ユーザ認証システム及びその方法
【課題】機器認証を用いてサービス制御されている場合、他の機器から一時的にサービスを利用できるようにする。
【解決手段】本発明は、機器認証情報を用いて、機器IDを伴ったアクセスに用いられた機器を認証し、機器IDを持つ機器がユーザ所有機器であれば、機器から入力されたパスワードとユーザ認証情報とによりユーザ認証し、機器IDを持つ機器がユーザ非所有機器であれば、機器から入力されたユーザID及び一時的パスワードとユーザ認証情報とによりユーザ認証する。
【解決手段】本発明は、機器認証情報を用いて、機器IDを伴ったアクセスに用いられた機器を認証し、機器IDを持つ機器がユーザ所有機器であれば、機器から入力されたパスワードとユーザ認証情報とによりユーザ認証し、機器IDを持つ機器がユーザ非所有機器であれば、機器から入力されたユーザID及び一時的パスワードとユーザ認証情報とによりユーザ認証する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、機器認証とくくりつけたユーザ認証システム及びその方法に関する。
【背景技術】
【0002】
一般に、インターネット等のネットワーク上のサービスを利用する際のユーザを認証するために、サービスを利用するユーザはID/パスワードなどの認証情報を送信する。サービスを提供する事業者は、ID/パスワードを確認するための情報を保持しておき、これとユーザが送付してきたID/パスワードとを比較して認証を行う。パスワード等の秘密情報は、推測されにくいよう複雑で多くの文字数を用いることが必要である。ネットワークに接続されている機器がキーボード等の入出力装置を備えていればユーザは簡単にID/パスワードなどの認証情報を入力は容易である。一方、CE(Consumer Electronics)機器等の10キー程度の入出力装置しか持たない装置では、ID/パスワードなどの認証情報の入力が煩雑となり、課題になる。
【0003】
一方、CE機器その他では、ある特定の機種に限定してサービスを提供する形態がある。サービスを特定する理由は、サービス事業者がサービスを提供するためにサービス専用の機器を配布・販売したり、機器の付加価値を高めるためにその機器に限定してサービスを提供したりするためである。このとき、サービス事業者は機器を選別するために機器認証を行う。
【0004】
特許文献1では、ユーザによるID/パスワード等の入力の代わりにICカードや携帯メモリを入力装置として利用し、ユーザによる入力を簡略化して課題を解決している。このとき、機器とユーザをサービスに登録しユーザと機器を紐付けることで、ユーザ認証を含んだ形で機器認証が実施され、2回目以降はユーザの入力の手間を省いた機器認証だけを実施してユーザの入力を省略できるようになっている。
【0005】
他に、あるTV向けのサービスでは十分な強度を持ったパスワードの代わりとして、数字のみを利用した簡単なPIN(Personal Identification Number)と機器認証を組み合わせてユーザ認証を行う。特許文献1と手段は異なるが、機器とユーザを紐付けた後、ある特定の機器の操作者は限定されることを利用して、簡易的なパスワードであるPINを用いている。簡易的な認証方式であっても、このサービスの例では他の認証方式と組み合わせることで認証の強度を保つことができる。
【0006】
上記のように、従来技術では機器とユーザを紐付けることで、ユーザ認証の際のユーザ入力を省略または簡便化することができる。
【0007】
【特許文献1】特開2005-25337号
【発明の開示】
【発明が解決しようとする課題】
【0008】
TV・レコーダ等の機器に対してネットワーク経由でサービスが提供される場合、上記背景技術を利用するとサービス利用者であるユーザは、家庭内の機器の前にいる場合は快適にサービスを受けることができる。しかし、ネットワーク経由で固定された機器に対してサービスが提供されるため、ユーザはDVDやノートPCのように機器を持ち出すことは難しく、外出先においてこの機器でユーザがサービスを受けることが困難である。一方、ユーザは機器と紐付けて管理されているため、ユーザが外出先の機器でサービスを受けようとしても、当該ユーザとして登録された機器ではないので、サービスを受けることができない。すなわち、機器とユーザが紐付いていて機器認証がユーザ認証の前提となっているので、背景技術には機器が変わるとユーザ認証ができないという課題がある。
【課題を解決するための手段】
【0009】
本発明のユーザ認証システムは次のような構成である。機器認証情報を保持する機器認証情報管理装置、ユーザ認証情報を保持するユーザ認証情報管理装置、及び認証装置を有するユーザ認証システムである。その認証装置は、機器認証情報を用いて、機器IDを伴ったアクセスに用いられた機器を認証し、機器IDを持つ機器がユーザ所有機器であれば、機器から入力されたパスワードとユーザ認証情報とによりユーザ認証し、機器IDを持つ機器がユーザ非所有機器であれば、機器から入力されたユーザID及び一時的パスワードとユーザ認証情報とによりユーザ認証する。
【0010】
本発明の他の態様は、上記の認証装置によるユーザ認証手順のユーザ認証方法である。
【0011】
本発明のさらに他の態様は、一時的パスワードはユーザ所有機器からのアクセスに基づき発行される。
【0012】
本発明のさらに他の態様は、ユーザ非所有機器を使用するユーザの携帯電話に一時的パスワードが送信される。
【発明の効果】
【0013】
ネットワーク経由で固定された機器(ユーザ所有機器)に対してサービスが提供される場合(機器認証を用いてサービス制御されている場合)、外出先においてユーザがサービスを受けることが困難であるが、本発明よれば、他の機器(ユーザ非所有機器)から一時的にサービスを利用できる。
【発明を実施するための最良の形態】
【0014】
以下、本発明を実施する最良の形態について説明する。なお、説明は本発明を実施する1例であって、これによって本発明が限定されるものではない。
【実施例】
【0015】
図1は実施例の装置全体の概要を示す。サービス提供設備61は、ユーザ認証情報管理装置11と機器認証情報管理装置12とコンテンツ提供装置21と認証装置22と環境設定装置23と通信窓口装置24とネットワーク41とネットワーク42とから構成される。サービス提供設備61は、主にサービス事業者が所有しネットワーク43を通じてユーザ51に対して、ユーザ所有機器31またはユーザ非所有機器32にコンテンツ配布サービスを提供する。サービス提供設備61はサービス保障やバックアップのために複数設置しても良い。また、各装置は、物理的に同一であってもそうでなくても、同じ場所であってもそうでなくても、同一事業者であってもそうでなくても考慮の範囲内である。
【0016】
ユーザ認証情報管理装置11は、ネットワーク41を通じて機器認証情報管理装置12と認証装置22と環境設定装置23とに接続され、主にユーザ認証で用いられるユーザ認証情報を作成・管理する。ユーザ51の機器としてユーザ所有機器31が登録されていて、ユーザ51がユーザ所有端末31からアクセスしてきた場合は、PINなどの簡易認証情報の提示、もしくは、ユーザ51による端末からの入力を省略しても、認証が可能になるよな情報を保持している。図示を省略するが、本実施例ではユーザ所有機器31に対応付けて、少なくともユーザID、Pass(パスワード)を保持(格納)している。ユーザ認証情報管理装置11はサービス保障やバックアップのために複数設置しても良い。
【0017】
機器認証情報管理装置12は、ネットワーク41を通じてユーザ認証情報管理装置11と認証装置22と環境設定装置23と接続され、主に機器認証で用いられる機器認証情報を作成・管理する。ユーザ所有端末31とユーザ非所有端末32の機器認証で用いられる認証情報や機器情報を保持している。機器認証情報管理装置12はサービス保障やバックアップのために複数設置しても良い。
【0018】
ネットワーク41は、ユーザ認証情報管理装置11と機器認証情報管理装置12と認証装置22と環境設定装置23を接続する。通常はサービス提供設備内のLAN(Local Area Network)として構成される。
【0019】
コンテンツ提供装置21は、ネットワーク42を通じて通信窓口装置24と接続され、主にユーザ所有機器31やユーザ非所有機器32にコンテンツを配信・提供する。コンテンツ提供装置21はサービス保障やバックアップのために複数設置しても良い。
【0020】
認証装置22は、ネットワーク41を通じてユーザ認証情報管理装置11と機器認証情報管理装置12と環境設定装置23とに接続され、また、ネットワーク42を通じてコンテンツ提供装置21と環境設定装置23と通信窓口装置24と接続され、主にユーザ51とユーザ所有機器31とユーザ非所有機器32の認証を行う。認証装置22はサービス保障やバックアップのために複数設置しても良い。
【0021】
環境設定装置23は、ネットワーク41を通じてユーザ認証情報管理装置11と機器認証情報管理装置12と認証装置22とに接続され、また、ネットワーク42を通じてコンテンツ提供装置21と認証装置22と通信窓口装置24と接続され、主にユーザ51とユーザ所有機器31とユーザ非所有機器32の認証情報の設定を行う。環境設定装置23はサービス保障やバックアップのために複数設置しても良い。
【0022】
ネットワーク42は、コンテンツ提供装置21と認証装置22と環境設定装置23と環境設定装置23と通信窓口装置24を接続する。通常はサービス提供設備内のLANとして構成される。
【0023】
通信窓口装置24は、ネットワーク42を通じてコンテンツ提供装置21と認証装置22と環境設定装置23と接続され、また、ネットワーク43を通じてユーザ所有機器31とユーザ非所有機器32と接続され、ユーザ所有機器31とユーザ非所有機器32に対する通信窓口機能を提供する。通信窓口装置24はサービス保障やバックアップのために複数設置しても良い。
【0024】
ネットワーク43は、通信窓口装置24とユーザ所有機器31とユーザ非所有機器32を接続する。通常はインターネットや地域IP網等のWAN(Wide Area Network)で構成される。
【0025】
ユーザ所有機器31は、ネットワーク43を通じてサービス提供設備61内の通信窓口装置24と、ユーザ非所有機器32と接続され、サービス提供設備からコンテンツサービスを受ける。ユーザ所有機器31は、ユーザ51が所有する機器として登録されていて、ユーザ51がこの機器からコンテンツサービスを利用する場合は、PINなどの簡易認証情報の提示、もしくは、端末への入力を省略しても、サービスを利用できる。
【0026】
