ワンタイムパスワードを用いた認証システム、認証サーバ及び認証方法
【課題】 クレジットカード加盟店で商品等を購入するユーザをOTP(ワンタイムパスワード)を用いて認証し、加盟店サーバにログインする際にも共通のOTPを適用することが可能であり、かつ、購入要求時にクレジットカードのカード番号の入力を不要とする認証システム等を提供する。
【解決手段】 加盟店サーバ、カード事業者サーバを共通のOTPシリアル等を用いてOTPによる認証を行う認証サーバと接続し、それぞれ加盟店サーバへのログイン時、加盟店サーバが受け付けた購入要求に対するカード事業者サーバでのクレジットカードによる決済承認時において、ユーザの認証に認証サーバの提供するOTPを利用することによって、ユーザはOTPの利用に必要な一のOTPシリアルとOTPシードをユーザの操作する端末に記憶させるだけで、ログイン時、購入承認時の二段階でOTPによる認証を受けることが可能になる。
【解決手段】 加盟店サーバ、カード事業者サーバを共通のOTPシリアル等を用いてOTPによる認証を行う認証サーバと接続し、それぞれ加盟店サーバへのログイン時、加盟店サーバが受け付けた購入要求に対するカード事業者サーバでのクレジットカードによる決済承認時において、ユーザの認証に認証サーバの提供するOTPを利用することによって、ユーザはOTPの利用に必要な一のOTPシリアルとOTPシードをユーザの操作する端末に記憶させるだけで、ログイン時、購入承認時の二段階でOTPによる認証を受けることが可能になる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための認証システム、認証サーバ及び認証方法に関するものである。
【背景技術】
【0002】
近年、インターネットを利用した電子商取引の拡大に伴い、ネット上で購入した商品やサービスの代金決済にクレジットカードが用いられる機会が増加している。従来の店舗に設置されたCAT端末と専用のネットワークを用いた決済に比べ、ネット上でクレジットカードによる決済を行うと、クレジットカードのカード番号流出による不正取引のリスクが著しく高まることとなり、クレジットカードの安全対策が電子商取引における重要な課題となっている。
【0003】
これに対して、ネット上でクレジットカードを利用して代金決済を行う際に、クレジットカードに印字されたセキュリティコードの入力を求めたり、クレジットカードのカード番号とあわせてカード会社に登録したパスワードを入力させたりすることによって、クレジットカードの所有者であることを確認する本人認証が利用されるようになっている(例えば、非特許文献1、非特許文献2参照)。
【0004】
また、パスワードが流出するリスクを回避できる方法として、ワンタイムパスワード(OTP)が利用されることもあり、例えば、専用の補助装置にICカードを挿入すると、生体情報による本人認証を条件に、クレジットカードのカード番号とワンタイムパスワードが表示され、このワンタイムパスワードによってクレジットカード利用時の本人認証を行う発明が開示されている(特許文献1参照)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2008−15924号公報
【非特許文献】
【0006】
【非特許文献1】「3−Dセキュア」の解説、IT用語辞典・e−Wordsホームページ、[2009年11月2日検索]、インターネット<URL:http://e-words.jp/w/3-DE382BBE382ADE383A5E382A2.html>
【非特許文献2】安全なオンラインショッピング、Visa Inc.・VISAカードホームページ、[2009年11月2日検索]、インターネット<URL: http://www.visa-asia.com/ap/jp/cardholders/security/vbv.shtml>
【発明の概要】
【発明が解決しようとする課題】
【0007】
特許文献1記載の発明のように、ワンタイムパスワードを利用することで取引の安全性が高められることになるが、安全性や利便性の観点から、引続きいくつかの課題を有するものとなっている。第1に、顧客がネット上でクレジットカードを利用して代金決済を行うケースでは、その前提として何らかの商品販売サイトやサービス提供サイトにログインした状態にあることが多いと考えられるが、安全性の高いワンタイムパスワードを利用するのであれば、クレジットカードの決済承認を行うときだけでなく、これらのサイトにログインをする際にも、共通のワンタイムパスワードの仕組みを用いて認証を行うこととすれば、取引を行う入口段階での安全性も強化することが可能になると考えられる。
【0008】
第2に、特許文献1記載の発明でも顧客にはクレジットカードのカード番号を入力することが求められ、このカード番号はネットワークを介して送信されるため(特許文献1の段落0125等参照)、ネットワーク上においてカード番号が流出するリスクが生じてしまうことになるが、顧客の操作する端末から、購入要求のたびにクレジットカードのカード番号を送信しなくても認証可能な仕組みが提供されることが好ましい。
【0009】
本発明は、このような課題に対応するためになされたものであり、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証し、加盟店サーバにログインする際にも共通のワンタイムパスワードの仕組みを適用することが可能であり、かつ、購入要求時にクレジットカードのカード番号の入力を不要とする認証システム、認証サーバ及び認証方法を提供することを目的とするものである。
【課題を解決するための手段】
【0010】
本発明にかかる課題を解決する第1の発明は、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバからなる認証システムであって、前記加盟店サーバは、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付手段と、前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルと、前記第2のOTP受付手段が受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信手段と、を備え、前記カード事業者サーバは、前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信手段と、前記購入情報受信手段の受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、を備え、前記認証サーバは、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、を備えることを特徴とするワンタイムパスワードを用いた認証システムである。
【0011】
本発明にかかる課題を解決する第2の発明は、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバからなる認証システムであって、前記加盟店サーバは、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルとを、前記カード事業者サーバに送信する購入情報送信手段と、を備え、前記カード事業者サーバは、前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルとを受信する購入情報受信手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付けるOTP受付手段と、前記購入情報受信手段の受信したOTPシリアルと前記OTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、を備え、前記認証サーバは、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、を備えることを特徴とするワンタイムパスワードを用いた認証システムである。
【0012】
本発明では、加盟店サーバ、カード事業者サーバを共通のOTPシリアル等を用いてワンタイムパスワードによる認証を行う認証サーバと接続し、それぞれ加盟店サーバへのログイン時、加盟店サーバが受け付けた購入要求に対するカード事業者サーバでのクレジットカードによる決済承認時において、ユーザの認証に認証サーバの提供するワンタイムパスワードを利用することによって、ユーザはワンタイムパスワードの利用に必要な一のOTPシリアルとOTPシードをユーザの操作する端末に記憶させるだけで、ログイン時、購入承認時の二段階でワンタイムパスワードによる認証を受けることが可能になり、取引の安全性が高められることとなっている。
【0013】
尚、本発明のうち、購入承認時にユーザが入力したワンタイムパスワードを、第1の発明では加盟店サーバで受け付けるのに対して、第2の発明ではカード事業者サーバで受け付ける構成となる。
【0014】
また、本発明は、前記カード事業者サーバは、ユーザの利用するクレジットカードのカード番号と前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するカード情報記憶手段と、前記加盟店サーバの購入情報送信手段から送信されたOTPシリアルと関連付けられたカード番号を、前記カード情報記憶手段から読み出すカード番号読出手段と、前記購入情報受信手段の受信した購入情報と前記カード番号読出手段の読み出したカード番号を指定したオーソリ要求を、クレジットカードのオーソリゼーションを実行するオーソリシステムに送信するオーソリ要求送信手段と、前記オーソリシステムから、前記オーソリ要求送信手段の送信したオーソリ要求に対するオーソリ結果を受信するオーソリ結果受信手段と、を備えることを特徴とすることもできる。
【0015】
このように構成すると、ユーザが購入要求時にクレジットカードのカード番号を入力しなくても、カード事業者サーバにおいてOTPシリアルからカード番号を特定して、オーソリゼーションに必要な処理を行うことができるので、ネット上においてカード番号が流出するリスクを低減することが可能になる。
【0016】
上記の構成において、前記カード事業者サーバは、ユーザの操作するユーザ端末から、前記ユーザの利用するクレジットカードのカード番号とOTPシリアルが指定されたOTPシリアルの登録要求と、前記ユーザ端末に入力されたワンタイムパスワードを受け付けるOTPシリアル登録要求受付手段と、前記OTPシリアル登録要求受付手段の受け付けたOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する第2の認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する第2の認証結果受信手段と、少なくとも前記第2の認証結果受信手段の受信した認証結果がユーザ本人と認証されたものであることを条件に、前記OTPシリアル登録要求受付手段の受け付けた登録要求に指定されたクレジットカードのカード番号とOTPシリアルを関連付けて前記カード情報記憶手段に登録するOTPシリアル登録手段と、を備えることを特徴としてもよい。
【0017】
このように構成すると、ワンタイムパスワードによるユーザの認証を前提とすることによって、カード事業者サーバにおけるOTPシリアルとカード番号の紐付けを、安全に実行することが可能になる。
【0018】
さらに、本発明は、前記加盟店サーバにおいて、前記ユーザ情報記憶手段には、前記ユーザIDと前記ユーザを認証するために指定されたパスワードが関連付けて記憶され、前記加盟店サーバは、前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたパスワードを前記ユーザ情報記憶手段から読み出し、前記ログイン要求受付手段が受け付けたログイン要求に指定されたパスワードと照合して、パスワードの一致を判定するパスワード判定手段と、少なくともパスワード判定手段においてパスワードが一致し、かつ前記認証結果受信手段の受信した認証結果がユーザ本人と認証されたものであることを条件に、前記ログイン要求受付手段がログイン要求を受け付けたユーザのログイン処理を実行するログイン実行手段と、を備えることを特徴としてもよい。
【0019】
このように構成すると、ユーザが加盟店サーバにログインする際には、通常のパスワードによる認証とワンタイムパスワードによる認証を併用することによって、取引の安全性をより高めることが可能になる。
【0020】
さらに、本発明は、前記加盟店サーバにおいて、前記ユーザ情報記憶手段には、前記ユーザIDと前記ユーザを認証するために指定されたパスワードが関連付けて記憶され、前記加盟店サーバは、ユーザの操作するユーザ端末から、前記ユーザを識別するユーザIDとOTPシリアルが指定されたOTPシリアルの登録要求を受け付けるOTPシリアル登録要求受付手段と、前記ユーザ端末に入力されたパスワードを受け付けるパスワード受付手段と、前記OTPシリアル登録要求受付手段が登録要求を受け付けたユーザのユーザIDと関連付けられたパスワードを前記ユーザ情報記憶手段から読み出し、前記パスワード受付手段が受け付けたパスワードと照合して、パスワードの一致を判定するパスワード判定手段と、少なくとも前記パスワード判定手段においてパスワードが一致することを条件に、前記OTPシリアル登録要求受付手段の受け付けた登録要求に指定されたユーザIDとOTPシリアルを関連付けて前記ユーザ情報記憶手段に登録するOTPシリアル登録手段と、を備えることを特徴としてもよい。
【0021】
このように構成すると、パスワードによるユーザの認証を前提とすることによって、加盟店サーバにおけるOTPシリアルとユーザIDの紐付けを、安全に実行することが可能になる。
【0022】
本発明は、本発明にかかる認証システムを構成する認証サーバとして特定することもできる。
【0023】
第1の発明に対応する認証サーバは、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと接続された、ユーザの認証処理を行う認証サーバであって、前記加盟店サーバには、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付手段と、前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルと、前記第2のOTP受付手段が受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信手段と、が備えられ、前記カード事業者サーバには、前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信手段と、前記購入情報受信手段の受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、が備えられていて、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、を備えることを特徴とするワンタイムパスワードを用いた認証サーバである。
【0024】
第2の発明に対応する認証サーバは、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと接続された、ユーザの認証処理を行う認証サーバであって、前記加盟店サーバには、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付手段と、前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルと、前記第2のOTP受付手段が受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信手段と、が備えられ、前記カード事業者サーバには、前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信手段と、前記購入情報受信手段の受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、が備えられていて、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、を備えることを特徴とするワンタイムパスワードを用いた認証サーバである。
【0025】
本発明は、本発明にかかる認証システムによって実行される認証方法として特定することもできる。
【0026】
第1の発明に対応する認証方法は、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバによって実行される認証方法であって、前記加盟店サーバには、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段が、前記認証サーバには、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段が備えられていて、前記加盟店サーバが、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付ステップと、前記加盟店サーバが、前記ログイン要求受付ステップでログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出ステップと、前記加盟店サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付ステップと、前記加盟店サーバが、前記第1のOTPシリアル読出ステップで読み出したOTPシリアルと前記第1のOTP受付ステップで受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、前記加盟店サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、前記加盟店サーバが、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付ステップと、前記加盟店サーバが、前記購入要求受付ステップで購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出ステップと、前記加盟店サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付ステップと、前記加盟店サーバが、前記購入要求受付ステップで受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出ステップで読み出したOTPシリアルと、前記第2のOTP受付ステップで受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信ステップと、前記カード事業者サーバが、前記加盟店サーバが購入情報送信ステップで送信した購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信ステップと、前記カード事業者サーバが、前記購入情報受信ステップで受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、前記カード事業者サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、前記認証サーバが、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信ステップと、前記認証サーバが、前記認証要求受信ステップで受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信ステップで受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理ステップと、前記認証サーバが、前記認証処理ステップでの認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信ステップと、を有すること特徴とするワンタイムパスワードを用いた認証方法である。
