e)前記ユーザ端末が、前記携帯電話に表示された前記ワンタイムパスワードを取得すると、このワンタイムパスワードを前記サービス提供装置に送信する手順と、
f)前記サービス提供装置が、前記ユーザ端末および前記パスワード発行装置から前記ワンタイムパスワードを受信すると、受信した2つの前記ワンタイムパスワードを比較して、一致した場合は、前記ユーザ端末のアクセスを許可する手順とを含むこと、
を特徴とするユーザ認証方法。
【請求項6】
認証に関する情報を入力するためのユーザ端末と、表示機能を有する携帯電話と、ワンタイムパスワードを生成するパスワード発行装置と、前記ユーザ端末にサービスを提供し、ユーザ認証を行なうサービス提供装置とを相互に接続して構成されるユーザ認証システムにおけるユーザ認証方法であって、
a)前記ユーザ端末が、ユーザからこのユーザを識別するユーザ識別情報を取得すると、このユーザ識別情報を前記サービス提供装置に送信する手順と、
b)前記ユーザ識別情報が予め記憶された前記サービス提供装置が、前記ユーザ端末から前記ユーザ識別情報を受信すると、前記サービス提供装置に記憶された前記ユーザ識別情報の中に、受信した前記ユーザ識別情報と一致するものがあるか否かを判定して、一致する前記ユーザ識別情報があると、このユーザ識別情報を前記パスワード発行装置に送信する手順と、
c)前記ユーザ識別情報に対応させて、前記携帯電話の接続情報である第1接続情報が予め記憶された前記パスワード発行装置が、前記サービス提供装置から前記ユーザ識別情報を取得すると、このユーザ識別情報に対応する前記第1接続情報を検索して、この第1接続情報を用いて前記携帯電話に、前記パスワード発行装置の接続情報である第2接続情報を送信し、
d)前記携帯電話が、前記パスワード発行装置から前記第2接続情報を受信すると、この第2接続情報を用いて、前記パスワード発行装置にアクセスする手順と、
e)前記パスワード発行装置が、前記携帯電話からのアクセスがあると、任意のワンタイムパスワードを生成して、このワンタイムパスワードを前記サービス提供装置に送信するとともに、前記ワンタイムパスワードを前記携帯電話に送信する手順と、
f)前記携帯電話が、前記パスワード発行装置から前記ワンタイムパスワードを受信すると、このワンタイムパスワードを表示する手順と、
g)前記ユーザ端末が、前記携帯電話に表示された前記ワンタイムパスワードを取得すると、このワンタイムパスワードを前記サービス提供装置に送信する手順と、
h)前記サービス提供装置が、前記ユーザ端末および前記パスワード発行装置から前記ワンタイムパスワードを受信すると、受信した2つの前記ワンタイムパスワードを比較して、一致した場合は、前記ユーザ端末のアクセスを許可する手順とを含むこと、
を特徴とするユーザ認証方法。
【請求項7】
前記携帯電話は、この携帯電話を識別する携帯電話識別情報を記憶し、前記パスワード発行装置には、前記携帯電話識別情報が予め記憶され、
前記手順e)において前記パスワード発行装置は、アクセスした前記携帯電話に、前記携帯電話識別情報の送信を要求し、これに応じて前記携帯電話から前記携帯電話識別情報を受信すると、受信した前記携帯電話識別情報と、前記パスワード発行装置が記憶している前記携帯電話識別情報とを比較して、一致する前記携帯電話識別情報がある場合に、前記ワンタイムパスワードを前記サービス提供装置および前記携帯電話に送信すること、
を特徴とする請求項6に記載のユーザ認証方法。
【請求項8】
前記携帯電話識別情報はこの携帯電話の電話番号であり、
前記手順e)において、前記パスワード発行装置が前記携帯電話に前記ワンタイムパスワードを送信する際に、電話回線網を介して送信すること、
を特徴とする請求項7に記載のユーザ認証方法。
【請求項1】
認証に関する情報を入力するためのユーザ端末と、表示機能を有する携帯電話と、ワンタイムパスワードを生成するパスワード発行装置と、前記ユーザ端末にサービスを提供し、ユーザ認証を行なうサービス提供装置とを相互に接続して構成されるユーザ認証システムであって、
前記ユーザ端末は、ユーザからこのユーザを識別するユーザ識別情報を取得すると、このユーザ識別情報を前記サービス提供装置に送信し、前記携帯電話に表示された前記ワンタイムパスワードを取得すると、このワンタイムパスワードを前記サービス提供装置に送信し、
前記携帯電話は、前記パスワード発行装置から前記ワンタイムパスワードを受信すると、このワンタイムパスワードを表示し、
前記パスワード発行装置は、前記ユーザ識別情報に対応させて前記携帯電話の接続情報である第1接続情報を予め記憶し、前記サービス提供装置から前記ユーザ識別情報を取得すると、このユーザ識別情報に対応する前記第1接続情報を検索して、任意のワンタイムパスワードを生成して前記サービス提供装置に送信するとともに、前記第1接続情報を用いて、前記ワンタイムパスワードを前記携帯電話に送信し、