ユーザ非所有機器32は、ネットワーク43を通じてサービス提供設備61内の通信窓口装置24と、ユーザ所有機器31と接続され、サービス提供設備からコンテンツサービスを受ける。ユーザ51が所有する機器としては登録されていないため、ユーザ51がこの機器からコンテンツサービスを利用しても、PINなどの簡易認証情報の提示、もしくは、端末への入力を省略しては、サービスを利用できない。
【0027】
ユーザ51は、サービス事業者と契約し、ユーザ所有機器31やユーザ非所有機器32を使ってサービス提供設備にアクセスして、コンテンツサービスを受ける。
【0028】
携帯電話71は、ユーザ51が所有し、メールや2次元バーコードであるQRコード(Quick Response code)等を利用してサービス提供設備61から各種情報を入手し、ユーザ51に対して入手した情報を表示する。
【0029】
図2は、図1のユーザ認証情報管理装置11、機器認証情報管理装置12、コンテンツ提供装置21、認証装置22、環境設定装置23、及び通信窓口装置24の各々のハードウェア構成を示した図である。こららは一般的に普及しているPCと同等の機能・構成をしており、CPU1−2と、メモリ1−3と、ネットワークを介して他の装置と通信を行うための通信装置1−4と、キーボードやマウス等の入力装置1−5と、モニタやプリンタ等の出力装置1−6と、読取装置1−7と、ハードディスク等の内部・外部記憶装置1−8とが、各種インタフェース1−1を介して接続されている。1−2から1−9までの各部分は1つの構成の中に複数存在しても、構成要素として含んでいなくても良い。
【0030】
また、通信装置1−4は、図1に示したネットワーク41、ネットワーク42、ネットワーク43に接続しており、読取装置1−7にはICカードやUSBメモリのような、可搬性を有する記憶媒体1−9を取り付ける事ができる。
【0031】
各装置の各機能は、これらの機能を実装したプログラムをメモリ1−3上にロードし、それをCPU1−2が実行することにより実現される。
【0032】
図3は、図1のユーザ所有機器31とユーザ非所有機器32のハードウェア構成を示した図である。これらは一般的に普及しているPCと同等の機能・構成をしており、CPU2−2と、メモリ2−3と、ネットワークを介して他の装置と通信を行うための通信装置2−4と、リモコンや機器に埋め込まれたボタンやキーボードやマウス等の入力装置2−5と、モニタやプリンタ等の出力装置2−6と、読取装置2−7と、ハードディスク等の内部・外部記憶装置2−8と、受信信号から各種情報を抽出し利用できる形態に加工する受信装置2−10とが、各種インタフェース2−1を介して接続されている。2−2から2−10までの各部分は1つの構成の中に複数存在しても、構成要素として含んでいなくても良い。
【0033】
また、通信装置2−4は図1に示したネットワーク43に接続しており、読取装置2−7にはICカードやUSBメモリのような、可搬性を有する記憶媒体2−9を取り付けることができる。
【0034】
各装置の一部分の機能は、これらの機能を実装したプログラムをメモリ2−3上にロードし、それをCPU2−2が実行することにより実現でき、その他一部分の機能はプログラムをメモリ2−3上にロードしそれをCPU2−2が実行しなくても実現できる。
【0035】
図4は、ユーザ51が、ユーザ非所有端末32でサービスが受ける際に必要となる一時Pass(一時的に使用可能なパスワード)を、ユーザ所有端末31を利用して入手するためのシーケンス概要である。一時Passは、一時的に他の機器からサービスにアクセスするための専用パスワードで、サービスレベルを考慮して十分な強度が保たれる長さで設定されたパスワードであり、数字のみの構成や、場合によっては英字・記号などを含む。
【0036】
なお、一時Passの一時的に使用可能とは、以下では所定時刻まで(所定時間)使用可能として説明するが、所定回数まで使用可能であっても良い。
【0037】
シーケンス101では、サービス提供設備からサービスを受けるために、ユーザ51がユーザ所有機器31に対して操作を行う。具体的な操作内容は、ユーザ所有機器31の電源の投入、ネットワークサービス開始ボタンを押下、サービス提供設備のアクセス先を選択または入力である。
【0038】
シーケンス102では、ユーザ所有機器31からサービス提供設備61の通信窓口装置24にサービスを利用するためにアクセスする。アクセスするためのプロトコルとして、TCP (Transmission Control Protocol)上のHTTP(HyperText Transfer Protocol)やHTTPS(Hypertext Transfer Protocol Security)を利用するのが一般である。
【0039】
シーケンス103では、ユーザ所有機器31の機器がサービス提供対象の機器かどうかの判断に必要な機器認証を要求するために、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対して機器認証要求を送信する。この機器認証要求には、チャレンジアンドレスポンス認証(challenge and response authentication)のチャレンジデータに相当するような乱数を含む場合がある。
【0040】
シーケンス104では、機器認証要求に応答してユーザ所有機器31の正当性を示すために、ユーザ所有機器31の機器認証情報を、ユーザ所有機器31からサービス提供設備61の通信窓口装置24に送信する。この機器認証情報には、チャレンジアンドレスポンスのレスポンスに相当するような、チャレンジデータの秘密鍵やプレシェアードキー(Pre-Shared Key:事前共有鍵)による暗号化を含む場合がある。また、これらの鍵を証明するための証明書や、プレシェアードキーそのもの、機器を識別するための機器IDを含む場合がある。
【0041】
ステップ1001では、機器認証情報をユーザ所有機器31から受け取ったサービス提供設備61は、機器認証情報を確認して通信相手のユーザ所有機器31の正当性を確認する。正当性の確認の詳細は図6を用い後述する。
【0042】
シーケンス105では、ステップ1001で得られた機器認証結果を、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対して送付する。機器認証結果として、ユーザ所有機器31がサービス提供の対象となる正当な機器であった場合は、シーケンス106に進む。
【0043】
なお、機器認証結果として、ユーザ所有機器31がサービス提供の対象となる正当な機器でない場合は、ユーザ所有機器に対してエラーを伝える。機器認証でエラーとなったユーザ所有機器31は、再度シーケンス102からリトライをするか、ユーザ51に対して、サービス対象外の機器である旨を伝えるために、それがわかる表示を行う。
【0044】
なお、この表示内容は、サービス提供設備31より送付されたものを利用する場合や、サービス提供設備61から送付されたエラーコードを元にユーザ所有機器31であらかじめ保持している内容を表示する場合もある。
【0045】
シーケンス106では、ユーザ51がサービス提供対象のユーザかどうかの判断に必要なユーザ認証するために、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対してユーザ認証要求を送信する。
【0046】
シーケンス107では、ユーザ51にユーザ認証に必要なパスワードの入力を促すために、ユーザ所有機器31が出力装置2−6を通してユーザにPass入力を求める。
【0047】
シーケンス108では、ユーザ51がユーザ所有機器31の入力装置2−5を通してユーザ所有機器に対してパスワードを入力する。ユーザ51が所有するユーザ所有機器からのパスワードは短いパスワードを入力可能である。
【0048】
シーケンス109では、ユーザ51がサービス提供対象のユーザかどうかの判断に必要なパスワードをサービス提供設備61の通信窓口装置24に返信するために、ユーザ所有機器31からサービス提供設備61の通信窓口装置24に対してパスワードを送信する。
【0049】
ステップ2001では、ユーザ認証情報をユーザ所有機器31から受け取ったサービス提供設備61は、ユーザ認証情報を確認して通信相手のユーザ51の正当性を確認する。正当性の確認の詳細は図7を用い後述する。
【0050】
シーケンス110では、ステップ2001で得られたユーザ認証結果を、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対して送付する。ユーザ器認証結果として、ユーザ51がサービス提供の対象となる正当なユーザであった場合は、ステップ3001に進む。
【0051】
なお、ユーザ認証結果として、ユーザ51がサービス提供の対象となる正当なユーザでない場合は、ユーザ所有機器に対してエラーを伝える。ユーザ認証でエラーとなったユーザ51は、再度シーケンス106からリトライをするとともに、それがわかる表示を行う。
【0052】
なお、この表示内容は、サービス提供設備31より送付されたものを利用する場合や、サービス提供設備61から送付されたエラーコードを元にユーザ所有機器31であらかじめ保持している内容を表示する場合もある。
【0053】
ステップ3001では、ユーザ51やユーザ機器31に応じたサービスメニュー、たとえば、数あるサービスの中からユーザ所有機器が処理可能なものだけを選別したメニューや、ユーザの契約内容に従って利用できるものだけを選別したメニューや、一時Passを発行するためのメニューを作成する。この詳細説明は図8を用いて後述する。
【0054】
シーケンス111では、ユーザ51が利用できるサービスのメニューを表示するのに必要な情報として、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対してサービスメニューを送信する。
【0055】
シーケンス112では、ユーザ51にユーザが利用するサービスを選択させるために、ユーザ所有機器31が出力装置2−6を通してユーザにサービスメニューを表示しサービスの選択を求める。
【0056】
シーケンス113では、ユーザ51がユーザ所有機器31の入力装置2−5を通してユーザ所有機器に対して利用するサービスに対応したメニューを選択する。ここでは、本実施例にかかわるサービスとして一時Passの設定メニューを選択する。
【0057】
シーケンス114では、ユーザ51がサービスメニューに対するメニュー選択結果をサービス提供設備61の通信窓口装置24に返信するために、ユーザ所有機器31からサービス提供設備61の通信窓口装置24に対してメニュー選択情報を送信する。
【0058】
ステップ4001では、一時Pass設定の際に必要となる各種設定の画面を作成する。この詳細説明は図9を用いて後述する。