【0027】
第2の発明に対応する認証方法は、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバによって実行される認証方法であって、前記加盟店サーバには、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段が、前記認証サーバには、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段が備えられていて、前記加盟店サーバが、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付ステップと、前記加盟店サーバが、前記ログイン要求受付ステップでログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出ステップと、前記加盟店サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付ステップと、前記加盟店サーバが、前記第1のOTPシリアル読出ステップで読み出したOTPシリアルと前記第1のOTP受付ステップで受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、前記加盟店サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、前記加盟店サーバが、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付ステップと、前記加盟店サーバが、前記購入要求受付ステップで購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出ステップと、前記加盟店サーバが、前記購入要求受付ステップで受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出ステップで読み出したOTPシリアルとを、前記カード事業者サーバに送信する購入情報送信ステップと、前記カード事業者サーバが、前記加盟店サーバが購入情報送信ステップで送信した購入情報と、OTPシリアルとを受信する購入情報受信ステップと、前記カード事業者サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付けるOTP受付ステップと、前記カード事業者サーバが、前記購入情報受信ステップで受信したOTPシリアルと前記OTP受付ステップで受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、前記カード事業者サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、前記認証サーバが、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信ステップと、前記認証サーバが、前記認証要求受信ステップで受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信ステップで受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理ステップと、前記認証サーバが、前記認証処理ステップでの認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信ステップと、を有すること特徴とするワンタイムパスワードを用いた認証方法である。
【発明の効果】
【0028】
本発明によって、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証する場合に、加盟店サーバにログインする際にも共通のワンタイムパスワードの仕組みを適用することが可能になり、かつ、購入要求時にクレジットカードのカード番号の入力を不要とすることも可能になる。そのため、ユーザに特別な操作負担をかけることなく、ネット上で商品又はサービスを購入する際の安全性が高められることになる。
【図面の簡単な説明】
【0029】
【図1】本発明にかかる認証システムの実施形態の概要を示す図である。
【図2】本発明にかかる認証システムの構成を示すブロック図である。
【図3】本発明にかかる認証システムにおいて、OTPアプリのダウンロードを要求する手順を示す図である。
【図4】本発明にかかる認証システムにおいて、OTPアプリをダウンロードする手順を示す図である。
【図5】本発明にかかる認証システムにおいて、OTPシリアルを加盟店サーバの顧客データベースに登録する手順を示す図である。
【図6】本発明にかかる認証システムにおいて、OTPシリアルをカード事業者サーバの変換テーブルに登録する手順を示す図である。
【図7】本発明にかかる認証システムにおいて、加盟店サーバにログインする手順を示す図である。
【図8】本発明にかかる認証システムにおいて、加盟店サーバに商品等の購入を要求する手順を示す図である。
【図9】本発明にかかる認証システムにおいて、カード事業者サーバでクレジットカードによる決済を承認する手順を示す図である。
【図10】本発明にかかる認証システムにおいて、OTPアプリのダウンロードを要求する処理フローを示すフローチャートである。
【図11】本発明にかかる認証システムにおいて、OTPアプリをダウンロードする処理フローを示すフローチャートである。
【図12】本発明にかかる認証システムにおいて、OTPシリアルを加盟店サーバの顧客データベースに登録する処理フローを示すフローチャートである。
【図13】本発明にかかる認証システムにおいて、OTPシリアルをカード事業者サーバの変換テーブルに登録する処理フローを示すフローチャートである。
【図14】本発明にかかる認証システムにおいて、加盟店サーバにログインする処理フローを示すフローチャートである。
【図15】本発明にかかる認証システムにおいて、加盟店サーバに商品等の購入を要求する処理フローを示すフローチャートである。
【図16】本発明にかかる認証システムにおいて、カード事業者サーバでクレジットカードによる決済を承認する処理フローを示すフローチャートである。
【発明を実施するための形態】
【0030】
本発明を実施するための形態について、図面を用いて以下に詳細に説明する。尚、以下の説明は本発明の実施形態の一例を示したものであって、顧客が使用する端末の種別やワンタイムパスワードをダウンロードするための構成など、本発明の構成は以下に示した実施形態に限定されるものではない。
【0031】
図1を用いて、本発明にかかる認証システムの実施形態の概要について説明する。本発明にかかる認証システムは、クレジットカードを用いて購入することが可能な商品又はサービスをネット上で提供する加盟店の加盟店サーバ、クレジットカードを発行するカード会社等のカード事業者のカード事業者サーバと、商品やサービスを購入するユーザの認証処理を行う認証サーバから構成されている。
【0032】
本発明において顧客の認証に用いられるワンタイムパスワードは、認証システムにおいて管理されている。ワンタイムパスワードは、OTPアプリの所定のロジックに顧客によって異なるOTPシードを適用することによって生成されるが、顧客によって異なるOTPシードを識別するコードとして、顧客毎にOTPシリアルが割り当てられる。
【0033】
顧客毎に割り当てられたOTPシリアルとこれに対応するOTPシードは、認証システムの認証データベースに関連付けて記憶される。また、顧客が操作する端末に、その顧客に割り当てられたOTPシリアルとOTPシード、認証システムと同じOTPアプリを記憶させることによって、顧客が操作する端末と認証システムを同期させ、同一のワンタイムパスワードを生成して認証に用いることが可能になる。
【0034】
以下に説明する実施形態では、カード事業者の発行するクレジットカードを用いて加盟店で商品やサービスを購入する顧客は、ワンタイムパスワードを表示する端末として携帯電話を、インターネットに接続して加盟店のサイトで商品やサービスを購入する操作を行う端末としてPC(パーソナルコンピュータ)を使用するものとする。この場合、顧客の携帯電話には、認証システムと同じOTPアプリ、その顧客に割り当てられたOTPシリアルとOTPシードが予めダウンロードされた状態となっている。
【0035】
認証システムにおいて顧客が入力したワンタイムパスワードを受け付ける際には、その顧客に割り当てられたOTPシリアルを特定することができれば、対応するOTPシードからワンタイムパスワードを生成することができるので、認証システムにおいて生成したワンタイムパスワードとの一致から、顧客の認証を行うことができる。
【0036】
本発明において、加盟店サーバの顧客データベースには、加盟店で顧客を識別するために用いられているユーザIDと、その顧客をワンタイムパスワードで認証するために割り当てられたOTPシリアルが関連付けて記憶されている。これによって、加盟店サーバに顧客がログインする際には、顧客のユーザIDが特定されれば、OTPシリアルを入力しなくても顧客を識別することができるので、加盟店サーバにおいてユーザIDに対応するOTPシリアルを特定し、認証システムに問い合わせを行うことでワンタイムパスワードによる認証を行うことができる。
【0037】
また、加盟店サーバにログインしている顧客が、加盟店においてクレジットカードを用いて商品やサービスを購入することを要求すると、加盟店サーバからカード事業者サーバにクレジットカードによる決済承認を要求する際に、商品コードや購入金額等の購入情報とあわせて顧客のOTPシリアルと顧客が入力したワンタイムパスワードを送信する。カード事業者サーバは受信したOTPシリアルとワンタイムパスワードを認証システムに送信して問い合わせを行うことによって、ワンタイムパスワードによる認証を受けることができる。
【0038】
以上の構成によって、本発明では、顧客は一のOTPシリアル等をダウンロードしておくだけで、加盟店サーバへのログイン時、加盟店サーバでのクレジットカードを用いた商品やサービスの購入時のいずれにおいても、ワンタイムパスワードによる安全性の高い認証手段を利用することが可能になる。
【0039】
さらに本発明では、カード事業者サーバに顧客の保有するクレジットカードのカード番号と顧客に割り当てられたOTPシリアルを関連付けた変換テーブルを設けることによって、加盟店サーバからOTPシリアルを指定したクレジットカードの決済要求を受け付けると、顧客にカード番号の入力を求めなくても、カード事業者サーバにおいてカード番号を特定し、通常のクレジットカード決済で行われるオーソリゼーションを行うことが可能になる。この決済スキームによると、顧客の端末にカード番号が入力されてネット上に送信されることがないので、カード番号の流出リスクの低減にも効果的である。
【0040】
図2を用いて、本発明にかかる認証システムの構成について説明する。
【0041】
加盟店サーバ10は、インターネットに接続され、顧客端末(PC)60との通信が可能なWebサーバであって、OTPシリアル登録部11、ログイン受付部12、購入要求受付部13を備えて構成されている。これらの各部はいずれも機能的に特定されるものであって、各々の機能に必要な処理を実行するためのアプリケーションプログラムが加盟店サーバ10を構成するコンピュータのメインメモリ等のメモリ領域に読み出され、CPUによって演算処理が実行されることによって、各々の機能が実現される。
【0042】
また、加盟店サーバ10には、顧客DB(データベース)14が備えられている。顧客DB(データベース)14には、コンピュータのHDD等の所定の記憶領域が割り当てられるが、ハードウェアの構成は特に限定されるものではなく、Webサーバとして機能するコンピュータの一部が用いられてもよいし、データベースサーバとして異なるコンピュータが用いられるものであってもよい。
【0043】
OTP認証システム20は、OTP認証申込受付サーバ21、ダウンロードサーバ22、認証サーバ23、認証DB(データベース)24を含んで構成されている。これらのサーバ、データベースの物理的な構成は特に限定されるものではなく、複数のサーバ等の機能が同一のコンピュータによって実現されるものであってもよい。
【0044】
OTP認証申込受付サーバ21、ダウンロードサーバ22は、インターネットに接続され、それぞれ顧客端末(PC)60、顧客端末(携帯電話)70との通信が可能なWebサーバであって、各々のサーバの機能に必要な処理を実行するためのアプリケーションプログラムがコンピュータのメインメモリ等のメモリ領域に読み出され、CPUによって演算処理が実行されることによって、各々の機能が実現される。
【0045】
認証サーバ43は、加盟店サーバ10、カード事業者サーバ30とネットワークを介して接続されたサーバコンピュータであって、加盟店サーバ10、カード事業者サーバ30からの認証要求に対応して認証処理を実行するためのアプリケーションプログラムがコンピュータのメインメモリ等のメモリ領域に読み出され、CPUによって演算処理が実行されることによって、認証機能が実現される。認証サーバ43と加盟店サーバ10、カード事業者サーバ30を接続するネットワークはインターネットに限定されるものではない。
【0046】
認証DB(データベース)24には、コンピュータのHDD等の所定の記憶領域が割り当てられるが、ハードウェアの構成は特に限定されるものではなく、認証サーバ23等のサーバとして機能するコンピュータの一部が用いられてもよいし、データベースサーバとして異なるコンピュータが用いられるものであってもよい。
【0047】
カード事業者サーバ30は、インターネットに接続され、顧客端末(PC)60との通信が可能なWebサーバであって、OTPシリアル登録部31、認証処理部32を備えて構成されている。これらの各部はいずれも機能的に特定されるものであって、各々の機能に必要な処理を実行するためのアプリケーションプログラムがカード事業者サーバ30を構成するコンピュータのメインメモリ等のメモリ領域に読み出され、CPUによって演算処理が実行されることによって、各々の機能が実現される。
【0048】
また、カード事業者サーバ30には変換TB(テーブル)33が備えられている。変換TB(テーブル)33には、コンピュータのHDD等の所定の記憶領域が割り当てられるが、ハードウェアの構成は特に限定されるものではなく、Webサーバとして機能するコンピュータの一部が用いられてもよいし、データベースサーバとして異なるコンピュータが用いられるものであってもよい。
【0049】
オーソリシステム40、3−D認証サーバ50は、それぞれカード事業者サーバ30における決済の承認要求に対するオーソリゼーションや、暗証番号等による顧客の認証を実行するために、ネットワークを介してカード事業者サーバ30と接続されたコンピュータであるが、本発明においてこれらの構成は特に限定されるものではなく、カード事業者サーバ30とネットワークを介して接続され、カード事業者サーバ30からの要求に対して所定の処理を実行するものであればよい。
【0050】
以上に説明した認証システムの構成を前提にして、本発明にかかる認証システムの動作について、図3〜図16を用いて以下に説明する。
【0051】
図3は、本発明にかかる認証システムにおいて、OTPアプリのダウンロードを要求する手順を示しており、図10がOTP認証申込受付サーバ21における処理フローを示すフローチャートである。
【0052】
顧客端末(PC)60を操作し、加盟店サーバ10にアクセスして商品やサービスを購入する顧客が、OTP認証(ワンタイムパスワードによる認証)サービスを利用したい場合は、加盟店サーバ10から提供されるWebページでOTP認証サービスの申込を選択する(図3の(1))。リンク等の機能によってOTP認証申込受付サーバ21にジャンプし(図3の(2))、顧客端末(PC)60はカード事業者サーバ30にアクセスする(図3の(3))。
【0053】
ここで、OTP認証申込のためのアクセスを受け付けたOTP認証申込受付サーバ21では、図10のフローチャートに示した処理が行われる。顧客端末(PC)60からOTP認証の申込要求を受け付けると(S01)、申込要求を受け付けた顧客の認証に用いるための、OTPシードと関連付けられたOTPシリアルを割り当てる(S02)。割り当てられたOTPシリアルとこれに関連付けられたOTPシードは、認証DB24に記憶されるが、ここで割り当てられるOTPシリアルとOTPシードは新たに認証DB24に記憶されるものであってもよいし、あらかじめ認証DB24に記憶されたOTPシリアルとOTPシードのいずれかの組み合わせを選択して有効な状態とするものであってもよい。
【0054】
また、ここで割り当てられたOTPシリアルに対してダウンロード用のIDとパスワードを採番し、顧客に割り当てたOTPシリアルと関連付けて認証DB24に記憶させる。このダウンロード用のIDとパスワードが、OTPアプリとOTPシリアル、OTPシードをダウンロードするためのダウンロードサーバ22のURLとあわせて所定の用紙等に出力され(S03)、郵便等で顧客に送付される(図3の(4))。
【0055】
図4は、本発明にかかる認証システムにおいて、OTPアプリをダウンロードする手順を示しており、図11がダウンロードサーバ22における処理フローを示すフローチャートである。
【0056】
ダウンロード用のIDとパスワード、OTPアプリ等をダウンロードするためのダウンロードサーバ22のURLを受け取った顧客は、顧客端末(携帯電話)70を操作から指定されたダウンロードサーバ22のURLにアクセスして、OTPアプリをダウンロードする(図4の(1))。ここでダウンロードされるOTPアプリはどの顧客にも共通のものなので、この段階ではダウンロード用のIDとパスワードの入力は要求されない。
【0057】
次に、顧客端末(携帯電話)70にダウンロード用のIDとパスワードを入力して、これをダウンロードサーバ22に送信する(図4の(2))。ダウンロードサーバ22では、認証DB24を検索して、認証DB24に記憶されている有効なID、パスワードの中に一致する組み合わせが確認された場合には、このID、パスワードと関連付けられたOTPシリアル、OTPシードを認証DB24から読み出して、顧客端末(携帯電話)70にダウンロードさせる(図4の(3))。ここでダウンロードされるOTPシリアルとOTPシードは顧客毎にユニークなものとなるので、このOTPシードを用いてOTPアプリでOTP(ワンタイムパスワード)を生成することによって、顧客のOTP認証が可能になる。
【0058】
以上の手順を、ダウンロードサーバ22における処理フローとして示したのが、図11のフローチャートである。ダウンロードサーバ22が顧客端末(携帯電話)70からOTPアプリのダウンロード要求を受け付けると(S11)、顧客端末(携帯電話)70にOTPアプリをダウンロードさせる(S12)。続いて、顧客端末(携帯電話)70に入力されたダウンロード用のIDとパスワードを受け付ける(S13)。
【0059】
ここで認証DB24を検索し、認証DB24に記憶されている有効なID、パスワードのいずれかと一致する場合には(S14)、このID、パスワードと関連付けられたOTPシリアル、OTPシードを認証DB24から読み出して、顧客端末(携帯電話)70にダウンロードさせる(S15)。一致するID、パスワードが存在しない場合、又は、一致するID、パスワードが既にダウンロード済や期限切れなど無効なものである場合には、エラー処理となる(S16)。