前記サービス提供装置は、前記ユーザ識別情報を予め記憶し、前記ユーザ端末から前記ユーザ識別情報を受信すると、前記サービス提供装置に記憶された前記ユーザ識別情報の中に、受信した前記ユーザ識別情報と一致するものがあるか否かを判定して、一致する前記ユーザ識別情報があると、このユーザ識別情報を前記パスワード発行装置に送信し、前記ユーザ端末および前記パスワード発行装置から前記ワンタイムパスワードを受信すると、2つの前記ワンタイムパスワードを比較して、一致した場合は、前記ユーザ端末のアクセスを許可すること、
を特徴とするユーザ認証システム。
【請求項2】
認証に関する情報を入力するためのユーザ端末と、ブラウザ機能を有する携帯電話と、ワンタイムパスワードを生成するパスワード発行装置と、前記ユーザ端末にサービスを提供し、ユーザ認証を行なうサービス提供装置とを相互に接続して構成されるユーザ認証システムであって、
前記ユーザ端末は、ユーザからこのユーザを識別するユーザ識別情報を取得すると、このユーザ識別情報を前記サービス提供装置に送信し、前記携帯電話に表示された前記ワンタイムパスワードを取得すると、このワンタイムパスワードを前記サービス提供装置に送信し、
前記パスワード発行装置は、前記ユーザ識別情報に対応させて、前記携帯電話の接続情報である第1接続情報を予め記憶し、前記サービス提供装置から前記ユーザ識別情報を取得すると、このユーザ識別情報に対応する前記第1接続情報を検索して、この第1接続情報を用いて前記携帯電話に、前記パスワード発行装置の接続情報である第2接続情報を送信し、前記携帯電話からのアクセスがあると、任意のワンタイムパスワードを生成して、このワンタイムパスワードを前記サービス提供装置に送信するとともに、前記ワンタイムパスワードを前記携帯電話に送信し、
前記携帯電話は、前記パスワード発行装置から前記第2接続情報を受信すると、この第2接続情報を用いて、前記パスワード発行装置にアクセスし、前記パスワード発行装置から前記ワンタイムパスワードを取得すると、このワンタイムパスワードを表示し、
前記サービス提供装置は、前記ユーザ識別情報が予め記憶され、前記ユーザ端末から前記ユーザ識別情報を受信すると、前記サービス提供装置に記憶された前記ユーザ識別情報の中に、取得した前記ユーザ識別情報と一致するものがあるか否かを判定して、一致する前記ユーザ識別情報がある場合に、この前記ユーザ識別情報を前記パスワード発行装置に送信し、前記ユーザ端末および前記パスワード発行装置から前記ワンタイムパスワードを受信すると、2つの前記ワンタイムパスワードを比較して、一致した場合は、前記ユーザ端末のアクセスを許可すること、
を特徴とするユーザ認証システム。
【請求項3】
前記携帯電話は、この携帯電話を識別する携帯電話識別情報を記憶し、
前記パスワード発行装置は、前記ユーザ識別情報に対応させて前記携帯電話識別情報が予め記憶され、前記携帯電話からのアクセスがあった場合に、前記携帯電話に前記携帯電話識別情報の送信を要求し、これに応じて前記携帯電話から前記携帯電話識別情報を受信すると、受信した前記携帯電話識別情報と、前記パスワード発行装置が記憶している前記携帯電話識別情報とを比較して、一致する前記携帯電話識別情報がある場合に、前記ワンタイムパスワードを前記携帯電話に送信すること、
を特徴とする請求項2に記載のユーザ認証システム。
【請求項4】
前記携帯電話識別情報はこの携帯電話の電話番号であり、
前記パスワード発行装置が前記携帯電話に前記ワンタイムパスワードを送信する際に、電話回線網を介して送信すること、
を特徴とする請求項3に記載のユーザ認証システム。
【請求項5】
認証に関する情報を入力するためのユーザ端末と、表示機能を有する携帯電話と、ワンタイムパスワードを生成するパスワード発行装置と、前記ユーザ端末にサービスを提供し、ユーザ認証を行なうサービス提供装置とを相互に接続して構成されるユーザ認証システムにおけるユーザ認証方法であって、
a)前記ユーザ端末が、ユーザからこのユーザを識別するユーザ識別情報を取得すると、このユーザ識別情報を前記サービス提供装置に送信する手順と、
b)前記ユーザ識別情報を予め記憶した前記サービス提供装置が、前記ユーザ端末から前記ユーザ識別情報を受信すると、前記サービス提供装置に記憶された前記ユーザ識別情報の中に、受信した前記ユーザ識別情報と一致するものがあるか否かを判定して、一致する前記ユーザ識別情報があると、このユーザ識別情報を前記パスワード発行装置に送信する手順と、
c)前記ユーザ識別情報に対応させて前記携帯電話の接続情報である第1接続情報が予め記憶された前記パスワード発行装置が、前記サービス提供装置から前記ユーザ識別情報を取得すると、このユーザ識別情報に対応する前記第1接続情報を検索して、任意のワンタイムパスワードを生成して前記サービス提供装置に送信するとともに、前記第1接続情報を用いて、前記ワンタイムパスワードを前記携帯電話に送信する手順と、