【0059】
シーケンス115では、ユーザ51が一時Pass設定の際に必要となる各種設定画面を表示するのに必要な情報として、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対して一時Pass発行画面を送信する。
【0060】
シーケンス116では、ユーザ51に一時Pass発行に必要な各種情報を設定させるために、ユーザ所有機器31が出力装置2−6を通してユーザ51に対して一時Pass発行画面を表示してサービスの選択を求める。
【0061】
シーケンス117では、ユーザ51がユーザ所有機器31の入力装置2−5に対して一時Pass発行に必要な各種情報を設定する。各種設定情報として、たとえばユーザが希望する一時Passや、一時Passを利用する期間や、一時Pass利用予定の環境や、一時Pass送付先の携帯電話のアドレスやその確認情報等の情報がある。 シーケンス118では、ユーザ51が一時Pass発行に必要な各種情報をサービス提供設備61の通信窓口装置24に返信するために、ユーザ所有機器31からサービス提供設備61の通信窓口装置24に対して各種設定情報を送信する。
【0062】
なお、一時Passを使用するユーザ非所有機器32の機器IDは、予め機器認証情報管理装置12に登録され、管理されるようにしたり、認証局発行の証明書を用いて登録され、管理されるようにしてもよいが、各種設定情報の一つの一時Pass利用予定の環境情報として機器IDを通信窓口装置24に送信し、通信窓口装置24が環境設定装置23を介して機器認証情報管理装置12に登録され、管理されるようにしてもよい。
【0063】
ステップ5001では、一時Pass発行に必要な各種設定情報を用いて、一時Passを設定し、設定結果をユーザ51に伝えるための画面を作成する。この詳細説明は図10を用いて後述する。
【0064】
シーケンス119では、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対してステップ5001で設定された一時Passや各種設定情報の確認画面情報を送信する。
【0065】
シーケンス120では、ユーザ所有機器31が出力装置2−6を通してユーザ51にステップ5001で設定された一時Passや各種設定情報の確認情報を表示するとともに、一時Pass受信確認応答のための情報を表示する。
【0066】
シーケンス121では、ユーザ51が移動先でも一時Passを確認できるようにするために、サービス提供設備61からシーケンス117で設定または確認されたユーザ所有の携帯電話71に対して一時Passを送信する。
【0067】
シーケンス122では、ユーザ所有の携帯電話71がユーザ51の操作を受けてサービス提供設備61から送付された一時Passを表示する。
【0068】
シーケンス122では、ユーザ51が一時Passが携帯電話71に送付されたことを確認するために、携帯電話71がユーザ51に対してサービス提供設備61から送付された一時Passを表示する。
【0069】
シーケンス123では、ユーザ51がユーザ所有機器31の入力装置2−5を通してユーザ所有機器31に対して、一時Passがサービス提供設備61から携帯電話71に対して送付されたことの確認結果を入力する。ここで、サービス提供設備から携帯電話71へ一時Passの送付されたことがユーザ51は確認できなかった場合、確認できなかったことを入力する。
【0070】
シーケンス124では、ユーザ所有機器31からサービス提供設備61の通信窓口装置24に対してユーザ51によって入力された一時Pass受信確認の結果を送信する。一時Pass受信確認を受け取ったサービス提供装置61は一時Passを有効にする。または、受信確認が受け取れなかった場合は、発行した一時Passを無効にする処理を行う。
【0071】
図5は、ユーザ51が、ユーザ非所有端末32でサービスが受ける際に必要となる一時Passを用いて、ユーザ非所有端末32を利用してサービスを受けるためのシーケンス概要である。
【0072】
シーケンス101からシーケンス107までは、図4と同じであるので、説明を省略する。
【0073】
シーケンス201では、Pass入力要求に対して入力する一時Passを調べることを目的に、携帯電話71に保存してある一時Passを表示させる操作をユーザ51が携帯電話71に対しておこなう。
【0074】
シーケンス202では、ユーザ51が携帯電話71に送付された一時Passを確認するために、携帯電話71がユーザ51に対してサービス提供設備61から送付された一時Passを表示する。
【0075】
シーケンス203では、ユーザ51がユーザ非所有機器32の入力装置2−5を通してユーザ非所有機器31に対してIDや一時Passを入力する。ユーザ51が所有していないユーザ非所有機器32からのパスワードは一時Passの入力が必要である。
【0076】
シーケンス204では、ユーザ51がサービス提供対象のユーザかどうかの判断に必要な一時Passをサービス提供設備61の通信窓口装置24に返信するために、ユーザ非所有機器32からサービス提供設備61の通信窓口装置24に対してパスワード(一時Pass)を送信する。
【0077】
ステップ2001では、ユーザ認証情報(一時Pass)をユーザ非所有機器32から受け取ったサービス提供設備61は、ユーザ認証情報を確認して通信相手のユーザ51の正当性を確認する。正当性の確認の詳細は図7を用い後述する。
【0078】
シーケンス110からシーケンス112までは、図4と同じであるので、説明を省略する。
【0079】
シーケンス205では、ユーザ51がユーザ所有機器31の入力装置2−5を通してユーザ非所有機器32に対して利用するサービスに対応したメニューを選択する。ここでは、通常のサービスを選択する。
【0080】
シーケンス206では、ユーザ51がサービスメニューに対するメニュー選択結果をサービス提供設備61の通信窓口装置24に返信するために、ユーザ非所有機器32からサービス提供設備61の通信窓口装置24に対してメニュー選択情報を送信する。
【0081】
ステップ6001では、メニュー選択情報に応じたサービスを開始するために、そのサービスのための画面情報の作成などを準備する。この詳細説明は図11を用いて後述する。
【0082】
シーケンス207では、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対してサービスが提供される。
【0083】
図6は、サービス提供設備61が、機器認証情報を確認して、通信相手のユーザ所有機器31又はユーザ非所有機器32の正当性を確認するためのシーケンス(図4及び図5のステップ1001の処理シーケンス)である。
【0084】
シーケンス1101では、ユーザ所有機器31又はユーザ非所有機器32の機器認証情報(機器ID及び機器認証に必要となる機器情報)をサービス提供設備61の通信窓口装置24から認証装置22に送信する。
【0085】
シーケンス1102では、機器認証情報管理装置12で管理されている機器認証に必要な情報を取得するために、認証装置22から機器認証情報管理装置12に対して機器認証情報要求を送信する。この機器認証情報要求には、通信窓口装置24から受信した機器IDを含んでいる。
【0086】
シーケンス1103では、認証装置22から機器認証情報要求を受け取った機器認証情報管理装置12は、機器認証情報要求に含まれる機器IDに対応した、機器認証情報管理装置12で管理している機器認証情報と機器IDとを認証装置22に送信する。
【0087】
ステップ1104では、シーケンス1101から得られた機器認証情報と、シーケンス1103で取得した機器認証情報とを比較することで、機器の認証を行う。
【0088】
シーケンス1105では、ステップ1104における機器認証結果を、機器認証結果を認証装置22から通信窓口装置24に対して送信する。
【0089】
図7は、サービス提供設備61がユーザ認証情報を確認して通信相手であるユーザ51の正当性を確認するためのシーケンス(図4及び図5のステップ2001の処理シーケンス)である。
【0090】
シーケンス2101では、ユーザ51のユーザ認証情報として、Passまたは、ID・一時Passをサービス提供設備61の通信窓口装置24から認証装置22に送信する。
【0091】
シーケンス2102では、ユーザ認証情報管理装置11で管理されているユーザ認証に必要な情報を取得するために、認証装置22からユーザ認証情報管理装置11に対して機器ID(図6のシーケンスで認証された機器ID)に紐付けられたユーザ認証情報要求を送信する。
【0092】
シーケンス2103では、認証装置22から機器IDに紐付けられたユーザ認証情報要求を受け取ったユーザ認証情報管理装置11は、機器認証に必要となるユーザ情報としてユーザのIDとPassを認証装置22に送信する。
【0093】
シーケンス2104では、ユーザ認証情報管理装置11で管理されているユーザ認証に必要な情報を取得するために、認証装置22からユーザ認証情報管理装置11に対してユーザIDに紐付けられたユーザ認証情報要求を送信する。
【0094】
シーケンス2105では、認証装置22からユーザIDに紐付けられたユーザ認証情報要求を受け取ったユーザ認証情報管理装置11は、機器認証に必要となるユーザ情報としてユーザの一時Passと有効期限を認証装置22に送信する。
【0095】
ステップ2106では、シーケンス2101から得られたユーザ認証情報と、シーケンス2103または2105で取得した機器認証情報をもとに処理し比較することで、ユーザの認証を行う。機器IDが示す機器がユーザ所有機器31を特定する場合は、シーケンス2104及び2105をスキップする。
【0096】
シーケンス2107では、ステップ1104におけるユーザ認証結果を、機器認証結果を認証装置22から通信窓口装置24に対して送信する。
【0097】
図8は、サービスメニューを作成するためのシーケンス(図4及び図5のステップ3001の処理シーケンス)である。シーケンス3101では、サービス提供画面を作成するための情報として、ユーザIDや機器IDおよび現在のサービス提供状況とユーザからの入力を含んだサービスメニュー画面情報要求をサービス提供設備61の通信窓口装置24からコンテンツ提供装置21に送信する。
【0098】
サービスメニュー画面情報要求を受け取ったコンテンツ提供装置21は、ユーザ51や機器に応じたサービスメニュー、たとえば、数あるサービスの中からユーザ所有機器が処理可能なものだけを選別したメニューや、ユーザの契約内容に従って利用できるものだけを選別したメニューや、一時Passを発行するためのサービスメニューのサービスメニュー情報を作成する。