【0060】
図5は、本発明にかかる認証システムにおいて、OTPシリアルを加盟店サーバ10の顧客DB14に登録する手順を示しており、図12が加盟店サーバ10における処理フローを示すフローチャートである。
【0061】
加盟店サーバ10の提供するサービスを利用する顧客には、顧客を識別するユーザIDが割り当てられ、このユーザIDは認証用のパスワードと関連付けて顧客DB14に登録されている。ユーザIDが割り当てられた顧客は、顧客端末(PC)60を操作して加盟店サーバ10にアクセスすると、ログイン受付部12が起動されてユーザIDとパスワードによる認証が行われ、加盟店サーバ10へのログインが実行される(図5の(1))。
【0062】
顧客がログインした状態でOTPシリアルの登録メニューを選択すると、加盟店サーバ10のOTPシリアル登録部11が起動される。顧客は顧客端末(携帯電話)70にダウンロードされたOTPアプリを起動して、顧客端末(携帯電話)70にOTPシリアルを表示させ、これを顧客端末(PC)60に入力して加盟店サーバ10に送信する。加盟店サーバ10では、受信したOTPシリアルをユーザIDと関連付けて顧客DB14に記憶させる(図5の(2))。
【0063】
以上の手順を、加盟店サーバ10のログイン受付部12とOTPシリアル登録部11における処理フローとして示したのが、図12のフローチャートである。加盟店サーバ10が顧客端末(PC)60からログイン要求を受け付けると(S21)、顧客端末(PC)60にユーザIDとパスワードの入力を要求し、顧客端末(PC)60に入力されたユーザIDとパスワードを受け付ける(S22)。
【0064】
ここで顧客DB14を検索し、顧客DB14に記憶されている有効なユーザID、パスワードのいずれかと一致する場合には(S23)、ログインの処理を実行する(S24)。ログインした状態で、顧客端末(PC)60からOTPシリアルが指定された登録要求を受け付けると(S25)、ログイン中の顧客のユーザIDと関連付けて顧客DB14に受け付けたOTPシリアルを書き込む(S26)。一方、一致するID、パスワードが存在しない場合、又は、一致するID、パスワードが退会済や期限切れなど無効なものである場合には、エラー処理となる(S27)。
【0065】
図6は、本発明にかかる認証システムにおいて、OTPシリアルをカード事業者サーバ30の変換TB33に登録する手順を示しており、図13がカード事業者サーバ30における処理フローを示すフローチャートである。
【0066】
カード事業者サーバ30を運用するカード事業者が発行するクレジットカードを利用している顧客が、顧客端末(PC)60を操作してカード事業者サーバ30にアクセスする。顧客がクレジットカードによって決済を行う際にOTP認証を利用したい場合には、カード事業者サーバ30でOTPシリアルの登録メニューを選択し、カード事業者サーバ30ではOTPシリアル登録部31が起動される。
【0067】
顧客は顧客端末(携帯電話)70にダウンロードされたOTPアプリを起動してOTPシリアルを表示させ、さらに顧客端末(携帯電話)70にはOTPシードを用いて生成されたOTPが表示される。顧客は顧客端末(携帯電話)70に表示されたOTPシリアルとOTPを顧客端末(PC)60に入力して、カード事業者サーバ30に送信する。
【0068】
OTPシリアルとOTPを受信したカード事業者サーバ30では、認証処理部32が起動されて、これらを認証サーバ23に送信して顧客のOTP認証を要求する。認証サーバ23では、カード事業者サーバ30から受信したOTPシリアルに対応するOTPシードを認証DB24から読み出し、このOTPシードから顧客端末(携帯電話)70にダウンロードされたものと同じOTPアプリを用いてOTPを生成し、カード事業者サーバ30から受信したOTPと一致するか否かによって、顧客のOTP認証を行う(図6の(1))。一致した場合は顧客本人と認証されたこと、一致しない場合は顧客本人と認証されなかったことを示す認証結果が、カード事業者サーバ30に返信される。
【0069】
また、カード事業者サーバ30では、カード利用者を確認するために、顧客にクレジットカードのカード番号の入力を要求する。あわせて、顧客がクレジットカード保有者本人であることを確認するために、クレジットカードに印字されたセキュリティコードなどの入力を要求する。顧客は要求された情報を顧客端末(PC)60に入力して、カード事業者サーバ30に送信する(図6の(2))。
【0070】
顧客のカード番号とセキュリティコードなどの認証コードを受信したカード事業者サーバ30は、これらをオーソリシステム40に送信して顧客の本人確認を要求すると、オーソリシステム40ではクレジットカード利用時と同様にオーソリゼーションを実行し、確認結果がカード事業者サーバ30に返信される(図6の(3))。認証サーバ23によるOTP認証、オーソリシステム40によるオーソリゼーションにより、いずれも顧客本人であることが確認された場合には、顧客端末(PC)60から受信した顧客のクレジットカードのカード番号とOTPシリアルを、変換TB33に関連付けて登録する(図6の(4))。
【0071】
尚、上記のカード利用者を確認する方法は、カード利用者本人であることが確認できるものであれば、オーソリシステム40を用いたオーソリゼーションに限定されるものではなく、例えば3−D認証サーバ50を利用した3−Dセキュアなど、顧客があらかじめ登録した暗証番号等を利用した方式によることとしてもよい。本人認証を確実に行うためには、これらの方式を併用することが好ましい。
【0072】
以上の手順を、カード事業者サーバ30のOTPシリアル登録部31と認証処理部32における処理フローとして示したのが、図13のフローチャートである。カード事業者サーバ30が顧客端末(PC)60からOTPシリアルの登録要求を受け付けると(S31)、顧客端末(PC)60にOTPシリアルとOTPの入力を要求し、顧客端末(PC)60に入力されたOTPシリアルとOTPを受け付ける(S32)。
【0073】
続いて、OTP認証により本人認証を行うために、受信したOTPシリアルとOTPを送信して認証サーバ23に問い合わせを行う(S33)。認証サーバ23によるOTP認証の認証結果により本人であることが確認された場合は(S34)、顧客端末(PC)60に入力されたカード番号とセキュリティコード等を受け付ける(S35)。さらに、カード利用者の本人認証を行うために、受信したカード番号とセキュリティコード等を送信してオーソリシステム40に問い合わせを行う(S36)。オーソリシステム40によるオーソリゼーションの結果によりカード利用者本人であることが確認された場合は(S37)、顧客端末(PC)60から受信したカード番号とOTPシリアルを紐付けて、変換TB33に登録する(S38)。認証サーバ23による認証、又は、オーソリシステム40によるオーソリゼーションのいずれかの結果で本人であることが確認されなかった場合には、エラー処理となる(S39)。
【0074】
尚、上記のフローにおいて、認証サーバ23による認証とオーソリシステム40によるオーソリゼーションの処理順は特に限定されるものではなく、オーソリゼーションが先に行われるものであってもよい。また、カード利用者本人の確認方法がオーソリゼーションのみに限定されず、3−Dセキュア等の方式を併用してもよいことは、先に説明したとおりである。
【0075】
以上の図3〜図6、図10〜図13によって説明したように、顧客端末(携帯電話)70にはOTPアプリ、OTPシリアル、OTPシードがダウンロードされ、加盟店サーバ10の顧客DB14にはユーザIDとOTPシリアルが関連付けて記憶され、カード事業者サーバ30の変換TB33にはカード番号とOTPシリアルが関連付けて記憶されているという前提で、本発明では以下に説明するように、加盟店サーバ10へのログイン時と、加盟店サーバ10でのクレジットカードを用いた商品やサービスの購入時において、認証サーバ23によるOTP認証が行われることになる。尚、本発明を実施するためにはこのような前提が整えられていればよく、OTPアプリをダウンロードする処理手順等は、これまで説明した方法に限定されるものではない。
【0076】
図7は、本発明にかかる認証システムにおいて、加盟店サーバ10にログインする手順を示しており、図14が加盟店サーバ10における処理フローを示すフローチャートである。
【0077】
顧客が顧客端末(PC)60を操作して加盟店サーバ10にアクセスして、ログインを要求すると、ログイン受付部12が起動されてユーザIDとパスワードによる認証が行われる(図7の(1))。ここで、固定のパスワード(顧客DB14に登録されているパスワード)とあわせてOTPの入力が要求され、顧客は顧客端末(携帯電話)70にダウンロードされたOTPアプリを起動してOTPを表示させ、顧客端末(携帯電話)70に表示されたOTPを顧客端末(PC)60に入力して、加盟店サーバ10に送信する(図7の(2))。
【0078】
OTPを受信した加盟店サーバ10では、先に固定のパスワードにより認証されたユーザIDと関連付けて記憶されたOTPシリアルを顧客DB14から読み出す。本発明では、このようにあらかじめ登録されたOTPシリアルを読み出して用いることによって、顧客にOTPシリアルを入力させることなく、OTP認証に必要なOTPシリアルを特定することが可能になっている。
【0079】
続いて、顧客端末(PC)60から受信したOTPと顧客DB14から読み出したOTPシリアルを認証サーバ23に送信して、顧客のOTP認証を要求する。認証サーバ30では、加盟店サーバ10から受信したOTPシリアルに対応するOTPシードを認証DB24から読み出し、このOTPシードから顧客端末(携帯電話)70にダウンロードされたものと同じOTPアプリを用いてOTPを生成し、加盟店サーバ10から受信したOTPと一致するか否かによって、顧客のOTP認証を行う(図7の(3))。一致した場合は顧客本人と認証されたこと、一致しない場合は顧客本人と認証されなかったことを示す認証結果が、加盟店サーバ10に返信される。
【0080】
加盟店サーバ10では、OTP認証により本人認証が行われたことを条件にして、ログインの処理を行う。以上のように、加盟店サーバ10では、固定のパスワードによる認証とOTPによる認証を併用することによって、ログインの際の本人認証を強化し、取引の安全性を高めることとしている。
【0081】
以上の手順を、加盟店サーバ10のログイン受付部12における処理フローとして示したのが、図14のフローチャートである。加盟店サーバ10が顧客端末(PC)60からログイン要求を受け付けると(S41)、顧客端末(PC)60にユーザIDとパスワードの入力を要求し、顧客端末(PC)60に入力されたユーザIDとパスワードを受け付ける(S42)。
【0082】
ここで顧客DB14を検索し、顧客DB14に記憶されている有効なユーザID、パスワードのいずれかと一致するかを確認する(S43)。一致する場合には、顧客端末(PC)60にOTPの入力を要求し、顧客端末(PC)60に入力されたOTPを受け付ける(S44)。さらに、顧客DB14から、先にパスワードにより認証されたユーザIDに対応するOTPシリアルを読み出し(S45)、OTP認証により本人認証を行うために、受信したOTPと読み出したOTPシリアルを送信して認証サーバ23に問い合わせを行う(S46)。
【0083】
認証サーバ23によるOTP認証の認証結果により本人認証が行われたことが確認された場合は(S47)、ログインのための処理が実行される(S48)。固定のパスワードによる認証、又は、認証サーバ23による認証のいずれかにおいて本人であると認証されなかった場合には、エラー処理となる(S49)。
【0084】
図8は、本発明にかかる認証システムにおいて、加盟店サーバ10に商品等の購入を要求する手順を示しており、図15が加盟店サーバ10における処理フローを示すフローチャートである。
【0085】
顧客が加盟店サーバ10にログインした状態で、加盟店サーバ10の提供する商品やサービスの購入を要求する。顧客端末(PC)60からは、購入したい商品の商品コードや数量等の購入情報が加盟店サーバ10に送信されるとともに、OTPの入力が要求され、顧客は顧客端末(携帯電話)70にダウンロードされたOTPアプリを起動してOTPを表示させ、顧客端末(携帯電話)70に表示されたOTPを顧客端末(PC)60に入力して、加盟店サーバ10に送信する(図8の(1))。
【0086】
加盟店サーバ10では購入要求受付部13が起動され、受信した購入情報、OTPとあわせて、ログイン中の顧客のユーザIDと関連付けて記憶されたOTPシリアルを顧客DB14から読み出して、カード事業者サーバ30に送信する(図8の(2))。本発明では、このようにあらかじめ登録されたOTPシリアルを読み出して用いることによって、顧客にOTPシリアルを入力させることなく、OTP認証に必要なOTPシリアルを特定することが可能になっている。
【0087】
尚、後にも説明するように、OTP認証のために顧客が入力するOTPは、上記のように加盟店サーバ10からの入力要求に対して送信される方式に限定されるものではなく、購入情報等を受信したカード事業者サーバ30からの入力要求に対して送信される方式をとることとしてもよい。後者の場合には、加盟店サーバ10からカード事業者サーバ30には購入情報とOTPシリアルが送信され、送信される情報にOTPは含まれないことになる。
【0088】
以上の手順を、加盟店サーバ10の購入要求受付部13における処理フローとして示したのが、図15のフローチャートである。加盟店サーバ10が顧客端末(PC)60から商品やサービスの購入情報が指定された購入要求を受け付けると(S51)、顧客端末(PC)60にOTPの入力を要求し、顧客端末(PC)60に入力されたOTPを受け付ける(S52)。さらに、顧客DB14から、ログイン中のユーザIDに対応するOTPシリアルを読み出し(S53)、受信した購入情報、OTPと読み出したOTPシリアルをカード事業者サーバ30に送信する(S54)。尚、ここでOTPを含まずにカード事業者サーバ30で受け付けるよう構成してもよいことは、先に説明したとおりである。
【0089】
図9は、本発明にかかる認証システムにおいて、カード事業者サーバでクレジットカードによる決済を承認する手順を示しており、図16がカード事業者サーバ30における処理フローを示すフローチャートである。
【0090】
カード事業者サーバ30が加盟店サーバ10から購入情報、OTPシリアル、OTPを受信すると(図9の(1))、認証処理部32が起動され、受信したOTPとOTPシリアルを認証サーバ23に送信して、顧客のOTP認証を要求する。認証サーバ30では、カード事業者サーバ30から受信したOTPシリアルに対応するOTPシードを認証DB24から読み出し、このOTPシードから顧客端末(携帯電話)70にダウンロードされたものと同じOTPアプリを用いてOTPを生成し、カード事業者サーバ30から受信したOTPと一致するか否かによって、顧客のOTP認証を行う(図9の(2))。一致した場合は顧客本人と認証されたこと、一致しない場合は顧客本人と認証されなかったことを示す認証結果が、カード事業者サーバ30に返信される。
【0091】
尚、認証サーバ23に送信するOTPについては、加盟店サーバ10から受信するのではなく、カード事業者サーバ30から顧客端末(PC)60に入力を要求し、顧客端末(PC)60からカード事業者サーバ30が受信したOTPを用いることとしてもよい。
【0092】
次に、カード事業者サーバ30が受信したOTPシリアルに対応するクレジットカードのカード番号を、変換TB33から読み出して(図9の(3))、決済に用いられるクレジットカードのカード番号を特定する。このように、顧客にカード番号を送信させることなくカード番号を特定するよう構成すれば、クレジットカードのカード番号がネット上で送受信されることを回避できるため、カード番号の流出リスクを低減することに効果的である。
【0093】
続いて、カード事業者サーバ30が受信した購入情報と読み出したカード番号をオーソリシステム40に送信して、クレジットカードによる決済の可否についてオーソリゼーションを要求する。オーソリゼーションの際には、図6で説明したようなセキュリティコードや3−Dセキュア等による認証を要求することとしてもよい。オーソリシステム40での承認の結果はカード事業者サーバ30に返信され(図9の(4))、OTP認証による本人認証とオーソリゼーションの結果から、クレジットカードによる決済の可否を判断して加盟店サーバ10に返信される。
【0094】
尚、以上の説明では、顧客が決済に用いるクレジットカードのカード番号を、変換TB33から読み出して特定することとしているが、OTPシリアルとして使用される番号にクレジットカードのカード番号と同じ番号を用いれば、変換TB33を用いたOTPシリアルからカード番号への変換が不要になる。例えば、加盟店サーバ10でサービスを提供する加盟店に専用のハウスカード等を発行して、クレジットカードの発行とOTPシリアルの割り当てをあわせて行うように運用すれば、かかる実施形態も可能になる。
【0095】
以上の手順を、カード事業者サーバ30の認証処理部32における処理フローとして示したのが、図16のフローチャートである。カード事業者サーバ30は、加盟店サーバ10から購入情報、OTPシリアル、OTPを受け付ける(S55)。ここで加盟店サーバからOTPを受け付けない場合には、顧客端末(PC)60にOTPの入力を要求し、顧客端末(PC)60に入力されたOTPを受け付ける(S56)。
【0096】
続いて、OTP認証により本人認証を行うために、受信したOTPシリアルとOTPを送信して認証サーバ23に問い合わせを行う(S57)。認証サーバ23によるOTP認証の認証結果により本人であると認証されたことが確認された場合は(S58)、変換TB33から受信したOTPシリアルに対応するカード番号を読み出し(S59)、顧客端末(PC)60に入力されたセキュリティコード等の認証に必要な情報を受け付けて、クレジットカードによる決済の可否を確認するために、読み出したカード番号とセキュリティコード等を送信してオーソリシステム40に問い合わせを行う(S60)。
【0097】
オーソリシステム40によるオーソリゼーションの結果によりクレジットカードによる決済が可能であることが確認された場合は(S61)、加盟店サーバ10にクレジットカードによる決済が承認されたことを送信する(S62)。認証サーバ23による認証、又は、オーソリシステム40によるオーソリゼーションのいずれかがNGであった場合には、エラー処理となる(S63)。
【符号の説明】
【0098】
10 加盟店サーバ
11 OTP認証申込受付部
12 OTPシリアル登録部
13 ログイン受付部
14 購入要求受付部
15 顧客データベース
20 OTP認証システム
21 OTP認証申込受付サーバ
22 ダウンロードサーバ
23 認証サーバ
24 認証データベース
30 カード事業者サーバ
31 OTPシリアル登録部
32 認証処理部
33 変換テーブル
40 オーソリシステム
50 3−D認証サーバ
60 顧客端末(PC)
70 顧客端末(携帯電話)
【技術分野】
【0001】
本発明は、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための認証システム、認証サーバ及び認証方法に関するものである。
【背景技術】
【0002】
近年、インターネットを利用した電子商取引の拡大に伴い、ネット上で購入した商品やサービスの代金決済にクレジットカードが用いられる機会が増加している。従来の店舗に設置されたCAT端末と専用のネットワークを用いた決済に比べ、ネット上でクレジットカードによる決済を行うと、クレジットカードのカード番号流出による不正取引のリスクが著しく高まることとなり、クレジットカードの安全対策が電子商取引における重要な課題となっている。