d)前記携帯電話が、前記パスワード発行装置から前記ワンタイムパスワードを受信すると、このワンタイムパスワードを表示する手順と、
e)前記ユーザ端末が、前記携帯電話に表示された前記ワンタイムパスワードを取得すると、このワンタイムパスワードを前記サービス提供装置に送信する手順と、
f)前記サービス提供装置が、前記ユーザ端末および前記パスワード発行装置から前記ワンタイムパスワードを受信すると、受信した2つの前記ワンタイムパスワードを比較して、一致した場合は、前記ユーザ端末のアクセスを許可する手順とを含むこと、
を特徴とするユーザ認証方法。
【請求項6】
認証に関する情報を入力するためのユーザ端末と、表示機能を有する携帯電話と、ワンタイムパスワードを生成するパスワード発行装置と、前記ユーザ端末にサービスを提供し、ユーザ認証を行なうサービス提供装置とを相互に接続して構成されるユーザ認証システムにおけるユーザ認証方法であって、
a)前記ユーザ端末が、ユーザからこのユーザを識別するユーザ識別情報を取得すると、このユーザ識別情報を前記サービス提供装置に送信する手順と、
b)前記ユーザ識別情報が予め記憶された前記サービス提供装置が、前記ユーザ端末から前記ユーザ識別情報を受信すると、前記サービス提供装置に記憶された前記ユーザ識別情報の中に、受信した前記ユーザ識別情報と一致するものがあるか否かを判定して、一致する前記ユーザ識別情報があると、このユーザ識別情報を前記パスワード発行装置に送信する手順と、
c)前記ユーザ識別情報に対応させて、前記携帯電話の接続情報である第1接続情報が予め記憶された前記パスワード発行装置が、前記サービス提供装置から前記ユーザ識別情報を取得すると、このユーザ識別情報に対応する前記第1接続情報を検索して、この第1接続情報を用いて前記携帯電話に、前記パスワード発行装置の接続情報である第2接続情報を送信し、
d)前記携帯電話が、前記パスワード発行装置から前記第2接続情報を受信すると、この第2接続情報を用いて、前記パスワード発行装置にアクセスする手順と、
e)前記パスワード発行装置が、前記携帯電話からのアクセスがあると、任意のワンタイムパスワードを生成して、このワンタイムパスワードを前記サービス提供装置に送信するとともに、前記ワンタイムパスワードを前記携帯電話に送信する手順と、
f)前記携帯電話が、前記パスワード発行装置から前記ワンタイムパスワードを受信すると、このワンタイムパスワードを表示する手順と、
g)前記ユーザ端末が、前記携帯電話に表示された前記ワンタイムパスワードを取得すると、このワンタイムパスワードを前記サービス提供装置に送信する手順と、
h)前記サービス提供装置が、前記ユーザ端末および前記パスワード発行装置から前記ワンタイムパスワードを受信すると、受信した2つの前記ワンタイムパスワードを比較して、一致した場合は、前記ユーザ端末のアクセスを許可する手順とを含むこと、
を特徴とするユーザ認証方法。
【請求項7】
前記携帯電話は、この携帯電話を識別する携帯電話識別情報を記憶し、前記パスワード発行装置には、前記携帯電話識別情報が予め記憶され、
前記手順e)において前記パスワード発行装置は、アクセスした前記携帯電話に、前記携帯電話識別情報の送信を要求し、これに応じて前記携帯電話から前記携帯電話識別情報を受信すると、受信した前記携帯電話識別情報と、前記パスワード発行装置が記憶している前記携帯電話識別情報とを比較して、一致する前記携帯電話識別情報がある場合に、前記ワンタイムパスワードを前記サービス提供装置および前記携帯電話に送信すること、
を特徴とする請求項6に記載のユーザ認証方法。
【請求項8】
前記携帯電話識別情報はこの携帯電話の電話番号であり、
前記手順e)において、前記パスワード発行装置が前記携帯電話に前記ワンタイムパスワードを送信する際に、電話回線網を介して送信すること、
を特徴とする請求項7に記載のユーザ認証方法。
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図5】
【図6】
【図7A】
【図7B】
【図7C】
【図2】
【図3】
【図4A】
【図4B】
【図5】
【図6】
【図7A】
【図7B】
【図7C】
【公開番号】特開2007−102777(P2007−102777A)
【公開日】平成19年4月19日(2007.4.19)
【国際特許分類】
【出願番号】特願2006−262474(P2006−262474)
【出願日】平成18年9月27日(2006.9.27)
【出願人】(506234284)株式会社フォーバルテクノロジー (3)
【Fターム(参考)】
【公開日】平成19年4月19日(2007.4.19)
【国際特許分類】
【出願日】平成18年9月27日(2006.9.27)
【出願人】(506234284)株式会社フォーバルテクノロジー (3)
【Fターム(参考)】
[ Back to top ]