【0099】
シーケンス3102では、コンテンツ提供装置21から通信窓口装置24にサービスメニュー情報を送信する。
【0100】
ステップ3103では、コンテンツ提供装置21から送信されたサービスメニュー情報を基に、ユーザが表示できるような形でサービスメニューを作成する。
【0101】
図9は、一時Pass発行画面情報要求を作成するためのシーケンス(図4のステップ4001の処理シーケンス)である。シーケンス4101では、一時Pass発行画面情報要求を作成するための情報として、ユーザIDや機器IDおよび現在のサービス提供状況とユーザからの入力を含んだ一時Pass発行画面情報要求をサービス提供設備61の通信窓口装置24から環境設定装置23に送信する。
【0102】
一時Pass発行画面情報要求を受け取った環境設定装置装置23は、ユーザ51や機器に応じた一時Pass発行画面情報要求、たとえばユーザの契約内容に従って利用できるものだけを選別したメニューの一時Pass発行画面情報を作成する。
【0103】
シーケンス4102では、環境設定装置装置23から通信窓口装置24に一時Pass発行画面情報を送信する。
【0104】
ステップ4103では、環境設定装置23から送信された一時Pass発行画面情報を基に、ユーザが表示できるような形で一時Pass発行画面を作成する。
【0105】
図10は、一時Pass発行に必要な各種設定情報を用いて、一時Passを設定し、設定結果をユーザ51に伝えるための画面を作成するためのシーケンス(図4のステップ5001の処理シーケンス)である。
【0106】
シーケンス5101では、一時Passを発行するための情報として、ユーザIDや一時Passの有効期限、場合に応じてさらにユーザが希望する一時Passをサービス提供設備61の通信窓口装置24から環境設定装置23に送信する。
【0107】
ステップ5102では、ユーザIDや一時Passの有効期限、場合に応じてさらにユーザが希望する一時Passを受け取った環境設定装置23は、そのユーザ用に一時Passを生成する。生成する一時Passは、サービスレベルや一時Passの有効期限に応じた強度を持たせ、たとえば数字6〜10桁など、機器認証と組み合わせて用いるPassと比較して強度が高く、IDと組み合わせて容易には予想できないものにする。
【0108】
生成した一時Passは、ユーザ所有の携帯電話71に送信して、ユーザ51が記憶しなくても外出先でも容易に一時Passを入力できるようにする。一時Passの携帯電話への送付方法は、メールやwebや音声などメッセージを電話に残せる形態で、直接一時Passを送付する方法と一時Passへアクセスするためのリンク情報を送付する場合がある。
【0109】
シーケンス5103では、ユーザIDと有効期限と生成した一時Passを、環境設定装置22からユーザ認証情報管理装置23に送信する。ユーザ認証装置は受け取ったユーザ認証情報を設定し記録管理する。なお、ユーザから一時Pass送付の確認情報が届いてから一時Passは有効にする。
【0110】
シーケンス5104では、一時Passの設定が終了したことを伝えるために、一時Passの情報やユーザIDや有効期限などを含む一時Pass設定応答を、ユーザ認証情報管理装置23から環境設定装置22に送付する。
【0111】
シーケンス5105では、環境設定装置装置23から通信窓口装置24に一時Passの情報やユーザIDや有効期限などを含む一時Pass発行画面情報を送信する。
【0112】
ステップ5106では、環境設定装置23から送信された一時Pass発行画面情報を基に、ユーザが表示できるような形で一時Pass発行画面を作成する。
【0113】
図11は、サービス画面を作成するためのシーケンス(図5のステップ6001の処理シーケンス)である。シーケンス6101では、サービス提供画面を作成するための情報として、ユーザIDや機器IDおよび現在のサービス提供状況とユーザからの入力を含んだサービス画面情報要求をサービス提供設備61の通信窓口装置24からコンテンツ提供装置21に送信する。サービス画面情報要求を受け取ったコンテンツ提供装置21は、ユーザ51や機器に応じたサービス、ユーザ所有機器が処理可能なように加工したサービスや、たとえばユーザの契約内容に従って利用できる形態に加工したサービスのサービス情報を作成する。
【0114】
シーケンス6102では、コンテンツ提供装置21から通信窓口装置24にサービス情報を送信する。
【0115】
ステップ6103では、コンテンツ提供装置21から送信されたサービス情報を基に、ユーザが表示できるような形でサービス画面を作成する。
【0116】
図12は、ユーザ認証情報管理装置23で管理される一時Pass管理テープル10001である。一時Pass管理テープル10001は、通常、ユーザID10002、一時Pass10003、有効期限10004の3つのカラムから構成される。このようにテーブル形式の情報保持だけでなく、XML(Extensible Markup Language)などを利用することも可能である。また、管理情報は上記3つだけでなく発効日や契約情報など他の情報とあわせて管理することも可能である。
【0117】
本実施例の説明では、ユーザ所有機器及びユーザ非所有機器という用語を用いたが、所有しているか否にとらわれない。前者をユーザが主に使用する機器、後者をユーザが副(サブ)として使用する機器としてもよい。また前者を固定機器(容易に移動できない機器)、後者を携行可能なポータブル機器としてもよい。
【0118】
さらにユーザ所有機器及びユーザ非所有機器は他のユーザと共用されても良い。極端な例を挙げれば、機器XとYがあり、ユーザAは機器Xをユーザ所有機器、機器Yをユーザ非所有機器として登録、使用し、ユーザBは機器Yをユーザ所有機器、機器Xをユーザ非所有機器として登録、使用することでも良い。
【0119】
また、上記のように機器Xと機器Yを同一ユーザでくくりつけることができるので、この機能を用いて、買い替え等に伴う登録機種を変更したり、同一ユーザに対して機器を追加することも可能である。
【0120】
ネットワーク経由で固定された機器(ユーザ所有機器)に対してサービスが提供される場合、外出先においてユーザがサービスを受けることが困難であるが、本実施例によれば、別の機器(ユーザ非所有機器)から一時的にサービスを利用できる。
【0121】
本実施例によれば、パスワードを携帯電話にメールすることで、ユーザは長いパスワードを覚えなくてもよくなる。
【0122】
本実施例は、テレビ・ビデオレコーダなどのコンシューマエレクトロニクス機器だけでなく、PCなどが利用するサービスにおける認証方式としても利用できる。
【図面の簡単な説明】
【0123】
【図1】実施例の装置全体の概要を示す。
【図2】サービス提供設備を構成する各装置のハードウェア構成である。
【図3】ユーザ所有機器とユーザ非所有機器のハードウェア構成である。
【図4】ユーザが一時Passを入手するまでのシーケンスである。
【図5】ユーザが一時Passを利用してサービスを受けるシーケンスである。
【図6】機器認証のシーケンスである。
【図7】ユーザ認証のシーケンスである。
【図8】サービスメニュー画面作成のシーケンスである。
【図9】一時Pass発行画面作成のシーケンスである。
【図10】一時Pass設定のシーケンスである。
【図11】サービス画面作成のシーケンスである。
【図12】一時Pass管理テーブルである。
【符号の説明】
【0124】
11:ユーザ認証情報管理装置、12:機器認証情報管理装置、21:コンテンツ提供装置、22:認証装置、23:環境設定装置、24:通信窓口装置、31:ユーザ所有機器、32:ユーザ非所有機器、41〜43:ネットワーク、51:ユーザ、61:サービス提供設備、71:携帯電話。
【技術分野】
【0001】
本発明は、機器認証とくくりつけたユーザ認証システム及びその方法に関する。
【背景技術】
【0002】
一般に、インターネット等のネットワーク上のサービスを利用する際のユーザを認証するために、サービスを利用するユーザはID/パスワードなどの認証情報を送信する。サービスを提供する事業者は、ID/パスワードを確認するための情報を保持しておき、これとユーザが送付してきたID/パスワードとを比較して認証を行う。パスワード等の秘密情報は、推測されにくいよう複雑で多くの文字数を用いることが必要である。ネットワークに接続されている機器がキーボード等の入出力装置を備えていればユーザは簡単にID/パスワードなどの認証情報を入力は容易である。一方、CE(Consumer Electronics)機器等の10キー程度の入出力装置しか持たない装置では、ID/パスワードなどの認証情報の入力が煩雑となり、課題になる。
【0003】
一方、CE機器その他では、ある特定の機種に限定してサービスを提供する形態がある。サービスを特定する理由は、サービス事業者がサービスを提供するためにサービス専用の機器を配布・販売したり、機器の付加価値を高めるためにその機器に限定してサービスを提供したりするためである。このとき、サービス事業者は機器を選別するために機器認証を行う。
【0004】
特許文献1では、ユーザによるID/パスワード等の入力の代わりにICカードや携帯メモリを入力装置として利用し、ユーザによる入力を簡略化して課題を解決している。このとき、機器とユーザをサービスに登録しユーザと機器を紐付けることで、ユーザ認証を含んだ形で機器認証が実施され、2回目以降はユーザの入力の手間を省いた機器認証だけを実施してユーザの入力を省略できるようになっている。
【0005】
他に、あるTV向けのサービスでは十分な強度を持ったパスワードの代わりとして、数字のみを利用した簡単なPIN(Personal Identification Number)と機器認証を組み合わせてユーザ認証を行う。特許文献1と手段は異なるが、機器とユーザを紐付けた後、ある特定の機器の操作者は限定されることを利用して、簡易的なパスワードであるPINを用いている。簡易的な認証方式であっても、このサービスの例では他の認証方式と組み合わせることで認証の強度を保つことができる。
【0006】
上記のように、従来技術では機器とユーザを紐付けることで、ユーザ認証の際のユーザ入力を省略または簡便化することができる。
【0007】
【特許文献1】特開2005-25337号
【発明の開示】
【発明が解決しようとする課題】
【0008】