【0003】
これに対して、ネット上でクレジットカードを利用して代金決済を行う際に、クレジットカードに印字されたセキュリティコードの入力を求めたり、クレジットカードのカード番号とあわせてカード会社に登録したパスワードを入力させたりすることによって、クレジットカードの所有者であることを確認する本人認証が利用されるようになっている(例えば、非特許文献1、非特許文献2参照)。
【0004】
また、パスワードが流出するリスクを回避できる方法として、ワンタイムパスワード(OTP)が利用されることもあり、例えば、専用の補助装置にICカードを挿入すると、生体情報による本人認証を条件に、クレジットカードのカード番号とワンタイムパスワードが表示され、このワンタイムパスワードによってクレジットカード利用時の本人認証を行う発明が開示されている(特許文献1参照)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2008−15924号公報
【非特許文献】
【0006】
【非特許文献1】「3−Dセキュア」の解説、IT用語辞典・e−Wordsホームページ、[2009年11月2日検索]、インターネット<URL:http://e-words.jp/w/3-DE382BBE382ADE383A5E382A2.html>
【非特許文献2】安全なオンラインショッピング、Visa Inc.・VISAカードホームページ、[2009年11月2日検索]、インターネット<URL: http://www.visa-asia.com/ap/jp/cardholders/security/vbv.shtml>
【発明の概要】
【発明が解決しようとする課題】
【0007】
特許文献1記載の発明のように、ワンタイムパスワードを利用することで取引の安全性が高められることになるが、安全性や利便性の観点から、引続きいくつかの課題を有するものとなっている。第1に、顧客がネット上でクレジットカードを利用して代金決済を行うケースでは、その前提として何らかの商品販売サイトやサービス提供サイトにログインした状態にあることが多いと考えられるが、安全性の高いワンタイムパスワードを利用するのであれば、クレジットカードの決済承認を行うときだけでなく、これらのサイトにログインをする際にも、共通のワンタイムパスワードの仕組みを用いて認証を行うこととすれば、取引を行う入口段階での安全性も強化することが可能になると考えられる。
【0008】
第2に、特許文献1記載の発明でも顧客にはクレジットカードのカード番号を入力することが求められ、このカード番号はネットワークを介して送信されるため(特許文献1の段落0125等参照)、ネットワーク上においてカード番号が流出するリスクが生じてしまうことになるが、顧客の操作する端末から、購入要求のたびにクレジットカードのカード番号を送信しなくても認証可能な仕組みが提供されることが好ましい。
【0009】
本発明は、このような課題に対応するためになされたものであり、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証し、加盟店サーバにログインする際にも共通のワンタイムパスワードの仕組みを適用することが可能であり、かつ、購入要求時にクレジットカードのカード番号の入力を不要とする認証システム、認証サーバ及び認証方法を提供することを目的とするものである。
【課題を解決するための手段】
【0010】
本発明にかかる課題を解決する第1の発明は、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバからなる認証システムであって、前記加盟店サーバは、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付手段と、前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルと、前記第2のOTP受付手段が受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信手段と、を備え、前記カード事業者サーバは、前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信手段と、前記購入情報受信手段の受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、を備え、前記認証サーバは、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、を備えることを特徴とするワンタイムパスワードを用いた認証システムである。
【0011】
本発明にかかる課題を解決する第2の発明は、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバからなる認証システムであって、前記加盟店サーバは、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルとを、前記カード事業者サーバに送信する購入情報送信手段と、を備え、前記カード事業者サーバは、前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルとを受信する購入情報受信手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付けるOTP受付手段と、前記購入情報受信手段の受信したOTPシリアルと前記OTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、を備え、前記認証サーバは、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、を備えることを特徴とするワンタイムパスワードを用いた認証システムである。
【0012】
本発明では、加盟店サーバ、カード事業者サーバを共通のOTPシリアル等を用いてワンタイムパスワードによる認証を行う認証サーバと接続し、それぞれ加盟店サーバへのログイン時、加盟店サーバが受け付けた購入要求に対するカード事業者サーバでのクレジットカードによる決済承認時において、ユーザの認証に認証サーバの提供するワンタイムパスワードを利用することによって、ユーザはワンタイムパスワードの利用に必要な一のOTPシリアルとOTPシードをユーザの操作する端末に記憶させるだけで、ログイン時、購入承認時の二段階でワンタイムパスワードによる認証を受けることが可能になり、取引の安全性が高められることとなっている。
【0013】
尚、本発明のうち、購入承認時にユーザが入力したワンタイムパスワードを、第1の発明では加盟店サーバで受け付けるのに対して、第2の発明ではカード事業者サーバで受け付ける構成となる。
【0014】
また、本発明は、前記カード事業者サーバは、ユーザの利用するクレジットカードのカード番号と前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するカード情報記憶手段と、前記加盟店サーバの購入情報送信手段から送信されたOTPシリアルと関連付けられたカード番号を、前記カード情報記憶手段から読み出すカード番号読出手段と、前記購入情報受信手段の受信した購入情報と前記カード番号読出手段の読み出したカード番号を指定したオーソリ要求を、クレジットカードのオーソリゼーションを実行するオーソリシステムに送信するオーソリ要求送信手段と、前記オーソリシステムから、前記オーソリ要求送信手段の送信したオーソリ要求に対するオーソリ結果を受信するオーソリ結果受信手段と、を備えることを特徴とすることもできる。
【0015】
このように構成すると、ユーザが購入要求時にクレジットカードのカード番号を入力しなくても、カード事業者サーバにおいてOTPシリアルからカード番号を特定して、オーソリゼーションに必要な処理を行うことができるので、ネット上においてカード番号が流出するリスクを低減することが可能になる。
【0016】
上記の構成において、前記カード事業者サーバは、ユーザの操作するユーザ端末から、前記ユーザの利用するクレジットカードのカード番号とOTPシリアルが指定されたOTPシリアルの登録要求と、前記ユーザ端末に入力されたワンタイムパスワードを受け付けるOTPシリアル登録要求受付手段と、前記OTPシリアル登録要求受付手段の受け付けたOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する第2の認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する第2の認証結果受信手段と、少なくとも前記第2の認証結果受信手段の受信した認証結果がユーザ本人と認証されたものであることを条件に、前記OTPシリアル登録要求受付手段の受け付けた登録要求に指定されたクレジットカードのカード番号とOTPシリアルを関連付けて前記カード情報記憶手段に登録するOTPシリアル登録手段と、を備えることを特徴としてもよい。
【0017】
このように構成すると、ワンタイムパスワードによるユーザの認証を前提とすることによって、カード事業者サーバにおけるOTPシリアルとカード番号の紐付けを、安全に実行することが可能になる。
【0018】
さらに、本発明は、前記加盟店サーバにおいて、前記ユーザ情報記憶手段には、前記ユーザIDと前記ユーザを認証するために指定されたパスワードが関連付けて記憶され、前記加盟店サーバは、前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたパスワードを前記ユーザ情報記憶手段から読み出し、前記ログイン要求受付手段が受け付けたログイン要求に指定されたパスワードと照合して、パスワードの一致を判定するパスワード判定手段と、少なくともパスワード判定手段においてパスワードが一致し、かつ前記認証結果受信手段の受信した認証結果がユーザ本人と認証されたものであることを条件に、前記ログイン要求受付手段がログイン要求を受け付けたユーザのログイン処理を実行するログイン実行手段と、を備えることを特徴としてもよい。
【0019】
このように構成すると、ユーザが加盟店サーバにログインする際には、通常のパスワードによる認証とワンタイムパスワードによる認証を併用することによって、取引の安全性をより高めることが可能になる。
【0020】
さらに、本発明は、前記加盟店サーバにおいて、前記ユーザ情報記憶手段には、前記ユーザIDと前記ユーザを認証するために指定されたパスワードが関連付けて記憶され、前記加盟店サーバは、ユーザの操作するユーザ端末から、前記ユーザを識別するユーザIDとOTPシリアルが指定されたOTPシリアルの登録要求を受け付けるOTPシリアル登録要求受付手段と、前記ユーザ端末に入力されたパスワードを受け付けるパスワード受付手段と、前記OTPシリアル登録要求受付手段が登録要求を受け付けたユーザのユーザIDと関連付けられたパスワードを前記ユーザ情報記憶手段から読み出し、前記パスワード受付手段が受け付けたパスワードと照合して、パスワードの一致を判定するパスワード判定手段と、少なくとも前記パスワード判定手段においてパスワードが一致することを条件に、前記OTPシリアル登録要求受付手段の受け付けた登録要求に指定されたユーザIDとOTPシリアルを関連付けて前記ユーザ情報記憶手段に登録するOTPシリアル登録手段と、を備えることを特徴としてもよい。
【0021】
このように構成すると、パスワードによるユーザの認証を前提とすることによって、加盟店サーバにおけるOTPシリアルとユーザIDの紐付けを、安全に実行することが可能になる。
【0022】
本発明は、本発明にかかる認証システムを構成する認証サーバとして特定することもできる。
【0023】
第1の発明に対応する認証サーバは、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと接続された、ユーザの認証処理を行う認証サーバであって、前記加盟店サーバには、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付手段と、前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルと、前記第2のOTP受付手段が受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信手段と、が備えられ、前記カード事業者サーバには、前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信手段と、前記購入情報受信手段の受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、が備えられていて、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、を備えることを特徴とするワンタイムパスワードを用いた認証サーバである。
【0024】
第2の発明に対応する認証サーバは、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと接続された、ユーザの認証処理を行う認証サーバであって、前記加盟店サーバには、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付手段と、前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルと、前記第2のOTP受付手段が受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信手段と、が備えられ、前記カード事業者サーバには、前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信手段と、前記購入情報受信手段の受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、が備えられていて、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、を備えることを特徴とするワンタイムパスワードを用いた認証サーバである。
【0025】
本発明は、本発明にかかる認証システムによって実行される認証方法として特定することもできる。
【0026】
第1の発明に対応する認証方法は、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバによって実行される認証方法であって、前記加盟店サーバには、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段が、前記認証サーバには、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段が備えられていて、前記加盟店サーバが、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付ステップと、前記加盟店サーバが、前記ログイン要求受付ステップでログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出ステップと、前記加盟店サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付ステップと、前記加盟店サーバが、前記第1のOTPシリアル読出ステップで読み出したOTPシリアルと前記第1のOTP受付ステップで受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、前記加盟店サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、前記加盟店サーバが、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付ステップと、前記加盟店サーバが、前記購入要求受付ステップで購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出ステップと、前記加盟店サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付ステップと、前記加盟店サーバが、前記購入要求受付ステップで受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出ステップで読み出したOTPシリアルと、前記第2のOTP受付ステップで受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信ステップと、前記カード事業者サーバが、前記加盟店サーバが購入情報送信ステップで送信した購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信ステップと、前記カード事業者サーバが、前記購入情報受信ステップで受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、前記カード事業者サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、前記認証サーバが、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信ステップと、前記認証サーバが、前記認証要求受信ステップで受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信ステップで受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理ステップと、前記認証サーバが、前記認証処理ステップでの認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信ステップと、を有すること特徴とするワンタイムパスワードを用いた認証方法である。
【0027】