TV・レコーダ等の機器に対してネットワーク経由でサービスが提供される場合、上記背景技術を利用するとサービス利用者であるユーザは、家庭内の機器の前にいる場合は快適にサービスを受けることができる。しかし、ネットワーク経由で固定された機器に対してサービスが提供されるため、ユーザはDVDやノートPCのように機器を持ち出すことは難しく、外出先においてこの機器でユーザがサービスを受けることが困難である。一方、ユーザは機器と紐付けて管理されているため、ユーザが外出先の機器でサービスを受けようとしても、当該ユーザとして登録された機器ではないので、サービスを受けることができない。すなわち、機器とユーザが紐付いていて機器認証がユーザ認証の前提となっているので、背景技術には機器が変わるとユーザ認証ができないという課題がある。
【課題を解決するための手段】
【0009】
本発明のユーザ認証システムは次のような構成である。機器認証情報を保持する機器認証情報管理装置、ユーザ認証情報を保持するユーザ認証情報管理装置、及び認証装置を有するユーザ認証システムである。その認証装置は、機器認証情報を用いて、機器IDを伴ったアクセスに用いられた機器を認証し、機器IDを持つ機器がユーザ所有機器であれば、機器から入力されたパスワードとユーザ認証情報とによりユーザ認証し、機器IDを持つ機器がユーザ非所有機器であれば、機器から入力されたユーザID及び一時的パスワードとユーザ認証情報とによりユーザ認証する。
【0010】
本発明の他の態様は、上記の認証装置によるユーザ認証手順のユーザ認証方法である。
【0011】
本発明のさらに他の態様は、一時的パスワードはユーザ所有機器からのアクセスに基づき発行される。
【0012】
本発明のさらに他の態様は、ユーザ非所有機器を使用するユーザの携帯電話に一時的パスワードが送信される。
【発明の効果】
【0013】
ネットワーク経由で固定された機器(ユーザ所有機器)に対してサービスが提供される場合(機器認証を用いてサービス制御されている場合)、外出先においてユーザがサービスを受けることが困難であるが、本発明よれば、他の機器(ユーザ非所有機器)から一時的にサービスを利用できる。
【発明を実施するための最良の形態】
【0014】
以下、本発明を実施する最良の形態について説明する。なお、説明は本発明を実施する1例であって、これによって本発明が限定されるものではない。
【実施例】
【0015】
図1は実施例の装置全体の概要を示す。サービス提供設備61は、ユーザ認証情報管理装置11と機器認証情報管理装置12とコンテンツ提供装置21と認証装置22と環境設定装置23と通信窓口装置24とネットワーク41とネットワーク42とから構成される。サービス提供設備61は、主にサービス事業者が所有しネットワーク43を通じてユーザ51に対して、ユーザ所有機器31またはユーザ非所有機器32にコンテンツ配布サービスを提供する。サービス提供設備61はサービス保障やバックアップのために複数設置しても良い。また、各装置は、物理的に同一であってもそうでなくても、同じ場所であってもそうでなくても、同一事業者であってもそうでなくても考慮の範囲内である。
【0016】
ユーザ認証情報管理装置11は、ネットワーク41を通じて機器認証情報管理装置12と認証装置22と環境設定装置23とに接続され、主にユーザ認証で用いられるユーザ認証情報を作成・管理する。ユーザ51の機器としてユーザ所有機器31が登録されていて、ユーザ51がユーザ所有端末31からアクセスしてきた場合は、PINなどの簡易認証情報の提示、もしくは、ユーザ51による端末からの入力を省略しても、認証が可能になるよな情報を保持している。図示を省略するが、本実施例ではユーザ所有機器31に対応付けて、少なくともユーザID、Pass(パスワード)を保持(格納)している。ユーザ認証情報管理装置11はサービス保障やバックアップのために複数設置しても良い。
【0017】
機器認証情報管理装置12は、ネットワーク41を通じてユーザ認証情報管理装置11と認証装置22と環境設定装置23と接続され、主に機器認証で用いられる機器認証情報を作成・管理する。ユーザ所有端末31とユーザ非所有端末32の機器認証で用いられる認証情報や機器情報を保持している。機器認証情報管理装置12はサービス保障やバックアップのために複数設置しても良い。
【0018】
ネットワーク41は、ユーザ認証情報管理装置11と機器認証情報管理装置12と認証装置22と環境設定装置23を接続する。通常はサービス提供設備内のLAN(Local Area Network)として構成される。
【0019】
コンテンツ提供装置21は、ネットワーク42を通じて通信窓口装置24と接続され、主にユーザ所有機器31やユーザ非所有機器32にコンテンツを配信・提供する。コンテンツ提供装置21はサービス保障やバックアップのために複数設置しても良い。
【0020】
認証装置22は、ネットワーク41を通じてユーザ認証情報管理装置11と機器認証情報管理装置12と環境設定装置23とに接続され、また、ネットワーク42を通じてコンテンツ提供装置21と環境設定装置23と通信窓口装置24と接続され、主にユーザ51とユーザ所有機器31とユーザ非所有機器32の認証を行う。認証装置22はサービス保障やバックアップのために複数設置しても良い。
【0021】
環境設定装置23は、ネットワーク41を通じてユーザ認証情報管理装置11と機器認証情報管理装置12と認証装置22とに接続され、また、ネットワーク42を通じてコンテンツ提供装置21と認証装置22と通信窓口装置24と接続され、主にユーザ51とユーザ所有機器31とユーザ非所有機器32の認証情報の設定を行う。環境設定装置23はサービス保障やバックアップのために複数設置しても良い。
【0022】
ネットワーク42は、コンテンツ提供装置21と認証装置22と環境設定装置23と環境設定装置23と通信窓口装置24を接続する。通常はサービス提供設備内のLANとして構成される。
【0023】
通信窓口装置24は、ネットワーク42を通じてコンテンツ提供装置21と認証装置22と環境設定装置23と接続され、また、ネットワーク43を通じてユーザ所有機器31とユーザ非所有機器32と接続され、ユーザ所有機器31とユーザ非所有機器32に対する通信窓口機能を提供する。通信窓口装置24はサービス保障やバックアップのために複数設置しても良い。
【0024】
ネットワーク43は、通信窓口装置24とユーザ所有機器31とユーザ非所有機器32を接続する。通常はインターネットや地域IP網等のWAN(Wide Area Network)で構成される。
【0025】
ユーザ所有機器31は、ネットワーク43を通じてサービス提供設備61内の通信窓口装置24と、ユーザ非所有機器32と接続され、サービス提供設備からコンテンツサービスを受ける。ユーザ所有機器31は、ユーザ51が所有する機器として登録されていて、ユーザ51がこの機器からコンテンツサービスを利用する場合は、PINなどの簡易認証情報の提示、もしくは、端末への入力を省略しても、サービスを利用できる。
【0026】
ユーザ非所有機器32は、ネットワーク43を通じてサービス提供設備61内の通信窓口装置24と、ユーザ所有機器31と接続され、サービス提供設備からコンテンツサービスを受ける。ユーザ51が所有する機器としては登録されていないため、ユーザ51がこの機器からコンテンツサービスを利用しても、PINなどの簡易認証情報の提示、もしくは、端末への入力を省略しては、サービスを利用できない。
【0027】
ユーザ51は、サービス事業者と契約し、ユーザ所有機器31やユーザ非所有機器32を使ってサービス提供設備にアクセスして、コンテンツサービスを受ける。
【0028】
携帯電話71は、ユーザ51が所有し、メールや2次元バーコードであるQRコード(Quick Response code)等を利用してサービス提供設備61から各種情報を入手し、ユーザ51に対して入手した情報を表示する。
【0029】
図2は、図1のユーザ認証情報管理装置11、機器認証情報管理装置12、コンテンツ提供装置21、認証装置22、環境設定装置23、及び通信窓口装置24の各々のハードウェア構成を示した図である。こららは一般的に普及しているPCと同等の機能・構成をしており、CPU1−2と、メモリ1−3と、ネットワークを介して他の装置と通信を行うための通信装置1−4と、キーボードやマウス等の入力装置1−5と、モニタやプリンタ等の出力装置1−6と、読取装置1−7と、ハードディスク等の内部・外部記憶装置1−8とが、各種インタフェース1−1を介して接続されている。1−2から1−9までの各部分は1つの構成の中に複数存在しても、構成要素として含んでいなくても良い。
【0030】
また、通信装置1−4は、図1に示したネットワーク41、ネットワーク42、ネットワーク43に接続しており、読取装置1−7にはICカードやUSBメモリのような、可搬性を有する記憶媒体1−9を取り付ける事ができる。
【0031】
各装置の各機能は、これらの機能を実装したプログラムをメモリ1−3上にロードし、それをCPU1−2が実行することにより実現される。
【0032】
図3は、図1のユーザ所有機器31とユーザ非所有機器32のハードウェア構成を示した図である。これらは一般的に普及しているPCと同等の機能・構成をしており、CPU2−2と、メモリ2−3と、ネットワークを介して他の装置と通信を行うための通信装置2−4と、リモコンや機器に埋め込まれたボタンやキーボードやマウス等の入力装置2−5と、モニタやプリンタ等の出力装置2−6と、読取装置2−7と、ハードディスク等の内部・外部記憶装置2−8と、受信信号から各種情報を抽出し利用できる形態に加工する受信装置2−10とが、各種インタフェース2−1を介して接続されている。2−2から2−10までの各部分は1つの構成の中に複数存在しても、構成要素として含んでいなくても良い。
【0033】
また、通信装置2−4は図1に示したネットワーク43に接続しており、読取装置2−7にはICカードやUSBメモリのような、可搬性を有する記憶媒体2−9を取り付けることができる。
【0034】
各装置の一部分の機能は、これらの機能を実装したプログラムをメモリ2−3上にロードし、それをCPU2−2が実行することにより実現でき、その他一部分の機能はプログラムをメモリ2−3上にロードしそれをCPU2−2が実行しなくても実現できる。
【0035】
図4は、ユーザ51が、ユーザ非所有端末32でサービスが受ける際に必要となる一時Pass(一時的に使用可能なパスワード)を、ユーザ所有端末31を利用して入手するためのシーケンス概要である。一時Passは、一時的に他の機器からサービスにアクセスするための専用パスワードで、サービスレベルを考慮して十分な強度が保たれる長さで設定されたパスワードであり、数字のみの構成や、場合によっては英字・記号などを含む。
【0036】
なお、一時Passの一時的に使用可能とは、以下では所定時刻まで(所定時間)使用可能として説明するが、所定回数まで使用可能であっても良い。
【0037】
シーケンス101では、サービス提供設備からサービスを受けるために、ユーザ51がユーザ所有機器31に対して操作を行う。具体的な操作内容は、ユーザ所有機器31の電源の投入、ネットワークサービス開始ボタンを押下、サービス提供設備のアクセス先を選択または入力である。
【0038】
シーケンス102では、ユーザ所有機器31からサービス提供設備61の通信窓口装置24にサービスを利用するためにアクセスする。アクセスするためのプロトコルとして、TCP (Transmission Control Protocol)上のHTTP(HyperText Transfer Protocol)やHTTPS(Hypertext Transfer Protocol Security)を利用するのが一般である。
【0039】
シーケンス103では、ユーザ所有機器31の機器がサービス提供対象の機器かどうかの判断に必要な機器認証を要求するために、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対して機器認証要求を送信する。この機器認証要求には、チャレンジアンドレスポンス認証(challenge and response authentication)のチャレンジデータに相当するような乱数を含む場合がある。
【0040】
シーケンス104では、機器認証要求に応答してユーザ所有機器31の正当性を示すために、ユーザ所有機器31の機器認証情報を、ユーザ所有機器31からサービス提供設備61の通信窓口装置24に送信する。この機器認証情報には、チャレンジアンドレスポンスのレスポンスに相当するような、チャレンジデータの秘密鍵やプレシェアードキー(Pre-Shared Key:事前共有鍵)による暗号化を含む場合がある。また、これらの鍵を証明するための証明書や、プレシェアードキーそのもの、機器を識別するための機器IDを含む場合がある。
【0041】
ステップ1001では、機器認証情報をユーザ所有機器31から受け取ったサービス提供設備61は、機器認証情報を確認して通信相手のユーザ所有機器31の正当性を確認する。正当性の確認の詳細は図6を用い後述する。
【0042】
シーケンス105では、ステップ1001で得られた機器認証結果を、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対して送付する。機器認証結果として、ユーザ所有機器31がサービス提供の対象となる正当な機器であった場合は、シーケンス106に進む。
【0043】
なお、機器認証結果として、ユーザ所有機器31がサービス提供の対象となる正当な機器でない場合は、ユーザ所有機器に対してエラーを伝える。機器認証でエラーとなったユーザ所有機器31は、再度シーケンス102からリトライをするか、ユーザ51に対して、サービス対象外の機器である旨を伝えるために、それがわかる表示を行う。
【0044】
なお、この表示内容は、サービス提供設備31より送付されたものを利用する場合や、サービス提供設備61から送付されたエラーコードを元にユーザ所有機器31であらかじめ保持している内容を表示する場合もある。
【0045】
シーケンス106では、ユーザ51がサービス提供対象のユーザかどうかの判断に必要なユーザ認証するために、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対してユーザ認証要求を送信する。
【0046】
シーケンス107では、ユーザ51にユーザ認証に必要なパスワードの入力を促すために、ユーザ所有機器31が出力装置2−6を通してユーザにPass入力を求める。
【0047】
シーケンス108では、ユーザ51がユーザ所有機器31の入力装置2−5を通してユーザ所有機器に対してパスワードを入力する。ユーザ51が所有するユーザ所有機器からのパスワードは短いパスワードを入力可能である。
【0048】
シーケンス109では、ユーザ51がサービス提供対象のユーザかどうかの判断に必要なパスワードをサービス提供設備61の通信窓口装置24に返信するために、ユーザ所有機器31からサービス提供設備61の通信窓口装置24に対してパスワードを送信する。
【0049】
ステップ2001では、ユーザ認証情報をユーザ所有機器31から受け取ったサービス提供設備61は、ユーザ認証情報を確認して通信相手のユーザ51の正当性を確認する。正当性の確認の詳細は図7を用い後述する。
【0050】
シーケンス110では、ステップ2001で得られたユーザ認証結果を、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対して送付する。ユーザ器認証結果として、ユーザ51がサービス提供の対象となる正当なユーザであった場合は、ステップ3001に進む。
【0051】
なお、ユーザ認証結果として、ユーザ51がサービス提供の対象となる正当なユーザでない場合は、ユーザ所有機器に対してエラーを伝える。ユーザ認証でエラーとなったユーザ51は、再度シーケンス106からリトライをするとともに、それがわかる表示を行う。
【0052】
なお、この表示内容は、サービス提供設備31より送付されたものを利用する場合や、サービス提供設備61から送付されたエラーコードを元にユーザ所有機器31であらかじめ保持している内容を表示する場合もある。
【0053】
ステップ3001では、ユーザ51やユーザ機器31に応じたサービスメニュー、たとえば、数あるサービスの中からユーザ所有機器が処理可能なものだけを選別したメニューや、ユーザの契約内容に従って利用できるものだけを選別したメニューや、一時Passを発行するためのメニューを作成する。この詳細説明は図8を用いて後述する。
【0054】
シーケンス111では、ユーザ51が利用できるサービスのメニューを表示するのに必要な情報として、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対してサービスメニューを送信する。
【0055】
シーケンス112では、ユーザ51にユーザが利用するサービスを選択させるために、ユーザ所有機器31が出力装置2−6を通してユーザにサービスメニューを表示しサービスの選択を求める。
【0056】
シーケンス113では、ユーザ51がユーザ所有機器31の入力装置2−5を通してユーザ所有機器に対して利用するサービスに対応したメニューを選択する。ここでは、本実施例にかかわるサービスとして一時Passの設定メニューを選択する。
【0057】
シーケンス114では、ユーザ51がサービスメニューに対するメニュー選択結果をサービス提供設備61の通信窓口装置24に返信するために、ユーザ所有機器31からサービス提供設備61の通信窓口装置24に対してメニュー選択情報を送信する。
【0058】
ステップ4001では、一時Pass設定の際に必要となる各種設定の画面を作成する。この詳細説明は図9を用いて後述する。
【0059】
シーケンス115では、ユーザ51が一時Pass設定の際に必要となる各種設定画面を表示するのに必要な情報として、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対して一時Pass発行画面を送信する。
【0060】
シーケンス116では、ユーザ51に一時Pass発行に必要な各種情報を設定させるために、ユーザ所有機器31が出力装置2−6を通してユーザ51に対して一時Pass発行画面を表示してサービスの選択を求める。
【0061】
シーケンス117では、ユーザ51がユーザ所有機器31の入力装置2−5に対して一時Pass発行に必要な各種情報を設定する。各種設定情報として、たとえばユーザが希望する一時Passや、一時Passを利用する期間や、一時Pass利用予定の環境や、一時Pass送付先の携帯電話のアドレスやその確認情報等の情報がある。 シーケンス118では、ユーザ51が一時Pass発行に必要な各種情報をサービス提供設備61の通信窓口装置24に返信するために、ユーザ所有機器31からサービス提供設備61の通信窓口装置24に対して各種設定情報を送信する。
【0062】
なお、一時Passを使用するユーザ非所有機器32の機器IDは、予め機器認証情報管理装置12に登録され、管理されるようにしたり、認証局発行の証明書を用いて登録され、管理されるようにしてもよいが、各種設定情報の一つの一時Pass利用予定の環境情報として機器IDを通信窓口装置24に送信し、通信窓口装置24が環境設定装置23を介して機器認証情報管理装置12に登録され、管理されるようにしてもよい。
【0063】
ステップ5001では、一時Pass発行に必要な各種設定情報を用いて、一時Passを設定し、設定結果をユーザ51に伝えるための画面を作成する。この詳細説明は図10を用いて後述する。
【0064】
シーケンス119では、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対してステップ5001で設定された一時Passや各種設定情報の確認画面情報を送信する。
【0065】
シーケンス120では、ユーザ所有機器31が出力装置2−6を通してユーザ51にステップ5001で設定された一時Passや各種設定情報の確認情報を表示するとともに、一時Pass受信確認応答のための情報を表示する。
【0066】
シーケンス121では、ユーザ51が移動先でも一時Passを確認できるようにするために、サービス提供設備61からシーケンス117で設定または確認されたユーザ所有の携帯電話71に対して一時Passを送信する。
【0067】
シーケンス122では、ユーザ所有の携帯電話71がユーザ51の操作を受けてサービス提供設備61から送付された一時Passを表示する。
【0068】
シーケンス122では、ユーザ51が一時Passが携帯電話71に送付されたことを確認するために、携帯電話71がユーザ51に対してサービス提供設備61から送付された一時Passを表示する。
【0069】
シーケンス123では、ユーザ51がユーザ所有機器31の入力装置2−5を通してユーザ所有機器31に対して、一時Passがサービス提供設備61から携帯電話71に対して送付されたことの確認結果を入力する。ここで、サービス提供設備から携帯電話71へ一時Passの送付されたことがユーザ51は確認できなかった場合、確認できなかったことを入力する。
【0070】
シーケンス124では、ユーザ所有機器31からサービス提供設備61の通信窓口装置24に対してユーザ51によって入力された一時Pass受信確認の結果を送信する。一時Pass受信確認を受け取ったサービス提供装置61は一時Passを有効にする。または、受信確認が受け取れなかった場合は、発行した一時Passを無効にする処理を行う。
【0071】