第2の発明に対応する認証方法は、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバによって実行される認証方法であって、前記加盟店サーバには、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段が、前記認証サーバには、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段が備えられていて、前記加盟店サーバが、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付ステップと、前記加盟店サーバが、前記ログイン要求受付ステップでログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出ステップと、前記加盟店サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付ステップと、前記加盟店サーバが、前記第1のOTPシリアル読出ステップで読み出したOTPシリアルと前記第1のOTP受付ステップで受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、前記加盟店サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、前記加盟店サーバが、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付ステップと、前記加盟店サーバが、前記購入要求受付ステップで購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出ステップと、前記加盟店サーバが、前記購入要求受付ステップで受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出ステップで読み出したOTPシリアルとを、前記カード事業者サーバに送信する購入情報送信ステップと、前記カード事業者サーバが、前記加盟店サーバが購入情報送信ステップで送信した購入情報と、OTPシリアルとを受信する購入情報受信ステップと、前記カード事業者サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付けるOTP受付ステップと、前記カード事業者サーバが、前記購入情報受信ステップで受信したOTPシリアルと前記OTP受付ステップで受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、前記カード事業者サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、前記認証サーバが、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信ステップと、前記認証サーバが、前記認証要求受信ステップで受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信ステップで受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理ステップと、前記認証サーバが、前記認証処理ステップでの認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信ステップと、を有すること特徴とするワンタイムパスワードを用いた認証方法である。
【発明の効果】
【0028】
本発明によって、クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証する場合に、加盟店サーバにログインする際にも共通のワンタイムパスワードの仕組みを適用することが可能になり、かつ、購入要求時にクレジットカードのカード番号の入力を不要とすることも可能になる。そのため、ユーザに特別な操作負担をかけることなく、ネット上で商品又はサービスを購入する際の安全性が高められることになる。
【図面の簡単な説明】
【0029】
【図1】本発明にかかる認証システムの実施形態の概要を示す図である。
【図2】本発明にかかる認証システムの構成を示すブロック図である。
【図3】本発明にかかる認証システムにおいて、OTPアプリのダウンロードを要求する手順を示す図である。
【図4】本発明にかかる認証システムにおいて、OTPアプリをダウンロードする手順を示す図である。
【図5】本発明にかかる認証システムにおいて、OTPシリアルを加盟店サーバの顧客データベースに登録する手順を示す図である。
【図6】本発明にかかる認証システムにおいて、OTPシリアルをカード事業者サーバの変換テーブルに登録する手順を示す図である。
【図7】本発明にかかる認証システムにおいて、加盟店サーバにログインする手順を示す図である。
【図8】本発明にかかる認証システムにおいて、加盟店サーバに商品等の購入を要求する手順を示す図である。
【図9】本発明にかかる認証システムにおいて、カード事業者サーバでクレジットカードによる決済を承認する手順を示す図である。
【図10】本発明にかかる認証システムにおいて、OTPアプリのダウンロードを要求する処理フローを示すフローチャートである。
【図11】本発明にかかる認証システムにおいて、OTPアプリをダウンロードする処理フローを示すフローチャートである。
【図12】本発明にかかる認証システムにおいて、OTPシリアルを加盟店サーバの顧客データベースに登録する処理フローを示すフローチャートである。
【図13】本発明にかかる認証システムにおいて、OTPシリアルをカード事業者サーバの変換テーブルに登録する処理フローを示すフローチャートである。
【図14】本発明にかかる認証システムにおいて、加盟店サーバにログインする処理フローを示すフローチャートである。
【図15】本発明にかかる認証システムにおいて、加盟店サーバに商品等の購入を要求する処理フローを示すフローチャートである。
【図16】本発明にかかる認証システムにおいて、カード事業者サーバでクレジットカードによる決済を承認する処理フローを示すフローチャートである。
【発明を実施するための形態】
【0030】
本発明を実施するための形態について、図面を用いて以下に詳細に説明する。尚、以下の説明は本発明の実施形態の一例を示したものであって、顧客が使用する端末の種別やワンタイムパスワードをダウンロードするための構成など、本発明の構成は以下に示した実施形態に限定されるものではない。
【0031】
図1を用いて、本発明にかかる認証システムの実施形態の概要について説明する。本発明にかかる認証システムは、クレジットカードを用いて購入することが可能な商品又はサービスをネット上で提供する加盟店の加盟店サーバ、クレジットカードを発行するカード会社等のカード事業者のカード事業者サーバと、商品やサービスを購入するユーザの認証処理を行う認証サーバから構成されている。
【0032】
本発明において顧客の認証に用いられるワンタイムパスワードは、認証システムにおいて管理されている。ワンタイムパスワードは、OTPアプリの所定のロジックに顧客によって異なるOTPシードを適用することによって生成されるが、顧客によって異なるOTPシードを識別するコードとして、顧客毎にOTPシリアルが割り当てられる。
【0033】
顧客毎に割り当てられたOTPシリアルとこれに対応するOTPシードは、認証システムの認証データベースに関連付けて記憶される。また、顧客が操作する端末に、その顧客に割り当てられたOTPシリアルとOTPシード、認証システムと同じOTPアプリを記憶させることによって、顧客が操作する端末と認証システムを同期させ、同一のワンタイムパスワードを生成して認証に用いることが可能になる。
【0034】
以下に説明する実施形態では、カード事業者の発行するクレジットカードを用いて加盟店で商品やサービスを購入する顧客は、ワンタイムパスワードを表示する端末として携帯電話を、インターネットに接続して加盟店のサイトで商品やサービスを購入する操作を行う端末としてPC(パーソナルコンピュータ)を使用するものとする。この場合、顧客の携帯電話には、認証システムと同じOTPアプリ、その顧客に割り当てられたOTPシリアルとOTPシードが予めダウンロードされた状態となっている。
【0035】
認証システムにおいて顧客が入力したワンタイムパスワードを受け付ける際には、その顧客に割り当てられたOTPシリアルを特定することができれば、対応するOTPシードからワンタイムパスワードを生成することができるので、認証システムにおいて生成したワンタイムパスワードとの一致から、顧客の認証を行うことができる。
【0036】
本発明において、加盟店サーバの顧客データベースには、加盟店で顧客を識別するために用いられているユーザIDと、その顧客をワンタイムパスワードで認証するために割り当てられたOTPシリアルが関連付けて記憶されている。これによって、加盟店サーバに顧客がログインする際には、顧客のユーザIDが特定されれば、OTPシリアルを入力しなくても顧客を識別することができるので、加盟店サーバにおいてユーザIDに対応するOTPシリアルを特定し、認証システムに問い合わせを行うことでワンタイムパスワードによる認証を行うことができる。
【0037】
また、加盟店サーバにログインしている顧客が、加盟店においてクレジットカードを用いて商品やサービスを購入することを要求すると、加盟店サーバからカード事業者サーバにクレジットカードによる決済承認を要求する際に、商品コードや購入金額等の購入情報とあわせて顧客のOTPシリアルと顧客が入力したワンタイムパスワードを送信する。カード事業者サーバは受信したOTPシリアルとワンタイムパスワードを認証システムに送信して問い合わせを行うことによって、ワンタイムパスワードによる認証を受けることができる。
【0038】
以上の構成によって、本発明では、顧客は一のOTPシリアル等をダウンロードしておくだけで、加盟店サーバへのログイン時、加盟店サーバでのクレジットカードを用いた商品やサービスの購入時のいずれにおいても、ワンタイムパスワードによる安全性の高い認証手段を利用することが可能になる。
【0039】
さらに本発明では、カード事業者サーバに顧客の保有するクレジットカードのカード番号と顧客に割り当てられたOTPシリアルを関連付けた変換テーブルを設けることによって、加盟店サーバからOTPシリアルを指定したクレジットカードの決済要求を受け付けると、顧客にカード番号の入力を求めなくても、カード事業者サーバにおいてカード番号を特定し、通常のクレジットカード決済で行われるオーソリゼーションを行うことが可能になる。この決済スキームによると、顧客の端末にカード番号が入力されてネット上に送信されることがないので、カード番号の流出リスクの低減にも効果的である。
【0040】
図2を用いて、本発明にかかる認証システムの構成について説明する。
【0041】
加盟店サーバ10は、インターネットに接続され、顧客端末(PC)60との通信が可能なWebサーバであって、OTPシリアル登録部11、ログイン受付部12、購入要求受付部13を備えて構成されている。これらの各部はいずれも機能的に特定されるものであって、各々の機能に必要な処理を実行するためのアプリケーションプログラムが加盟店サーバ10を構成するコンピュータのメインメモリ等のメモリ領域に読み出され、CPUによって演算処理が実行されることによって、各々の機能が実現される。
【0042】
また、加盟店サーバ10には、顧客DB(データベース)14が備えられている。顧客DB(データベース)14には、コンピュータのHDD等の所定の記憶領域が割り当てられるが、ハードウェアの構成は特に限定されるものではなく、Webサーバとして機能するコンピュータの一部が用いられてもよいし、データベースサーバとして異なるコンピュータが用いられるものであってもよい。
【0043】
OTP認証システム20は、OTP認証申込受付サーバ21、ダウンロードサーバ22、認証サーバ23、認証DB(データベース)24を含んで構成されている。これらのサーバ、データベースの物理的な構成は特に限定されるものではなく、複数のサーバ等の機能が同一のコンピュータによって実現されるものであってもよい。
【0044】
OTP認証申込受付サーバ21、ダウンロードサーバ22は、インターネットに接続され、それぞれ顧客端末(PC)60、顧客端末(携帯電話)70との通信が可能なWebサーバであって、各々のサーバの機能に必要な処理を実行するためのアプリケーションプログラムがコンピュータのメインメモリ等のメモリ領域に読み出され、CPUによって演算処理が実行されることによって、各々の機能が実現される。
【0045】
認証サーバ43は、加盟店サーバ10、カード事業者サーバ30とネットワークを介して接続されたサーバコンピュータであって、加盟店サーバ10、カード事業者サーバ30からの認証要求に対応して認証処理を実行するためのアプリケーションプログラムがコンピュータのメインメモリ等のメモリ領域に読み出され、CPUによって演算処理が実行されることによって、認証機能が実現される。認証サーバ43と加盟店サーバ10、カード事業者サーバ30を接続するネットワークはインターネットに限定されるものではない。
【0046】
認証DB(データベース)24には、コンピュータのHDD等の所定の記憶領域が割り当てられるが、ハードウェアの構成は特に限定されるものではなく、認証サーバ23等のサーバとして機能するコンピュータの一部が用いられてもよいし、データベースサーバとして異なるコンピュータが用いられるものであってもよい。
【0047】
カード事業者サーバ30は、インターネットに接続され、顧客端末(PC)60との通信が可能なWebサーバであって、OTPシリアル登録部31、認証処理部32を備えて構成されている。これらの各部はいずれも機能的に特定されるものであって、各々の機能に必要な処理を実行するためのアプリケーションプログラムがカード事業者サーバ30を構成するコンピュータのメインメモリ等のメモリ領域に読み出され、CPUによって演算処理が実行されることによって、各々の機能が実現される。
【0048】
また、カード事業者サーバ30には変換TB(テーブル)33が備えられている。変換TB(テーブル)33には、コンピュータのHDD等の所定の記憶領域が割り当てられるが、ハードウェアの構成は特に限定されるものではなく、Webサーバとして機能するコンピュータの一部が用いられてもよいし、データベースサーバとして異なるコンピュータが用いられるものであってもよい。
【0049】
オーソリシステム40、3−D認証サーバ50は、それぞれカード事業者サーバ30における決済の承認要求に対するオーソリゼーションや、暗証番号等による顧客の認証を実行するために、ネットワークを介してカード事業者サーバ30と接続されたコンピュータであるが、本発明においてこれらの構成は特に限定されるものではなく、カード事業者サーバ30とネットワークを介して接続され、カード事業者サーバ30からの要求に対して所定の処理を実行するものであればよい。
【0050】
以上に説明した認証システムの構成を前提にして、本発明にかかる認証システムの動作について、図3〜図16を用いて以下に説明する。
【0051】
図3は、本発明にかかる認証システムにおいて、OTPアプリのダウンロードを要求する手順を示しており、図10がOTP認証申込受付サーバ21における処理フローを示すフローチャートである。
【0052】
顧客端末(PC)60を操作し、加盟店サーバ10にアクセスして商品やサービスを購入する顧客が、OTP認証(ワンタイムパスワードによる認証)サービスを利用したい場合は、加盟店サーバ10から提供されるWebページでOTP認証サービスの申込を選択する(図3の(1))。リンク等の機能によってOTP認証申込受付サーバ21にジャンプし(図3の(2))、顧客端末(PC)60はカード事業者サーバ30にアクセスする(図3の(3))。
【0053】
ここで、OTP認証申込のためのアクセスを受け付けたOTP認証申込受付サーバ21では、図10のフローチャートに示した処理が行われる。顧客端末(PC)60からOTP認証の申込要求を受け付けると(S01)、申込要求を受け付けた顧客の認証に用いるための、OTPシードと関連付けられたOTPシリアルを割り当てる(S02)。割り当てられたOTPシリアルとこれに関連付けられたOTPシードは、認証DB24に記憶されるが、ここで割り当てられるOTPシリアルとOTPシードは新たに認証DB24に記憶されるものであってもよいし、あらかじめ認証DB24に記憶されたOTPシリアルとOTPシードのいずれかの組み合わせを選択して有効な状態とするものであってもよい。
【0054】
また、ここで割り当てられたOTPシリアルに対してダウンロード用のIDとパスワードを採番し、顧客に割り当てたOTPシリアルと関連付けて認証DB24に記憶させる。このダウンロード用のIDとパスワードが、OTPアプリとOTPシリアル、OTPシードをダウンロードするためのダウンロードサーバ22のURLとあわせて所定の用紙等に出力され(S03)、郵便等で顧客に送付される(図3の(4))。
【0055】
図4は、本発明にかかる認証システムにおいて、OTPアプリをダウンロードする手順を示しており、図11がダウンロードサーバ22における処理フローを示すフローチャートである。
【0056】
ダウンロード用のIDとパスワード、OTPアプリ等をダウンロードするためのダウンロードサーバ22のURLを受け取った顧客は、顧客端末(携帯電話)70を操作から指定されたダウンロードサーバ22のURLにアクセスして、OTPアプリをダウンロードする(図4の(1))。ここでダウンロードされるOTPアプリはどの顧客にも共通のものなので、この段階ではダウンロード用のIDとパスワードの入力は要求されない。
【0057】
次に、顧客端末(携帯電話)70にダウンロード用のIDとパスワードを入力して、これをダウンロードサーバ22に送信する(図4の(2))。ダウンロードサーバ22では、認証DB24を検索して、認証DB24に記憶されている有効なID、パスワードの中に一致する組み合わせが確認された場合には、このID、パスワードと関連付けられたOTPシリアル、OTPシードを認証DB24から読み出して、顧客端末(携帯電話)70にダウンロードさせる(図4の(3))。ここでダウンロードされるOTPシリアルとOTPシードは顧客毎にユニークなものとなるので、このOTPシードを用いてOTPアプリでOTP(ワンタイムパスワード)を生成することによって、顧客のOTP認証が可能になる。
【0058】
以上の手順を、ダウンロードサーバ22における処理フローとして示したのが、図11のフローチャートである。ダウンロードサーバ22が顧客端末(携帯電話)70からOTPアプリのダウンロード要求を受け付けると(S11)、顧客端末(携帯電話)70にOTPアプリをダウンロードさせる(S12)。続いて、顧客端末(携帯電話)70に入力されたダウンロード用のIDとパスワードを受け付ける(S13)。
【0059】
ここで認証DB24を検索し、認証DB24に記憶されている有効なID、パスワードのいずれかと一致する場合には(S14)、このID、パスワードと関連付けられたOTPシリアル、OTPシードを認証DB24から読み出して、顧客端末(携帯電話)70にダウンロードさせる(S15)。一致するID、パスワードが存在しない場合、又は、一致するID、パスワードが既にダウンロード済や期限切れなど無効なものである場合には、エラー処理となる(S16)。
【0060】
図5は、本発明にかかる認証システムにおいて、OTPシリアルを加盟店サーバ10の顧客DB14に登録する手順を示しており、図12が加盟店サーバ10における処理フローを示すフローチャートである。
【0061】
加盟店サーバ10の提供するサービスを利用する顧客には、顧客を識別するユーザIDが割り当てられ、このユーザIDは認証用のパスワードと関連付けて顧客DB14に登録されている。ユーザIDが割り当てられた顧客は、顧客端末(PC)60を操作して加盟店サーバ10にアクセスすると、ログイン受付部12が起動されてユーザIDとパスワードによる認証が行われ、加盟店サーバ10へのログインが実行される(図5の(1))。
【0062】
顧客がログインした状態でOTPシリアルの登録メニューを選択すると、加盟店サーバ10のOTPシリアル登録部11が起動される。顧客は顧客端末(携帯電話)70にダウンロードされたOTPアプリを起動して、顧客端末(携帯電話)70にOTPシリアルを表示させ、これを顧客端末(PC)60に入力して加盟店サーバ10に送信する。加盟店サーバ10では、受信したOTPシリアルをユーザIDと関連付けて顧客DB14に記憶させる(図5の(2))。
【0063】
以上の手順を、加盟店サーバ10のログイン受付部12とOTPシリアル登録部11における処理フローとして示したのが、図12のフローチャートである。加盟店サーバ10が顧客端末(PC)60からログイン要求を受け付けると(S21)、顧客端末(PC)60にユーザIDとパスワードの入力を要求し、顧客端末(PC)60に入力されたユーザIDとパスワードを受け付ける(S22)。
【0064】
ここで顧客DB14を検索し、顧客DB14に記憶されている有効なユーザID、パスワードのいずれかと一致する場合には(S23)、ログインの処理を実行する(S24)。ログインした状態で、顧客端末(PC)60からOTPシリアルが指定された登録要求を受け付けると(S25)、ログイン中の顧客のユーザIDと関連付けて顧客DB14に受け付けたOTPシリアルを書き込む(S26)。一方、一致するID、パスワードが存在しない場合、又は、一致するID、パスワードが退会済や期限切れなど無効なものである場合には、エラー処理となる(S27)。