図5は、ユーザ51が、ユーザ非所有端末32でサービスが受ける際に必要となる一時Passを用いて、ユーザ非所有端末32を利用してサービスを受けるためのシーケンス概要である。
【0072】
シーケンス101からシーケンス107までは、図4と同じであるので、説明を省略する。
【0073】
シーケンス201では、Pass入力要求に対して入力する一時Passを調べることを目的に、携帯電話71に保存してある一時Passを表示させる操作をユーザ51が携帯電話71に対しておこなう。
【0074】
シーケンス202では、ユーザ51が携帯電話71に送付された一時Passを確認するために、携帯電話71がユーザ51に対してサービス提供設備61から送付された一時Passを表示する。
【0075】
シーケンス203では、ユーザ51がユーザ非所有機器32の入力装置2−5を通してユーザ非所有機器31に対してIDや一時Passを入力する。ユーザ51が所有していないユーザ非所有機器32からのパスワードは一時Passの入力が必要である。
【0076】
シーケンス204では、ユーザ51がサービス提供対象のユーザかどうかの判断に必要な一時Passをサービス提供設備61の通信窓口装置24に返信するために、ユーザ非所有機器32からサービス提供設備61の通信窓口装置24に対してパスワード(一時Pass)を送信する。
【0077】
ステップ2001では、ユーザ認証情報(一時Pass)をユーザ非所有機器32から受け取ったサービス提供設備61は、ユーザ認証情報を確認して通信相手のユーザ51の正当性を確認する。正当性の確認の詳細は図7を用い後述する。
【0078】
シーケンス110からシーケンス112までは、図4と同じであるので、説明を省略する。
【0079】
シーケンス205では、ユーザ51がユーザ所有機器31の入力装置2−5を通してユーザ非所有機器32に対して利用するサービスに対応したメニューを選択する。ここでは、通常のサービスを選択する。
【0080】
シーケンス206では、ユーザ51がサービスメニューに対するメニュー選択結果をサービス提供設備61の通信窓口装置24に返信するために、ユーザ非所有機器32からサービス提供設備61の通信窓口装置24に対してメニュー選択情報を送信する。
【0081】
ステップ6001では、メニュー選択情報に応じたサービスを開始するために、そのサービスのための画面情報の作成などを準備する。この詳細説明は図11を用いて後述する。
【0082】
シーケンス207では、サービス提供設備61の通信窓口装置24からユーザ所有機器31に対してサービスが提供される。
【0083】
図6は、サービス提供設備61が、機器認証情報を確認して、通信相手のユーザ所有機器31又はユーザ非所有機器32の正当性を確認するためのシーケンス(図4及び図5のステップ1001の処理シーケンス)である。
【0084】
シーケンス1101では、ユーザ所有機器31又はユーザ非所有機器32の機器認証情報(機器ID及び機器認証に必要となる機器情報)をサービス提供設備61の通信窓口装置24から認証装置22に送信する。
【0085】
シーケンス1102では、機器認証情報管理装置12で管理されている機器認証に必要な情報を取得するために、認証装置22から機器認証情報管理装置12に対して機器認証情報要求を送信する。この機器認証情報要求には、通信窓口装置24から受信した機器IDを含んでいる。
【0086】
シーケンス1103では、認証装置22から機器認証情報要求を受け取った機器認証情報管理装置12は、機器認証情報要求に含まれる機器IDに対応した、機器認証情報管理装置12で管理している機器認証情報と機器IDとを認証装置22に送信する。
【0087】
ステップ1104では、シーケンス1101から得られた機器認証情報と、シーケンス1103で取得した機器認証情報とを比較することで、機器の認証を行う。
【0088】
シーケンス1105では、ステップ1104における機器認証結果を、機器認証結果を認証装置22から通信窓口装置24に対して送信する。
【0089】
図7は、サービス提供設備61がユーザ認証情報を確認して通信相手であるユーザ51の正当性を確認するためのシーケンス(図4及び図5のステップ2001の処理シーケンス)である。
【0090】
シーケンス2101では、ユーザ51のユーザ認証情報として、Passまたは、ID・一時Passをサービス提供設備61の通信窓口装置24から認証装置22に送信する。
【0091】
シーケンス2102では、ユーザ認証情報管理装置11で管理されているユーザ認証に必要な情報を取得するために、認証装置22からユーザ認証情報管理装置11に対して機器ID(図6のシーケンスで認証された機器ID)に紐付けられたユーザ認証情報要求を送信する。
【0092】
シーケンス2103では、認証装置22から機器IDに紐付けられたユーザ認証情報要求を受け取ったユーザ認証情報管理装置11は、機器認証に必要となるユーザ情報としてユーザのIDとPassを認証装置22に送信する。
【0093】
シーケンス2104では、ユーザ認証情報管理装置11で管理されているユーザ認証に必要な情報を取得するために、認証装置22からユーザ認証情報管理装置11に対してユーザIDに紐付けられたユーザ認証情報要求を送信する。
【0094】
シーケンス2105では、認証装置22からユーザIDに紐付けられたユーザ認証情報要求を受け取ったユーザ認証情報管理装置11は、機器認証に必要となるユーザ情報としてユーザの一時Passと有効期限を認証装置22に送信する。
【0095】
ステップ2106では、シーケンス2101から得られたユーザ認証情報と、シーケンス2103または2105で取得した機器認証情報をもとに処理し比較することで、ユーザの認証を行う。機器IDが示す機器がユーザ所有機器31を特定する場合は、シーケンス2104及び2105をスキップする。
【0096】
シーケンス2107では、ステップ1104におけるユーザ認証結果を、機器認証結果を認証装置22から通信窓口装置24に対して送信する。
【0097】
図8は、サービスメニューを作成するためのシーケンス(図4及び図5のステップ3001の処理シーケンス)である。シーケンス3101では、サービス提供画面を作成するための情報として、ユーザIDや機器IDおよび現在のサービス提供状況とユーザからの入力を含んだサービスメニュー画面情報要求をサービス提供設備61の通信窓口装置24からコンテンツ提供装置21に送信する。
【0098】
サービスメニュー画面情報要求を受け取ったコンテンツ提供装置21は、ユーザ51や機器に応じたサービスメニュー、たとえば、数あるサービスの中からユーザ所有機器が処理可能なものだけを選別したメニューや、ユーザの契約内容に従って利用できるものだけを選別したメニューや、一時Passを発行するためのサービスメニューのサービスメニュー情報を作成する。
【0099】
シーケンス3102では、コンテンツ提供装置21から通信窓口装置24にサービスメニュー情報を送信する。
【0100】
ステップ3103では、コンテンツ提供装置21から送信されたサービスメニュー情報を基に、ユーザが表示できるような形でサービスメニューを作成する。
【0101】
図9は、一時Pass発行画面情報要求を作成するためのシーケンス(図4のステップ4001の処理シーケンス)である。シーケンス4101では、一時Pass発行画面情報要求を作成するための情報として、ユーザIDや機器IDおよび現在のサービス提供状況とユーザからの入力を含んだ一時Pass発行画面情報要求をサービス提供設備61の通信窓口装置24から環境設定装置23に送信する。
【0102】
一時Pass発行画面情報要求を受け取った環境設定装置装置23は、ユーザ51や機器に応じた一時Pass発行画面情報要求、たとえばユーザの契約内容に従って利用できるものだけを選別したメニューの一時Pass発行画面情報を作成する。
【0103】
シーケンス4102では、環境設定装置装置23から通信窓口装置24に一時Pass発行画面情報を送信する。
【0104】
ステップ4103では、環境設定装置23から送信された一時Pass発行画面情報を基に、ユーザが表示できるような形で一時Pass発行画面を作成する。
【0105】
図10は、一時Pass発行に必要な各種設定情報を用いて、一時Passを設定し、設定結果をユーザ51に伝えるための画面を作成するためのシーケンス(図4のステップ5001の処理シーケンス)である。
【0106】
シーケンス5101では、一時Passを発行するための情報として、ユーザIDや一時Passの有効期限、場合に応じてさらにユーザが希望する一時Passをサービス提供設備61の通信窓口装置24から環境設定装置23に送信する。
【0107】
ステップ5102では、ユーザIDや一時Passの有効期限、場合に応じてさらにユーザが希望する一時Passを受け取った環境設定装置23は、そのユーザ用に一時Passを生成する。生成する一時Passは、サービスレベルや一時Passの有効期限に応じた強度を持たせ、たとえば数字6〜10桁など、機器認証と組み合わせて用いるPassと比較して強度が高く、IDと組み合わせて容易には予想できないものにする。
【0108】
生成した一時Passは、ユーザ所有の携帯電話71に送信して、ユーザ51が記憶しなくても外出先でも容易に一時Passを入力できるようにする。一時Passの携帯電話への送付方法は、メールやwebや音声などメッセージを電話に残せる形態で、直接一時Passを送付する方法と一時Passへアクセスするためのリンク情報を送付する場合がある。
【0109】
シーケンス5103では、ユーザIDと有効期限と生成した一時Passを、環境設定装置22からユーザ認証情報管理装置23に送信する。ユーザ認証装置は受け取ったユーザ認証情報を設定し記録管理する。なお、ユーザから一時Pass送付の確認情報が届いてから一時Passは有効にする。
【0110】
シーケンス5104では、一時Passの設定が終了したことを伝えるために、一時Passの情報やユーザIDや有効期限などを含む一時Pass設定応答を、ユーザ認証情報管理装置23から環境設定装置22に送付する。
【0111】
シーケンス5105では、環境設定装置装置23から通信窓口装置24に一時Passの情報やユーザIDや有効期限などを含む一時Pass発行画面情報を送信する。
【0112】
ステップ5106では、環境設定装置23から送信された一時Pass発行画面情報を基に、ユーザが表示できるような形で一時Pass発行画面を作成する。
【0113】