【0065】
図6は、本発明にかかる認証システムにおいて、OTPシリアルをカード事業者サーバ30の変換TB33に登録する手順を示しており、図13がカード事業者サーバ30における処理フローを示すフローチャートである。
【0066】
カード事業者サーバ30を運用するカード事業者が発行するクレジットカードを利用している顧客が、顧客端末(PC)60を操作してカード事業者サーバ30にアクセスする。顧客がクレジットカードによって決済を行う際にOTP認証を利用したい場合には、カード事業者サーバ30でOTPシリアルの登録メニューを選択し、カード事業者サーバ30ではOTPシリアル登録部31が起動される。
【0067】
顧客は顧客端末(携帯電話)70にダウンロードされたOTPアプリを起動してOTPシリアルを表示させ、さらに顧客端末(携帯電話)70にはOTPシードを用いて生成されたOTPが表示される。顧客は顧客端末(携帯電話)70に表示されたOTPシリアルとOTPを顧客端末(PC)60に入力して、カード事業者サーバ30に送信する。
【0068】
OTPシリアルとOTPを受信したカード事業者サーバ30では、認証処理部32が起動されて、これらを認証サーバ23に送信して顧客のOTP認証を要求する。認証サーバ23では、カード事業者サーバ30から受信したOTPシリアルに対応するOTPシードを認証DB24から読み出し、このOTPシードから顧客端末(携帯電話)70にダウンロードされたものと同じOTPアプリを用いてOTPを生成し、カード事業者サーバ30から受信したOTPと一致するか否かによって、顧客のOTP認証を行う(図6の(1))。一致した場合は顧客本人と認証されたこと、一致しない場合は顧客本人と認証されなかったことを示す認証結果が、カード事業者サーバ30に返信される。
【0069】
また、カード事業者サーバ30では、カード利用者を確認するために、顧客にクレジットカードのカード番号の入力を要求する。あわせて、顧客がクレジットカード保有者本人であることを確認するために、クレジットカードに印字されたセキュリティコードなどの入力を要求する。顧客は要求された情報を顧客端末(PC)60に入力して、カード事業者サーバ30に送信する(図6の(2))。
【0070】
顧客のカード番号とセキュリティコードなどの認証コードを受信したカード事業者サーバ30は、これらをオーソリシステム40に送信して顧客の本人確認を要求すると、オーソリシステム40ではクレジットカード利用時と同様にオーソリゼーションを実行し、確認結果がカード事業者サーバ30に返信される(図6の(3))。認証サーバ23によるOTP認証、オーソリシステム40によるオーソリゼーションにより、いずれも顧客本人であることが確認された場合には、顧客端末(PC)60から受信した顧客のクレジットカードのカード番号とOTPシリアルを、変換TB33に関連付けて登録する(図6の(4))。
【0071】
尚、上記のカード利用者を確認する方法は、カード利用者本人であることが確認できるものであれば、オーソリシステム40を用いたオーソリゼーションに限定されるものではなく、例えば3−D認証サーバ50を利用した3−Dセキュアなど、顧客があらかじめ登録した暗証番号等を利用した方式によることとしてもよい。本人認証を確実に行うためには、これらの方式を併用することが好ましい。
【0072】
以上の手順を、カード事業者サーバ30のOTPシリアル登録部31と認証処理部32における処理フローとして示したのが、図13のフローチャートである。カード事業者サーバ30が顧客端末(PC)60からOTPシリアルの登録要求を受け付けると(S31)、顧客端末(PC)60にOTPシリアルとOTPの入力を要求し、顧客端末(PC)60に入力されたOTPシリアルとOTPを受け付ける(S32)。
【0073】
続いて、OTP認証により本人認証を行うために、受信したOTPシリアルとOTPを送信して認証サーバ23に問い合わせを行う(S33)。認証サーバ23によるOTP認証の認証結果により本人であることが確認された場合は(S34)、顧客端末(PC)60に入力されたカード番号とセキュリティコード等を受け付ける(S35)。さらに、カード利用者の本人認証を行うために、受信したカード番号とセキュリティコード等を送信してオーソリシステム40に問い合わせを行う(S36)。オーソリシステム40によるオーソリゼーションの結果によりカード利用者本人であることが確認された場合は(S37)、顧客端末(PC)60から受信したカード番号とOTPシリアルを紐付けて、変換TB33に登録する(S38)。認証サーバ23による認証、又は、オーソリシステム40によるオーソリゼーションのいずれかの結果で本人であることが確認されなかった場合には、エラー処理となる(S39)。
【0074】
尚、上記のフローにおいて、認証サーバ23による認証とオーソリシステム40によるオーソリゼーションの処理順は特に限定されるものではなく、オーソリゼーションが先に行われるものであってもよい。また、カード利用者本人の確認方法がオーソリゼーションのみに限定されず、3−Dセキュア等の方式を併用してもよいことは、先に説明したとおりである。
【0075】
以上の図3〜図6、図10〜図13によって説明したように、顧客端末(携帯電話)70にはOTPアプリ、OTPシリアル、OTPシードがダウンロードされ、加盟店サーバ10の顧客DB14にはユーザIDとOTPシリアルが関連付けて記憶され、カード事業者サーバ30の変換TB33にはカード番号とOTPシリアルが関連付けて記憶されているという前提で、本発明では以下に説明するように、加盟店サーバ10へのログイン時と、加盟店サーバ10でのクレジットカードを用いた商品やサービスの購入時において、認証サーバ23によるOTP認証が行われることになる。尚、本発明を実施するためにはこのような前提が整えられていればよく、OTPアプリをダウンロードする処理手順等は、これまで説明した方法に限定されるものではない。
【0076】
図7は、本発明にかかる認証システムにおいて、加盟店サーバ10にログインする手順を示しており、図14が加盟店サーバ10における処理フローを示すフローチャートである。
【0077】
顧客が顧客端末(PC)60を操作して加盟店サーバ10にアクセスして、ログインを要求すると、ログイン受付部12が起動されてユーザIDとパスワードによる認証が行われる(図7の(1))。ここで、固定のパスワード(顧客DB14に登録されているパスワード)とあわせてOTPの入力が要求され、顧客は顧客端末(携帯電話)70にダウンロードされたOTPアプリを起動してOTPを表示させ、顧客端末(携帯電話)70に表示されたOTPを顧客端末(PC)60に入力して、加盟店サーバ10に送信する(図7の(2))。
【0078】
OTPを受信した加盟店サーバ10では、先に固定のパスワードにより認証されたユーザIDと関連付けて記憶されたOTPシリアルを顧客DB14から読み出す。本発明では、このようにあらかじめ登録されたOTPシリアルを読み出して用いることによって、顧客にOTPシリアルを入力させることなく、OTP認証に必要なOTPシリアルを特定することが可能になっている。
【0079】
続いて、顧客端末(PC)60から受信したOTPと顧客DB14から読み出したOTPシリアルを認証サーバ23に送信して、顧客のOTP認証を要求する。認証サーバ30では、加盟店サーバ10から受信したOTPシリアルに対応するOTPシードを認証DB24から読み出し、このOTPシードから顧客端末(携帯電話)70にダウンロードされたものと同じOTPアプリを用いてOTPを生成し、加盟店サーバ10から受信したOTPと一致するか否かによって、顧客のOTP認証を行う(図7の(3))。一致した場合は顧客本人と認証されたこと、一致しない場合は顧客本人と認証されなかったことを示す認証結果が、加盟店サーバ10に返信される。
【0080】
加盟店サーバ10では、OTP認証により本人認証が行われたことを条件にして、ログインの処理を行う。以上のように、加盟店サーバ10では、固定のパスワードによる認証とOTPによる認証を併用することによって、ログインの際の本人認証を強化し、取引の安全性を高めることとしている。
【0081】
以上の手順を、加盟店サーバ10のログイン受付部12における処理フローとして示したのが、図14のフローチャートである。加盟店サーバ10が顧客端末(PC)60からログイン要求を受け付けると(S41)、顧客端末(PC)60にユーザIDとパスワードの入力を要求し、顧客端末(PC)60に入力されたユーザIDとパスワードを受け付ける(S42)。
【0082】
ここで顧客DB14を検索し、顧客DB14に記憶されている有効なユーザID、パスワードのいずれかと一致するかを確認する(S43)。一致する場合には、顧客端末(PC)60にOTPの入力を要求し、顧客端末(PC)60に入力されたOTPを受け付ける(S44)。さらに、顧客DB14から、先にパスワードにより認証されたユーザIDに対応するOTPシリアルを読み出し(S45)、OTP認証により本人認証を行うために、受信したOTPと読み出したOTPシリアルを送信して認証サーバ23に問い合わせを行う(S46)。
【0083】
認証サーバ23によるOTP認証の認証結果により本人認証が行われたことが確認された場合は(S47)、ログインのための処理が実行される(S48)。固定のパスワードによる認証、又は、認証サーバ23による認証のいずれかにおいて本人であると認証されなかった場合には、エラー処理となる(S49)。
【0084】
図8は、本発明にかかる認証システムにおいて、加盟店サーバ10に商品等の購入を要求する手順を示しており、図15が加盟店サーバ10における処理フローを示すフローチャートである。
【0085】
顧客が加盟店サーバ10にログインした状態で、加盟店サーバ10の提供する商品やサービスの購入を要求する。顧客端末(PC)60からは、購入したい商品の商品コードや数量等の購入情報が加盟店サーバ10に送信されるとともに、OTPの入力が要求され、顧客は顧客端末(携帯電話)70にダウンロードされたOTPアプリを起動してOTPを表示させ、顧客端末(携帯電話)70に表示されたOTPを顧客端末(PC)60に入力して、加盟店サーバ10に送信する(図8の(1))。
【0086】
加盟店サーバ10では購入要求受付部13が起動され、受信した購入情報、OTPとあわせて、ログイン中の顧客のユーザIDと関連付けて記憶されたOTPシリアルを顧客DB14から読み出して、カード事業者サーバ30に送信する(図8の(2))。本発明では、このようにあらかじめ登録されたOTPシリアルを読み出して用いることによって、顧客にOTPシリアルを入力させることなく、OTP認証に必要なOTPシリアルを特定することが可能になっている。
【0087】
尚、後にも説明するように、OTP認証のために顧客が入力するOTPは、上記のように加盟店サーバ10からの入力要求に対して送信される方式に限定されるものではなく、購入情報等を受信したカード事業者サーバ30からの入力要求に対して送信される方式をとることとしてもよい。後者の場合には、加盟店サーバ10からカード事業者サーバ30には購入情報とOTPシリアルが送信され、送信される情報にOTPは含まれないことになる。
【0088】
以上の手順を、加盟店サーバ10の購入要求受付部13における処理フローとして示したのが、図15のフローチャートである。加盟店サーバ10が顧客端末(PC)60から商品やサービスの購入情報が指定された購入要求を受け付けると(S51)、顧客端末(PC)60にOTPの入力を要求し、顧客端末(PC)60に入力されたOTPを受け付ける(S52)。さらに、顧客DB14から、ログイン中のユーザIDに対応するOTPシリアルを読み出し(S53)、受信した購入情報、OTPと読み出したOTPシリアルをカード事業者サーバ30に送信する(S54)。尚、ここでOTPを含まずにカード事業者サーバ30で受け付けるよう構成してもよいことは、先に説明したとおりである。
【0089】
図9は、本発明にかかる認証システムにおいて、カード事業者サーバでクレジットカードによる決済を承認する手順を示しており、図16がカード事業者サーバ30における処理フローを示すフローチャートである。
【0090】
カード事業者サーバ30が加盟店サーバ10から購入情報、OTPシリアル、OTPを受信すると(図9の(1))、認証処理部32が起動され、受信したOTPとOTPシリアルを認証サーバ23に送信して、顧客のOTP認証を要求する。認証サーバ30では、カード事業者サーバ30から受信したOTPシリアルに対応するOTPシードを認証DB24から読み出し、このOTPシードから顧客端末(携帯電話)70にダウンロードされたものと同じOTPアプリを用いてOTPを生成し、カード事業者サーバ30から受信したOTPと一致するか否かによって、顧客のOTP認証を行う(図9の(2))。一致した場合は顧客本人と認証されたこと、一致しない場合は顧客本人と認証されなかったことを示す認証結果が、カード事業者サーバ30に返信される。
【0091】
尚、認証サーバ23に送信するOTPについては、加盟店サーバ10から受信するのではなく、カード事業者サーバ30から顧客端末(PC)60に入力を要求し、顧客端末(PC)60からカード事業者サーバ30が受信したOTPを用いることとしてもよい。
【0092】
次に、カード事業者サーバ30が受信したOTPシリアルに対応するクレジットカードのカード番号を、変換TB33から読み出して(図9の(3))、決済に用いられるクレジットカードのカード番号を特定する。このように、顧客にカード番号を送信させることなくカード番号を特定するよう構成すれば、クレジットカードのカード番号がネット上で送受信されることを回避できるため、カード番号の流出リスクを低減することに効果的である。
【0093】
続いて、カード事業者サーバ30が受信した購入情報と読み出したカード番号をオーソリシステム40に送信して、クレジットカードによる決済の可否についてオーソリゼーションを要求する。オーソリゼーションの際には、図6で説明したようなセキュリティコードや3−Dセキュア等による認証を要求することとしてもよい。オーソリシステム40での承認の結果はカード事業者サーバ30に返信され(図9の(4))、OTP認証による本人認証とオーソリゼーションの結果から、クレジットカードによる決済の可否を判断して加盟店サーバ10に返信される。
【0094】
尚、以上の説明では、顧客が決済に用いるクレジットカードのカード番号を、変換TB33から読み出して特定することとしているが、OTPシリアルとして使用される番号にクレジットカードのカード番号と同じ番号を用いれば、変換TB33を用いたOTPシリアルからカード番号への変換が不要になる。例えば、加盟店サーバ10でサービスを提供する加盟店に専用のハウスカード等を発行して、クレジットカードの発行とOTPシリアルの割り当てをあわせて行うように運用すれば、かかる実施形態も可能になる。
【0095】
以上の手順を、カード事業者サーバ30の認証処理部32における処理フローとして示したのが、図16のフローチャートである。カード事業者サーバ30は、加盟店サーバ10から購入情報、OTPシリアル、OTPを受け付ける(S55)。ここで加盟店サーバからOTPを受け付けない場合には、顧客端末(PC)60にOTPの入力を要求し、顧客端末(PC)60に入力されたOTPを受け付ける(S56)。
【0096】
続いて、OTP認証により本人認証を行うために、受信したOTPシリアルとOTPを送信して認証サーバ23に問い合わせを行う(S57)。認証サーバ23によるOTP認証の認証結果により本人であると認証されたことが確認された場合は(S58)、変換TB33から受信したOTPシリアルに対応するカード番号を読み出し(S59)、顧客端末(PC)60に入力されたセキュリティコード等の認証に必要な情報を受け付けて、クレジットカードによる決済の可否を確認するために、読み出したカード番号とセキュリティコード等を送信してオーソリシステム40に問い合わせを行う(S60)。
【0097】
オーソリシステム40によるオーソリゼーションの結果によりクレジットカードによる決済が可能であることが確認された場合は(S61)、加盟店サーバ10にクレジットカードによる決済が承認されたことを送信する(S62)。認証サーバ23による認証、又は、オーソリシステム40によるオーソリゼーションのいずれかがNGであった場合には、エラー処理となる(S63)。
【符号の説明】
【0098】
10 加盟店サーバ
11 OTP認証申込受付部
12 OTPシリアル登録部
13 ログイン受付部
14 購入要求受付部
15 顧客データベース
20 OTP認証システム
21 OTP認証申込受付サーバ
22 ダウンロードサーバ
23 認証サーバ
24 認証データベース
30 カード事業者サーバ
31 OTPシリアル登録部
32 認証処理部
33 変換テーブル
40 オーソリシステム
50 3−D認証サーバ
60 顧客端末(PC)
70 顧客端末(携帯電話)
【特許請求の範囲】
【請求項1】
クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバからなる認証システムであって、
前記加盟店サーバは、
ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、
ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、
前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、
前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、
前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、
前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付手段と、
前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルと、前記第2のOTP受付手段が受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信手段と、を備え、
前記カード事業者サーバは、
前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信手段と、
前記購入情報受信手段の受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、を備え、
前記認証サーバは、
ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、
前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、
前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、
前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、を備えること
を特徴とするワンタイムパスワードを用いた認証システム。
【請求項2】
クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバからなる認証システムであって、
前記加盟店サーバは、
ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、
ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、
前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、
前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、
前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、
前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、
前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルとを、前記カード事業者サーバに送信する購入情報送信手段と、を備え、
前記カード事業者サーバは、
前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルとを受信する購入情報受信手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付けるOTP受付手段と、
前記購入情報受信手段の受信したOTPシリアルと前記OTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、を備え、
前記認証サーバは、
ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、
前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、
前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、
前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、を備えること
を特徴とするワンタイムパスワードを用いた認証システム。
【請求項3】
前記カード事業者サーバは、
ユーザの利用するクレジットカードのカード番号と前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するカード情報記憶手段と、
前記加盟店サーバの購入情報送信手段から送信されたOTPシリアルと関連付けられたカード番号を、前記カード情報記憶手段から読み出すカード番号読出手段と、
前記購入情報受信手段の受信した購入情報と前記カード番号読出手段の読み出したカード番号を指定したオーソリ要求を、クレジットカードのオーソリゼーションを実行するオーソリシステムに送信するオーソリ要求送信手段と、
前記オーソリシステムから、前記オーソリ要求送信手段の送信したオーソリ要求に対するオーソリ結果を受信するオーソリ結果受信手段と、を備えること
を特徴とする請求項1又は2記載の認証システム。
【請求項4】
前記カード事業者サーバは、
ユーザの操作するユーザ端末から、前記ユーザの利用するクレジットカードのカード番号とOTPシリアルが指定されたOTPシリアルの登録要求と、前記ユーザ端末に入力されたワンタイムパスワードを受け付けるOTPシリアル登録要求受付手段と、
前記OTPシリアル登録要求受付手段の受け付けたOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する第2の認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する第2の認証結果受信手段と、
少なくとも前記第2の認証結果受信手段の受信した認証結果がユーザ本人と認証されたものであることを条件に、前記OTPシリアル登録要求受付手段の受け付けた登録要求に指定されたクレジットカードのカード番号とOTPシリアルを関連付けて前記カード情報記憶手段に登録するOTPシリアル登録手段と、を備えること
を特徴とする請求項3記載の認証システム。
【請求項5】
前記加盟店サーバにおいて、
前記ユーザ情報記憶手段には、前記ユーザIDと前記ユーザを認証するために指定されたパスワードが関連付けて記憶され、
前記加盟店サーバは、
前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたパスワードを前記ユーザ情報記憶手段から読み出し、前記ログイン要求受付手段が受け付けたログイン要求に指定されたパスワードと照合して、パスワードの一致を判定するパスワード判定手段と、
少なくともパスワード判定手段においてパスワードが一致し、かつ前記認証結果受信手段の受信した認証結果がユーザ本人と認証されたものであることを条件に、前記ログイン要求受付手段がログイン要求を受け付けたユーザのログイン処理を実行するログイン実行手段と、を備えること
を特徴とする請求項1乃至4いずれかに記載の認証システム。
【請求項6】
前記加盟店サーバにおいて、
前記ユーザ情報記憶手段には、前記ユーザIDと前記ユーザを認証するために指定されたパスワードが関連付けて記憶され、
前記加盟店サーバは、
ユーザの操作するユーザ端末から、前記ユーザを識別するユーザIDとOTPシリアルが指定されたOTPシリアルの登録要求を受け付けるOTPシリアル登録要求受付手段と、
前記ユーザ端末に入力されたパスワードを受け付けるパスワード受付手段と、
前記OTPシリアル登録要求受付手段が登録要求を受け付けたユーザのユーザIDと関連付けられたパスワードを前記ユーザ情報記憶手段から読み出し、前記パスワード受付手段が受け付けたパスワードと照合して、パスワードの一致を判定するパスワード判定手段と、
少なくとも前記パスワード判定手段においてパスワードが一致することを条件に、前記OTPシリアル登録要求受付手段の受け付けた登録要求に指定されたユーザIDとOTPシリアルを関連付けて前記ユーザ情報記憶手段に登録するOTPシリアル登録手段と、を備えること
を特徴とする請求項1乃至5いずれかに記載の認証システム。
【請求項7】
クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと接続された、ユーザの認証処理を行う認証サーバであって、
前記加盟店サーバには、
ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、
ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、
前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、
前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、
前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、
前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付手段と、
前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルと、前記第2のOTP受付手段が受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信手段と、が備えられ、
前記カード事業者サーバには、
前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信手段と、
前記購入情報受信手段の受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、が備えられていて、
ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、
前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、
前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、
前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、
を備えることを特徴とするワンタイムパスワードを用いた認証サーバ。
【請求項8】
クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと接続された、ユーザの認証処理を行う認証サーバであって、
前記加盟店サーバには、
ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、
ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、
前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、
前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、
前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、
前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付手段と、
前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルと、前記第2のOTP受付手段が受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信手段と、が備えられ、
前記カード事業者サーバには、
前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信手段と、
前記購入情報受信手段の受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、が備えられていて、
ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、
前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、
前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、
前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、
を備えることを特徴とするワンタイムパスワードを用いた認証サーバ。
【請求項9】
クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバによって実行される認証方法であって、
前記加盟店サーバには、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段が、
前記認証サーバには、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段が備えられていて、
前記加盟店サーバが、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付ステップと、
前記加盟店サーバが、前記ログイン要求受付ステップでログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出ステップと、
前記加盟店サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付ステップと、
前記加盟店サーバが、前記第1のOTPシリアル読出ステップで読み出したOTPシリアルと前記第1のOTP受付ステップで受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、
前記加盟店サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、
前記加盟店サーバが、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付ステップと、
前記加盟店サーバが、前記購入要求受付ステップで購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出ステップと、
前記加盟店サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付ステップと、
前記加盟店サーバが、前記購入要求受付ステップで受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出ステップで読み出したOTPシリアルと、前記第2のOTP受付ステップで受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信ステップと、
前記カード事業者サーバが、前記加盟店サーバが購入情報送信ステップで送信した購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信ステップと、
前記カード事業者サーバが、前記購入情報受信ステップで受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、
前記カード事業者サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、
前記認証サーバが、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信ステップと、
前記認証サーバが、前記認証要求受信ステップで受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信ステップで受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理ステップと、
前記認証サーバが、前記認証処理ステップでの認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信ステップと、
を有すること特徴とするワンタイムパスワードを用いた認証方法。
【請求項10】
クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバによって実行される認証方法であって、
前記加盟店サーバには、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段が、
前記認証サーバには、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段が備えられていて、
前記加盟店サーバが、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付ステップと、
前記加盟店サーバが、前記ログイン要求受付ステップでログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出ステップと、
前記加盟店サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付ステップと、
前記加盟店サーバが、前記第1のOTPシリアル読出ステップで読み出したOTPシリアルと前記第1のOTP受付ステップで受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、
前記加盟店サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、
前記加盟店サーバが、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付ステップと、
前記加盟店サーバが、前記購入要求受付ステップで購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出ステップと、
前記加盟店サーバが、前記購入要求受付ステップで受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出ステップで読み出したOTPシリアルとを、前記カード事業者サーバに送信する購入情報送信ステップと、
前記カード事業者サーバが、前記加盟店サーバが購入情報送信ステップで送信した購入情報と、OTPシリアルとを受信する購入情報受信ステップと、
前記カード事業者サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付けるOTP受付ステップと、
前記カード事業者サーバが、前記購入情報受信ステップで受信したOTPシリアルと前記OTP受付ステップで受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、
前記カード事業者サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、
前記認証サーバが、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信ステップと、
前記認証サーバが、前記認証要求受信ステップで受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信ステップで受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理ステップと、
前記認証サーバが、前記認証処理ステップでの認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信ステップと、
を有すること特徴とするワンタイムパスワードを用いた認証方法。
【請求項1】
クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバからなる認証システムであって、
前記加盟店サーバは、
ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、
ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、
前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、
前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、
前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、
前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付手段と、
前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルと、前記第2のOTP受付手段が受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信手段と、を備え、
前記カード事業者サーバは、
前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信手段と、
前記購入情報受信手段の受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、を備え、
前記認証サーバは、
ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、
前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、
前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、
前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、を備えること
を特徴とするワンタイムパスワードを用いた認証システム。