図11は、サービス画面を作成するためのシーケンス(図5のステップ6001の処理シーケンス)である。シーケンス6101では、サービス提供画面を作成するための情報として、ユーザIDや機器IDおよび現在のサービス提供状況とユーザからの入力を含んだサービス画面情報要求をサービス提供設備61の通信窓口装置24からコンテンツ提供装置21に送信する。サービス画面情報要求を受け取ったコンテンツ提供装置21は、ユーザ51や機器に応じたサービス、ユーザ所有機器が処理可能なように加工したサービスや、たとえばユーザの契約内容に従って利用できる形態に加工したサービスのサービス情報を作成する。
【0114】
シーケンス6102では、コンテンツ提供装置21から通信窓口装置24にサービス情報を送信する。
【0115】
ステップ6103では、コンテンツ提供装置21から送信されたサービス情報を基に、ユーザが表示できるような形でサービス画面を作成する。
【0116】
図12は、ユーザ認証情報管理装置23で管理される一時Pass管理テープル10001である。一時Pass管理テープル10001は、通常、ユーザID10002、一時Pass10003、有効期限10004の3つのカラムから構成される。このようにテーブル形式の情報保持だけでなく、XML(Extensible Markup Language)などを利用することも可能である。また、管理情報は上記3つだけでなく発効日や契約情報など他の情報とあわせて管理することも可能である。
【0117】
本実施例の説明では、ユーザ所有機器及びユーザ非所有機器という用語を用いたが、所有しているか否にとらわれない。前者をユーザが主に使用する機器、後者をユーザが副(サブ)として使用する機器としてもよい。また前者を固定機器(容易に移動できない機器)、後者を携行可能なポータブル機器としてもよい。
【0118】
さらにユーザ所有機器及びユーザ非所有機器は他のユーザと共用されても良い。極端な例を挙げれば、機器XとYがあり、ユーザAは機器Xをユーザ所有機器、機器Yをユーザ非所有機器として登録、使用し、ユーザBは機器Yをユーザ所有機器、機器Xをユーザ非所有機器として登録、使用することでも良い。
【0119】
また、上記のように機器Xと機器Yを同一ユーザでくくりつけることができるので、この機能を用いて、買い替え等に伴う登録機種を変更したり、同一ユーザに対して機器を追加することも可能である。
【0120】
ネットワーク経由で固定された機器(ユーザ所有機器)に対してサービスが提供される場合、外出先においてユーザがサービスを受けることが困難であるが、本実施例によれば、別の機器(ユーザ非所有機器)から一時的にサービスを利用できる。
【0121】
本実施例によれば、パスワードを携帯電話にメールすることで、ユーザは長いパスワードを覚えなくてもよくなる。
【0122】
本実施例は、テレビ・ビデオレコーダなどのコンシューマエレクトロニクス機器だけでなく、PCなどが利用するサービスにおける認証方式としても利用できる。
【図面の簡単な説明】
【0123】
【図1】実施例の装置全体の概要を示す。
【図2】サービス提供設備を構成する各装置のハードウェア構成である。
【図3】ユーザ所有機器とユーザ非所有機器のハードウェア構成である。
【図4】ユーザが一時Passを入手するまでのシーケンスである。
【図5】ユーザが一時Passを利用してサービスを受けるシーケンスである。
【図6】機器認証のシーケンスである。
【図7】ユーザ認証のシーケンスである。
【図8】サービスメニュー画面作成のシーケンスである。
【図9】一時Pass発行画面作成のシーケンスである。
【図10】一時Pass設定のシーケンスである。
【図11】サービス画面作成のシーケンスである。
【図12】一時Pass管理テーブルである。
【符号の説明】
【0124】
11:ユーザ認証情報管理装置、12:機器認証情報管理装置、21:コンテンツ提供装置、22:認証装置、23:環境設定装置、24:通信窓口装置、31:ユーザ所有機器、32:ユーザ非所有機器、41〜43:ネットワーク、51:ユーザ、61:サービス提供設備、71:携帯電話。
【特許請求の範囲】
【請求項1】
機器認証情報を保持する機器認証情報管理装置、
ユーザ認証情報を保持するユーザ認証情報管理装置、及び
前記機器認証情報を用いて、機器IDを伴ったアクセスに用いられた機器を認証し、
前記機器IDを持つ前記機器がユーザ所有機器であれば、前記機器から入力されたパスワードと前記ユーザ認証情報とによりユーザ認証し、
前記機器IDを持つ前記機器がユーザ非所有機器であれば、前記機器から入力されたユーザID及び一時的パスワードと前記ユーザ認証情報とによりユーザ認証する認証装置を有することを特徴とするユーザ認証システム。
【請求項2】
前記一時的パスワードを、前記ユーザ所有機器からの要求に基づき発行すると共に、発行した前記一時的パスワードを、前記ユーザ非所有機器を使用するユーザの携帯電話に送信する装置を、さらに有することを特徴とする請求項1記載のユーザ認証システム。
【請求項3】
前記ユーザ認証情報管理装置において、前記一時的パスワードの有効期間が管理されていることを特徴とする請求項2記載のユーザ認証システム。
【請求項4】
前記ユーザ認証情報管理装置において、前記一時的パスワードの有効期間が管理されていることを特徴とする請求項1記載のユーザ認証システム。
【請求項5】
機器認証情報とユーザ認証情報とを格納する記憶装置、及び
前記機器認証情報を用いて、機器IDを伴ったアクセスに用いられた機器を認証し、
前記機器IDを持つ前記機器がユーザ所有機器であれば、前記機器から入力されたパスワードと前記ユーザ認証情報とによりユーザ認証し、
前記機器IDを持つ前記機器がユーザ非所有機器であれば、前記機器から入力されたユーザID及び一時的パスワードと前記ユーザ認証情報とによりユーザ認証するCPUを有することを特徴とするユーザ認証システム。
【請求項6】
機器認証情報管理装置に保持されている機器認証情報を用いて、機器IDを伴ったアクセスに用いられた機器を認証し、
前記機器IDを持つ前記機器がユーザ所有機器であれば、前記機器から入力されたパスワードと、ユーザ認証情報管理装置に保持されているユーザ認証情報とによりユーザ認証し、
前記機器IDを持つ前記機器がユーザ非所有機器であれば、前記機器から入力されたユーザID及び一時的パスワードと前記ユーザ認証情報とによりユーザ認証することを特徴とするユーザ認証方法。
【請求項7】
前記一時的パスワードを、前記ユーザ所有機器からの要求に基づき発行すると共に、発行した前記一時的パスワードを、前記ユーザ非所有機器を使用するユーザの携帯電話に送信することを特徴とする請求項6記載のユーザ認証方法。
【請求項8】
前記ユーザ認証情報管理装置において、前記一時的パスワードの有効期間が管理されていることを特徴とする請求項7記載のユーザ認証方法。
【請求項9】
前記ユーザ認証情報管理装置において、前記一時的パスワードの有効期間が管理されていることを特徴とする請求項6記載のユーザ認証方法。
【請求項1】
機器認証情報を保持する機器認証情報管理装置、
ユーザ認証情報を保持するユーザ認証情報管理装置、及び
前記機器認証情報を用いて、機器IDを伴ったアクセスに用いられた機器を認証し、
前記機器IDを持つ前記機器がユーザ所有機器であれば、前記機器から入力されたパスワードと前記ユーザ認証情報とによりユーザ認証し、
前記機器IDを持つ前記機器がユーザ非所有機器であれば、前記機器から入力されたユーザID及び一時的パスワードと前記ユーザ認証情報とによりユーザ認証する認証装置を有することを特徴とするユーザ認証システム。
【請求項2】
前記一時的パスワードを、前記ユーザ所有機器からの要求に基づき発行すると共に、発行した前記一時的パスワードを、前記ユーザ非所有機器を使用するユーザの携帯電話に送信する装置を、さらに有することを特徴とする請求項1記載のユーザ認証システム。
【請求項3】
前記ユーザ認証情報管理装置において、前記一時的パスワードの有効期間が管理されていることを特徴とする請求項2記載のユーザ認証システム。
【請求項4】
前記ユーザ認証情報管理装置において、前記一時的パスワードの有効期間が管理されていることを特徴とする請求項1記載のユーザ認証システム。
【請求項5】
機器認証情報とユーザ認証情報とを格納する記憶装置、及び
前記機器認証情報を用いて、機器IDを伴ったアクセスに用いられた機器を認証し、
前記機器IDを持つ前記機器がユーザ所有機器であれば、前記機器から入力されたパスワードと前記ユーザ認証情報とによりユーザ認証し、
前記機器IDを持つ前記機器がユーザ非所有機器であれば、前記機器から入力されたユーザID及び一時的パスワードと前記ユーザ認証情報とによりユーザ認証するCPUを有することを特徴とするユーザ認証システム。
【請求項6】
機器認証情報管理装置に保持されている機器認証情報を用いて、機器IDを伴ったアクセスに用いられた機器を認証し、
前記機器IDを持つ前記機器がユーザ所有機器であれば、前記機器から入力されたパスワードと、ユーザ認証情報管理装置に保持されているユーザ認証情報とによりユーザ認証し、
前記機器IDを持つ前記機器がユーザ非所有機器であれば、前記機器から入力されたユーザID及び一時的パスワードと前記ユーザ認証情報とによりユーザ認証することを特徴とするユーザ認証方法。
【請求項7】
前記一時的パスワードを、前記ユーザ所有機器からの要求に基づき発行すると共に、発行した前記一時的パスワードを、前記ユーザ非所有機器を使用するユーザの携帯電話に送信することを特徴とする請求項6記載のユーザ認証方法。
【請求項8】
前記ユーザ認証情報管理装置において、前記一時的パスワードの有効期間が管理されていることを特徴とする請求項7記載のユーザ認証方法。
【請求項9】
前記ユーザ認証情報管理装置において、前記一時的パスワードの有効期間が管理されていることを特徴とする請求項6記載のユーザ認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2009−181396(P2009−181396A)
【公開日】平成21年8月13日(2009.8.13)
【国際特許分類】
【出願番号】特願2008−20506(P2008−20506)
【出願日】平成20年1月31日(2008.1.31)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.QRコード
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成21年8月13日(2009.8.13)
【国際特許分類】
【出願日】平成20年1月31日(2008.1.31)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.QRコード
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]