【請求項2】
クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバからなる認証システムであって、
前記加盟店サーバは、
ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、
ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、
前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、
前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、
前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、
前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、
前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルとを、前記カード事業者サーバに送信する購入情報送信手段と、を備え、
前記カード事業者サーバは、
前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルとを受信する購入情報受信手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付けるOTP受付手段と、
前記購入情報受信手段の受信したOTPシリアルと前記OTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、を備え、
前記認証サーバは、
ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、
前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、
前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、
前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、を備えること
を特徴とするワンタイムパスワードを用いた認証システム。
【請求項3】
前記カード事業者サーバは、
ユーザの利用するクレジットカードのカード番号と前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するカード情報記憶手段と、
前記加盟店サーバの購入情報送信手段から送信されたOTPシリアルと関連付けられたカード番号を、前記カード情報記憶手段から読み出すカード番号読出手段と、
前記購入情報受信手段の受信した購入情報と前記カード番号読出手段の読み出したカード番号を指定したオーソリ要求を、クレジットカードのオーソリゼーションを実行するオーソリシステムに送信するオーソリ要求送信手段と、
前記オーソリシステムから、前記オーソリ要求送信手段の送信したオーソリ要求に対するオーソリ結果を受信するオーソリ結果受信手段と、を備えること
を特徴とする請求項1又は2記載の認証システム。
【請求項4】
前記カード事業者サーバは、
ユーザの操作するユーザ端末から、前記ユーザの利用するクレジットカードのカード番号とOTPシリアルが指定されたOTPシリアルの登録要求と、前記ユーザ端末に入力されたワンタイムパスワードを受け付けるOTPシリアル登録要求受付手段と、
前記OTPシリアル登録要求受付手段の受け付けたOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する第2の認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する第2の認証結果受信手段と、
少なくとも前記第2の認証結果受信手段の受信した認証結果がユーザ本人と認証されたものであることを条件に、前記OTPシリアル登録要求受付手段の受け付けた登録要求に指定されたクレジットカードのカード番号とOTPシリアルを関連付けて前記カード情報記憶手段に登録するOTPシリアル登録手段と、を備えること
を特徴とする請求項3記載の認証システム。
【請求項5】
前記加盟店サーバにおいて、
前記ユーザ情報記憶手段には、前記ユーザIDと前記ユーザを認証するために指定されたパスワードが関連付けて記憶され、
前記加盟店サーバは、
前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたパスワードを前記ユーザ情報記憶手段から読み出し、前記ログイン要求受付手段が受け付けたログイン要求に指定されたパスワードと照合して、パスワードの一致を判定するパスワード判定手段と、
少なくともパスワード判定手段においてパスワードが一致し、かつ前記認証結果受信手段の受信した認証結果がユーザ本人と認証されたものであることを条件に、前記ログイン要求受付手段がログイン要求を受け付けたユーザのログイン処理を実行するログイン実行手段と、を備えること
を特徴とする請求項1乃至4いずれかに記載の認証システム。
【請求項6】
前記加盟店サーバにおいて、
前記ユーザ情報記憶手段には、前記ユーザIDと前記ユーザを認証するために指定されたパスワードが関連付けて記憶され、
前記加盟店サーバは、
ユーザの操作するユーザ端末から、前記ユーザを識別するユーザIDとOTPシリアルが指定されたOTPシリアルの登録要求を受け付けるOTPシリアル登録要求受付手段と、
前記ユーザ端末に入力されたパスワードを受け付けるパスワード受付手段と、
前記OTPシリアル登録要求受付手段が登録要求を受け付けたユーザのユーザIDと関連付けられたパスワードを前記ユーザ情報記憶手段から読み出し、前記パスワード受付手段が受け付けたパスワードと照合して、パスワードの一致を判定するパスワード判定手段と、
少なくとも前記パスワード判定手段においてパスワードが一致することを条件に、前記OTPシリアル登録要求受付手段の受け付けた登録要求に指定されたユーザIDとOTPシリアルを関連付けて前記ユーザ情報記憶手段に登録するOTPシリアル登録手段と、を備えること
を特徴とする請求項1乃至5いずれかに記載の認証システム。
【請求項7】
クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと接続された、ユーザの認証処理を行う認証サーバであって、
前記加盟店サーバには、
ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、
ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、
前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、
前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、
前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、
前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付手段と、
前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルと、前記第2のOTP受付手段が受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信手段と、が備えられ、
前記カード事業者サーバには、
前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信手段と、
前記購入情報受信手段の受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、が備えられていて、
ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、
前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、
前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、
前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、
を備えることを特徴とするワンタイムパスワードを用いた認証サーバ。
【請求項8】
クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと接続された、ユーザの認証処理を行う認証サーバであって、
前記加盟店サーバには、
ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段と、
ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付手段と、
前記ログイン要求受付手段がログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付手段と、
前記第1のOTPシリアル読出手段の読み出したOTPシリアルと前記第1のOTP受付手段の受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、
前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付手段と、
前記購入要求受付手段が購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出手段と、
前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付手段と、
前記購入要求受付手段が受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出手段が読み出したOTPシリアルと、前記第2のOTP受付手段が受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信手段と、が備えられ、
前記カード事業者サーバには、
前記加盟店サーバの購入情報送信手段から送信された購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信手段と、
前記購入情報受信手段の受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信手段と、
前記認証サーバから、前記認証要求送信手段の送信した認証要求に対する認証結果を受信する認証結果受信手段と、が備えられていて、
ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段と、
前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信手段と、
前記認証要求受信手段の受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信手段の受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理手段と、
前記認証処理手段による認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信手段と、
を備えることを特徴とするワンタイムパスワードを用いた認証サーバ。
【請求項9】
クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバによって実行される認証方法であって、
前記加盟店サーバには、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段が、
前記認証サーバには、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段が備えられていて、
前記加盟店サーバが、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付ステップと、
前記加盟店サーバが、前記ログイン要求受付ステップでログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出ステップと、
前記加盟店サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付ステップと、
前記加盟店サーバが、前記第1のOTPシリアル読出ステップで読み出したOTPシリアルと前記第1のOTP受付ステップで受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、
前記加盟店サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、
前記加盟店サーバが、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付ステップと、
前記加盟店サーバが、前記購入要求受付ステップで購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出ステップと、
前記加盟店サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第2のOTP受付ステップと、
前記加盟店サーバが、前記購入要求受付ステップで受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出ステップで読み出したOTPシリアルと、前記第2のOTP受付ステップで受け付けたワンタイムパスワードとを、前記カード事業者サーバに送信する購入情報送信ステップと、
前記カード事業者サーバが、前記加盟店サーバが購入情報送信ステップで送信した購入情報と、OTPシリアルと、ワンタイムパスワードとを受信する購入情報受信ステップと、
前記カード事業者サーバが、前記購入情報受信ステップで受信したOTPシリアルとワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、
前記カード事業者サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、
前記認証サーバが、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信ステップと、
前記認証サーバが、前記認証要求受信ステップで受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信ステップで受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理ステップと、
前記認証サーバが、前記認証処理ステップでの認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信ステップと、
を有すること特徴とするワンタイムパスワードを用いた認証方法。
【請求項10】
クレジットカードの加盟店においてクレジットカードを用いて商品又はサービスを購入するユーザをワンタイムパスワードを用いて認証するための、商品又はサービスを販売する加盟店の加盟店サーバと、クレジットカードを発行するカード事業者のカード事業者サーバと、ユーザの認証処理を行う認証サーバによって実行される認証方法であって、
前記加盟店サーバには、ユーザを識別するユーザIDと前記ユーザをワンタイムパスワードで認証するために割り当てられたOTPシリアルとを関連付けて記憶するユーザ情報記憶手段が、
前記認証サーバには、ワンタイムパスワードによる認証を利用するユーザ毎に割り当てたOTPシリアルと認証に用いるワンタイムパスワードを生成するOTPシードを関連付けて記憶する認証情報記憶手段が備えられていて、
前記加盟店サーバが、ユーザが操作するユーザ端末から、前記ユーザのユーザIDが指定された前記加盟店サーバへのログイン要求を受け付けるログイン要求受付ステップと、
前記加盟店サーバが、前記ログイン要求受付ステップでログイン要求を受け付けたユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第1のOTPシリアル読出ステップと、
前記加盟店サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付ける第1のOTP受付ステップと、
前記加盟店サーバが、前記第1のOTPシリアル読出ステップで読み出したOTPシリアルと前記第1のOTP受付ステップで受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、
前記加盟店サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、
前記加盟店サーバが、前記加盟店サーバにログイン中のユーザが操作するユーザ端末から、クレジットカードを用いて商品又はサービスを購入する購入要求を受け付ける購入要求受付ステップと、
前記加盟店サーバが、前記購入要求受付ステップで購入要求を受け付けたログイン中のユーザのユーザIDと関連付けられたOTPシリアルを、前記ユーザ情報記憶手段から読み出す第2のOTPシリアル読出ステップと、
前記加盟店サーバが、前記購入要求受付ステップで受け付けた購入要求に指定された商品又はサービスの購入情報と、前記第2のOTPシリアル読出ステップで読み出したOTPシリアルとを、前記カード事業者サーバに送信する購入情報送信ステップと、
前記カード事業者サーバが、前記加盟店サーバが購入情報送信ステップで送信した購入情報と、OTPシリアルとを受信する購入情報受信ステップと、
前記カード事業者サーバが、前記ユーザ端末に入力されたワンタイムパスワードを受け付けるOTP受付ステップと、
前記カード事業者サーバが、前記購入情報受信ステップで受信したOTPシリアルと前記OTP受付ステップで受け付けたワンタイムパスワードを指定した認証要求を、前記認証サーバに送信する認証要求送信ステップと、
前記カード事業者サーバが、前記認証サーバから、前記認証要求送信ステップで送信した認証要求に対する認証結果を受信する認証結果受信ステップと、
前記認証サーバが、前記加盟店サーバ又は前記カード事業者サーバから、OTPシリアルとワンタイムパスワードを指定した認証要求を受信する認証要求受信ステップと、
前記認証サーバが、前記認証要求受信ステップで受信したOTPシリアルと関連付けられたOTPシードを前記認証情報記憶手段から読み出してワンタイムパスワードを生成し、前記認証要求受信ステップで受信したワンタイムパスワードと一致すれば、ワンタイムパスワードを入力した者をユーザ本人と認証する認証処理ステップと、
前記認証サーバが、前記認証処理ステップでの認証結果を、前記加盟店サーバ又は前記カード事業者サーバに送信する認証結果送信ステップと、
を有すること特徴とするワンタイムパスワードを用いた認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2011−107791(P2011−107791A)
【公開日】平成23年6月2日(2011.6.2)
【国際特許分類】
【出願番号】特願2009−259367(P2009−259367)
【出願日】平成21年11月13日(2009.11.13)
【出願人】(504309221)サードネットワークス株式会社 (5)
【Fターム(参考)】
【公開日】平成23年6月2日(2011.6.2)
【国際特許分類】
【出願日】平成21年11月13日(2009.11.13)
【出願人】(504309221)サードネットワークス株式会社 (5)
【Fターム(参考)】
[ Back to top ]